首页
论坛
课程
招聘
[分享]美国国家安全局NSA报告:如何缓解最常见的云漏洞
2020-2-4 12:55 4263

[分享]美国国家安全局NSA报告:如何缓解最常见的云漏洞

2020-2-4 12:55
4263

美国国家安全局(NSA)发布了一份重要文件,概述了主要的云漏洞类别以及组织如何解决这些漏洞。


美国国家安全局(NSA)承认,云服务可能会带来独特的风险,组织在采购过程中以及在云中运行时都应了解并解决这些风险。

缓解云漏洞报告将云漏洞分为四类- 错误配置,访问控制差,共享租户漏洞和供应链漏洞 -涵盖了依靠云工作负载执行日常工作的组织所面临的大多数已知漏洞,日常运营。


该报告提供每种漏洞类别的描述以及最有效的缓解措施,以帮助组织锁定其云资源。漏洞类别的流行程度和发现和利用漏洞所需的攻击者复杂程度各不相同,而每个部分均提供了具有真实示例,估计的漏洞发生率,不同级别的攻击者复杂程度和缓解措施的云漏洞类别。


强调:

云资源配置错误仍然是最普遍的云漏洞,可以被利用来访问云数据和服务。错误配置通常是由于云服务策略错误或对共享责任的误解而引起的,其影响范围从拒绝服务敏感性到帐户泄露。根据该报告,一个设计良好且实施良好的云体系结构将包含一些控件,这些控件可以防止配置错误或警告管理员错误的配置。


访问控制不良意味着云资源使用弱认证/授权方法或包含绕过这些方法的漏洞。NSA警告说,访问控制机制的弱点可能使攻击者提升特权,从而损害云资源。可以通过实施强大的身份验证和授权协议来缓解访问控制不良的问题,例如:具有强大因素的多因素身份验证和定期重新身份验证;限制对云资源的访问和之间的访问,并实现零信任模型;使用自动化工具审核访问日志中的安全问题;通过在软件版本控制系统中不包括API密钥,避免泄漏API密钥。


共享的租用漏洞。云平台采用了多个软件和硬件组件,构成了较大的攻击面。在云等多租户环境中,“容器”漏洞可能允许攻击者破坏同一主机上其他租户的容器。芯片设计中的缺陷还可能导致通过侧通道攻击而损害云中的租户信息。共享租户漏洞的缓解措施涉及使用云服务提供商(CSP)提供的安全机制将组织资源与其他云租户分开。


供应链漏洞 可能最常见,因为它们驻留在全球供应商和国家/地区的源硬件和软件中。NSA推测,第三方软件云组件可能包含开发人员故意插入的漏洞,以破坏应用程序。作为供应商,管理员或开发人员,将代理插入云供应链中可能是民族攻击者破坏云环境的有效方法。该机构表示,云服务提供商主要负责检测和缓解针对云平台的供应链攻击。但是,组织的管理员可以通过执行以下操作来加强针对供应链受损的防御措施:对静态数据和传输数据进行加密;根据适用的认证流程采购云资源;确保合同规定遵守内部标准;控制虚拟机映像的选择,以防止使用不受信任的第三方产品;与云服务提供商讨论特定于供应商的对策;遵守适用的标准,利用安全的编码实践,并在企业应用程序的安全性,完整性和弹性方面不断改进。


美国国家安全局说:“通过采用基于风险的方法来采用云,组织可以从云的广泛功能中安全地受益。” “客户应了解他们与云服务提供商在保护云方面的共同责任。云服务提供商可以提供量身定制的对策,以帮助客户强化其云资源。云中的安全性是一个持续的过程,客户应不断监视其云资源并努力改善其安全状况。”

值得注意的是,该报告还包括云威胁参与者及其特征的示例,包括恶意云服务提供商管理员,恶意客户云管理员,国家/地区赞助的参与者以及未经培训或疏忽的客户。


Bitdefender如何帮你防御/缓解云漏洞:

1. Hypervisor Introspection

Bitdefender Hypervisor Introspection(HVI)是针对高级攻击的革命性安全层,可以提升虚拟机管理程序尚未开发的安全潜力。该解决方案在Citrix Synergy 2017上获得“最佳创新技术”奖,为您提供无与伦比的攻击可视性,以及在影响您的基础架构之前停止攻击的能力.


Bitdefender Hypervisor Introspection不是扫描数百万个签名或恶意行为,而是在Hypervisor底层检测和拦截相关的攻击技术,为您提供针对目标攻击的独特优势:

• 实时,有效地进行检测攻击技术,而不是分析每个文件;

• 完全可见性 - 无论攻击者多么熟练,他都无法在原始内存堆栈中隐藏其轨迹;

• 针对零日攻击的绝对防御,可以轻松发现和拦截其攻击技术;

• 无需更新,因为HVI是检测攻击技术而不依赖特征库;

• 额外的安全保护层, 保护您的其他安全层不被高级恶意软件删除或突破绕过;

• 充分验证,已成功拦截包括WannaCry,GoldenEye或APT等攻击;


2. 高级反漏洞利用技术

高级反漏洞利用技术可保护系统内存和易受攻击的应用程序,防止未经授权的进程提升权限和访问资源,保护LSASS进程免于泄露密码哈希和安全设置等。预先配置了常用列表,如浏览器,文档阅读器,媒体文件和运行时(即Flash,Java)。高级机制监视内存访问机制,以检测和阻止漏洞利用技术,如API调用验证,堆栈透视,ShellCode,Meterpreter, 返回导向编程(ROP), 创建子进程,混淆,VBScript, Shellcode EAF, Windows DEP, ASLR, Flash Payload,新型漏洞等。GravityZone的反漏洞利用技术可以拦截先进的,隐蔽的渗透攻击,APT攻击等,全面保护你的基础设施安全。


3. 网络攻击防护技术

防止攻击者利用网络漏洞来访问系统,进行横向移动。全面拦截暴力破解攻击,端口扫描,Samba攻击,服务漏洞攻击,窃取密码,网络漏洞利用,SQL注入攻击,目录遍历,僵尸网络攻击,恶意网址,远程IoT攻击,TOR/Onion连接等等。


4. 端点风险管理

Bitdefender内置的风险分析引擎不断计算端点的风险评分,以便你轻松对资产进行排序和优先级排序,优先考虑206个指标的风险严重性和提供安全补救措施。帮助您自动/手动配置Windows安全基线,减少浏览器,操作系统和网络的攻击面。


5. 漏洞扫描与补丁管理

GravityZone补丁管理可帮助您在整个Windows基础上保持操作系统和应用程序的最新状态 – 支持工作站,物理服务器和虚拟服务器。


6. 机器学习反恶意软件

Bitdefender高级机器学习技术使用超过80000种模型,40000多种静态和动态功能,它们不断接受来自全球5亿个端点的数万亿个样本的训练,这确保了GravityZone在恶意软件检测方面的全球领先性,提前预测攻击并应对网络犯罪的增长。



NSA报告下载:https://media.defense.gov/2020/Jan/22/2002237484/-1/-1/0/CSI-MITIGATING-CLOUD-VULNERABILITIES_20200121.PDF

Bitdefender GravityZone免费试用:www.bitdefender-cn.com/trial.html


[看雪官方培训] Unicorn Trace还原Ollvm算法!《安卓高级研修班》2021年6月班开始招生!!

收藏
点赞0
打赏
分享
最新回复 (1)
雪    币: 2497
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
mb_xghoecki 活跃值 2020-2-4 18:42
2
2
感谢分享
游客
登录 | 注册 方可回帖
返回