威胁建模网络与云威胁
1.网络威胁
网站威胁
网站威胁主要针对通过网站访问的应用程序和数据,攻击者利用这些威胁来执行恶意活动
常见的,如:跨站脚本攻击、SQL 注入、跨站请求伪造、文件相关漏洞、命令执行等
网络浏览器和插件威胁
网络浏览器和插件威胁是针对用户在使用网络浏览器及其扩展功能时的安全威胁。攻击者利用浏览器及其插件的漏洞、错误配置或者用户的不安全行为,进行恶意活动。这些威胁常常被用来窃取敏感信息、执行未授权操作或者传播恶意软件
常见的攻击方式,比如:
++1、浏览器漏洞攻击++
网络浏览器本身可能存在各种安全漏洞,这些漏洞可能是由于代码缺陷、错误配置或者其他原因引起的。攻击者可以通过恶意网站或恶意脚本利用这些漏洞,执行任意代码、安装恶意软件、劫持浏览器会话等
++2、恶意插件和扩展++
插件和扩展是用于增强浏览器功能的小型软件,但有些插件和扩展可能包含恶意代码,或被攻击者劫持用于恶意目的。用户安装这些恶意插件后,攻击者可以获得浏览器的部分或全部权限
++3、浏览器劫持++
浏览器劫持是攻击者通过恶意软件或恶意插件修改浏览器的默认设置,如主页、搜索引擎、书签等。劫持后的浏览器会将用户重定向到攻击者控制的网站,或者展示不必要的广告
++4、钓鱼攻击++
攻击者通过伪造合法网站或发送诱导信息,诱使用户点击恶意链接或输入敏感信息(如用户名、密码、信用卡信息)。这种攻击通常利用浏览器作为媒介进行,例如通过恶意广告或电子邮件钓鱼
2.云租户威胁
内部威胁
当你将你的数据或操作移到其他人的云时,你添加了一道信任边界。该边界内有云运营商的员工及承包商,以及你的数据。作为管理员,无可避免地,他们对于你所提供的数据有着技术上的访问权限。他们可能会故意攻击你、自己成为攻击的受害者、意外地错误配置软件或没能执行维护,例如,重新分配过程中擦拭磁盘。
有两种方法可以减缓这样的威胁:合同和加密。在今天,合同方法占主导,因为它们更容易,对于大多风险,结果证明有合同就足够了。
加密方法是在发送数据前给数据加密(并且可能的话使代码模糊化),当然,密钥需要妥善保管,否则你就是在拿机密性和完整性来交换实用性
合租威胁
比如IaaS 和 PaaS 中的威胁
- IaaS 威胁:在 IaaS 模型中,租户可以在虚拟机(VM)中运行几乎任何类型的代码,获得了高度的自由度。这种自由也意味着,如果攻击者能够利用某个漏洞提升权限,他们可能会获得对整个虚拟机、甚至是底层主机的控制权。一旦租户逃逸出他们的虚拟机环境,攻击者就可能对其他租户的系统构成威胁
- PaaS 威胁:在 PaaS 模型中,租户的代码执行能力更受限制,通常仅限于特定的编程语言或框架,并由平台来管理环境。因此,PaaS 的信任边界更严格。然而,尽管如此,如果 PaaS 平台存在设计缺陷或未能妥善隔离租户之间的操作,攻击者仍然可以利用漏洞提升权限,执行恶意操作,影响平台上其他租户。
合规威胁
++1、合规性问题++
PCI DSS(支付卡行业数据安全标准)和 HIPAA(健康保险可携性和责任法案)等合规性标准要求整个技术堆栈(包括应用程序、基础设施以及物理安全措施)都符合特定的安全标准。这意味着不仅租户的应用程序需要合规,云服务提供商也必须符合这些标准,因为云服务提供商控制着底层的物理硬件和虚拟化基础设施
为了使租户能够实现 PCI 或 HIPAA 合规,其云供应商也必须接受并通过相关的合规性评估。如果云供应商没有达到这些合规标准,租户的应用程序也无法获得合规认证。因此,租户在选择云供应商时,必须确保其云供应商已经通过了必要的合规认证,并能够证明其合规性。这通常通过共享合规报告、证书或通过第三方审核来实现
++2、审计和记录问题++
如果云供应商没有提供对其 API 或网络控制台的详细审计记录访问,租户可能难以满足合规性要求。这种记录不足可能导致无法追踪关键操作,比如用户账户的添加或修改、配置变更等。这不仅对合规性构成威胁,也使得问题排查和响应变得更加困难
租户在选择云供应商时,应确认供应商提供充分的审计和日志访问能力,并且这些日志符合合规性要求
++3、数据加密能力的限制++
在 PaaS 和 SaaS 环境中,租户可能无法实施端到端加密,尤其是在数据处理过程中。例如,SaaS 提供商可能在后台对数据进行解密以进行处理,这可能引发对数据暴露和未经授权访问的担忧。
租户应选择那些支持强大加密技术的云服务供应商,确保数据在传输和存储中的安全。租户还应了解供应商在数据加密上的责任分配,以及是否支持租户管理加密密钥(即客户托管密钥,Customer Managed Keys, CMK)。此外,租户应采用额外的应用层加密,以确保即使在供应商的环境中数据被解密,仍然有额外的安全层保护
3.云供应者的威胁
来自租户的威胁
最大的威胁是,租户能找到办法摆脱你所设置的任何沙盒。这些行动可能类似于在原始硬件上运行代码、篡改你的账单或其他客户,或者可能会连接至应该被防火墙挡住的网络。
还会有欺诈威胁,其中,新的租户可能用其他人的个人信息和/或信用卡登录准备进行欺诈、运行僵尸网络或对游戏服务器进行分布式拒绝服务攻击。
租户行为导致的威胁
有些威胁是租户行为导致的,包括垃圾邮件和隐私
这些威胁导致对运营商及其他租户的间接威胁,这是攻击引起的副作用。一旦租户发送垃圾邮件,成为僵尸网络的一部分等等,就会产生风险:IP、子网络或 ASN 可能会被列为黑名单。
4.移动威胁
移动设备的独特威胁
- 设备丢失和被盗:由于移动设备便于携带,丢失或被盗的风险显著高于服务器和台式机。一旦设备落入他人之手,未加密的敏感数据可能被访问,设备的身份验证信息也可能被利用来访问公司网络和系统。
- 设备管理困难:移动设备通常由员工或承包商个人所有,这使得设备管理复杂化。公司无法像控制企业内部服务器那样直接控制这些设备的安全配置和更新。此外,员工可能出于隐私考虑,拒绝让公司对其设备进行管理。
设备丢失的解决方法
- 设备擦除:设备擦除是一种从远程完全清除设备所有数据和设置的方法。
- 数据擦除:相比于设备擦除,数据擦除只针对特定的公司数据。企业可以使用加密技术保护敏感数据,并在设备丢失时远程撤销加密密钥,从而无法解密和访问数据。这种方法能够在保护公司数据的同时,保留设备上用户的个人数据,减少与员工的冲突。