2018年已接近尾聲，我們不得不面對全球各地深受資料洩露事件的困擾事實。據《2018資料洩露損失研究》評估顯示，大型資料洩露代價高昂，百萬條記錄可致損失4000萬美元，5000萬條記錄可致損失3.5億美元。遭遇資料洩露事件的公司企業平均要損失386萬美元，同比去年增加了6.4%。

2018年8月，CSA釋出了《雲端計算的頂級威脅：深度分析》英文版，通過對這些頂級威脅進行更細緻、更全面的案例分析，為組織提供一個清晰的理解，即如何在應用真實的場景中應用經驗教訓和概念來避免更嚴重的安全事件的發生。

中國雲安全聯盟C-CSA組織專家對該案例分析進行解讀和翻譯，旨在為國內企業提供參考和行動指引。

本案例分析試圖通過引用頂級威脅（Top Threats）中引用九個經典案例來連線安全分析的所有要點，這九個案例的每一個都以參考圖表和詳細敘述的形式進行說明。參考圖表中包含威脅主題的型別：來自內部使用者還是外部***者，威脅的型別是拒絕服務還是共享的技術漏洞等，脆弱性、技術和業務影響以及通過何種措施來檢測、控制和預防此類威脅的再次發生。

以下簡要地為大家展示九個案例分析的細節：

Linkedin--因***竊取了領英員工的認證憑證，進入內網後，拿到了資料庫的使用者名稱和密碼，造成使用者資料洩露和賬戶劫持。

預防控制措施：組織需採取合適的步驟來驗證和管理使用者身份，需要日誌記錄和行為異常分析的技術手段，同時需對包含使用者憑證的資料庫進行雜湊和“加鹽”處理。

MongoDB--網路安全專家發現儲存在AWS上MongoDB中的，9300萬墨西哥選民的個人識別資訊（PII）和投票記錄處在危險中。因為MongoDB資料庫預設安裝在瀏覽時訪問不需要任何授權和訪問控制。

預防控制措施：提供和實施MongoDB上與識別和訪問控制相關的政策和策略。同時定期檢查來識別訪問許可權的異常，檢查違規行為並確保使用者根據工作職能設定了“最小許可權”。

Dirty Cow--惡意的內/外部人員，企圖通過已有使用者賬戶獲取管理員許可權。

預防控制措施：使用者接入要求—訪問授權必須使用需要知道、需要訪問協議來實現。使用者訪問授權—通過禁用直接互動登入來防止潛在風險。使用者ID憑證管理功能應基於角色的許可權管理，或採用雙因素/多因素認證來增強訪問的安全性。此外，管理員許可權應在常規賬戶訪問和敏感的根或系統賬戶之間做分離處理。

Zynga--惡意內部員工根據指定的訪問許可權下載高度機密的商業檔案，並將他們從公司本地的膝上型電腦中刪除，洩露給競爭對手。許多內部威脅案件都是在僱員僱傭關係終止後發生，主要是由於未及時撤銷訪問控制的許可權所致。

預防措施：為離職員工實施單獨的政策和程式來保障資料的安全和完整。實施職責分離原則，在需要知道的基礎上隔離機密資料的訪問以及限制複製/下載特權，將對防止資料洩露損失方面起很大作用。

Net Traveler--外部小組向員工傳送了一封仿冒的“釣魚”電子郵件。

預防措施：應當實施支援業務流程和技術措施來確保安裝更新的防病毒軟體。必須為所有同組織有關的員工、承包商和第三方使用者建立安全和隱私意識培訓計劃。

Yahoo--***者利用了組織管理不善的密碼安全策略。

預防措施：加強企業資訊保安管理程式(ISMP)的政策、溝通和風險管理。

Zetpto--員工開啟一條包含.wsf或.docm附件的垃圾資訊。

預防措施：加強對惡意軟體的檢測。通過實施適當的職責分離來限制破壞活動的影響範圍，按功能或組織將關鍵業務集分組隔離，能阻礙惡意軟體向整個網路的傳播。

DynDNS--***者通過利用Mirai惡意軟體感染了物聯網裝置，控制了僵屍網路，然後利用該僵屍網路發起了分散式惡意***。

預防措施：優化網路架構整體設計，使它能快速有效的識別、隔離以及重路由。應對內部網路及客戶終端進行審計，這也包含對客戶端惡意軟體的識別。

Cloudbleed--外部惡意***者傳送超文字傳輸協議(HTTP)請求給Cloudflare有漏洞的服務。

預防措施：對敏感資訊進行加密保護，基於資料機密等級來進行分級保護。

我們可以看到九個案例中，有內部人員作案，也有外部人員***所致，但是九個案例中有五個案例都是因為缺乏完善的身份、憑證和訪問管理措施導致資料洩露，可見其重要性。案例分析全文有對九個頂級威脅的詳細剖析，包括威脅的起因，帶來的影響等，同時提供了相應的補救措施，對組織極具參考價值。面對如此嚴峻的安全形勢，國家，企事業單位，個人都應提高對雲安全、資料安全的重視，加強對自身資料的保護措施。

感謝C-CSA專家委員會專家們對本報告的辛勤付出：

組長：顧偉

組員：陳皓 、郭鵬程、劉廣坤、李巖 、馬韶華 、歐建軍 、姚凱 、周鈺

C-CSA工作人員：史曉婧、胡錦涵