云计算的顶级威胁：深度分析.pdf

1 云 计 算 的 顶 级 威胁 ： 深 度 分 析“ 危 险 的 12大 威 胁 ： 云 计 算 的 顶 级 威 胁 ” 案 例 研 究 分 析 以 及 相 关 的 安全 行 业 违 规 分 析 2018云 安 全 联 盟 -版 权 所 有 保 留 所 有 权 利您 可 以 在 电 脑 和 手 机 等 终 端 下 载 、 存 储 、 显 示 本 报 告 ， 以 及 链 接 到 云 安 全 联 盟 官 方 网 站 上（ cloudsecurityalliance） 查 看 并 打 印 本 报 告 ， 但 必 须 遵 从 如 下 条 款 ：（ a） 本 报 告 可 单 独 用 于 个 人 、 获 取 信 息 为 目 的 ， 非 商 业 盈 利 使 用 ；（ b） 本 报 告 不 能 以 任 何 方 式 被 改 变 或 修 正 后 再 转 发 ；（ c） 本 报 告 不 允 许 在 未 被 授 权 情 况 下 大 量 分 发 或 转 发 ；（ d） 商 标 、 著 作 权 或 者 其 他 条 款 不 得 删 除 。 根 据 美 国 版 权 法 合 理 使 用 条 款 ， 您 可 引用 所 允 许 的 部 分 报 告 内 容 ， 但 必 须 将 引 用 部 分 注 明 来 源 于 国 际 标 准 化 理 事 会 政 策 与 序 。2 3 前 言案 例 研 究 创 世 纪 项 目2012年 ， 云 安 全 联 盟 (CSA)进 行 了 一 项 调 查 ， 帮 助 阐 明 了 云 计 算 最 重 要 和 最 紧 迫 的 问 题 。 当 时 ， 云是 一 个 相 对 较 新 的 概 念 ， 通 过 提 供 有 价 值 的 行 业 洞 察 力 ， 这 一 内 容 填 补 了 一 个 巨 大 的 空 白 。CSA从 第 一 次 调 查 中 衍 生 出 最 初 的 “ 顶 级 威 胁 ” (Top Threats)， 并 成 为 本 案 例 研 究 的 基 础 。 然 而 ,安 全 专 家 承 认 ， “ 众 所 周 知 的 9大 威 胁 ” 和 “ 十 二 大 威 胁 ” 只 提 供 了 整 体 全 景 威 胁 的 一 小 部 分 。 其 他 需 要 考 虑 的 因 素 包 括 参 与 者 、 风 险 、 漏 洞 和 影 响 等 内 容 。为 了 解 决 这 些 缺 失 的 因 素 ， 云 安 全 联 盟 顶 级 威 胁 工 作 组 决 定 下 一 份 发 布 的 文 档 应 该 表 述 更 多 涉 及 架构 、 合 规 性 、 风 险 和 缓 解 的 技 术 细 节 。 因 此 ， 创 建 了 这 个 文 档 。这 个 案 例 研 究 收 集 了 在 顶 级 威 胁 （ (Top Threats)） 文 件 中 确 定 的 经 典 案 例 和 案 例 研 究 的 局 限 性 ，增 加 了 更 多 的 细 节 和 行 动 信 息 。 理 想 情 况 下 ， 这 些 数 据 顶 级 威 胁 （ (Top Threats)） 确 定 了 在 更 高 的 安全 分 析 层 面 ， 提 供 一 个 清 晰 的 理 解 ， 即 如 何 在 应 用 真 实 的 场 景 中 应 用 经 验 教 训 和 概 念 。顶 级 威 胁 工 作 组 最 近 的 贡 献 “ 2017年 顶 级 威 胁 ” 文 档 中 引 用 了 最 近 的 “ 十 二 大 威 胁 ” 调 查 结 果 中 发 现 的 多 个 问 题 的 例 子 。 而 这些 经 典 案 例 可 以 让 网 络 安 全 经 理 更 好 地 与 高 管 和 同 行 进 行 沟 通 （ 并 提 供 与 技 术 人 员 讨 论 的 内 容 ） ， 从 安全 分 析 的 角 度 来 看 ， 它 们 并 没 有 提 供 关 于 所 有 东 西 如 何 组 合 在 一 起 的 详 细 信 息 。您 将 发 现 的 内 容本 案 例 试 图 通 过 引 用 顶 级 威 胁 （ Top Threats） 中 引 用 9个 经 典 案 例 来 连 接 安 全 分 析 的 所 有要 求 的 基 础 ， 这 九 个 案 例 的 每 一 个 都 以 参 考 图 表 （ 1） 和 详 细 叙 述 （ 2） 的 形 式 进 行 说 明 。 参 考 图 表的 格 式 攻 击 者 风 险 的 概 要 信 息 ， 从 威 胁 和 漏 洞 到 结 束 控 制 和 缓 解 。 我 们 鼓 励 架 构 师 和 工 程 师 使 用 这些 信 息 作 为 他 们 自 己 分 析 和 比 较 的 起 点 。 较 长 的 叙 述 提 供 了 额 外 的 案 例 的 上 下 文 （ 例 如 ， 事 件 是 如 何 发 生 的 ， 或 者 应 该 如 何 处 理 ） 。对 于 那 些 没 有 公 开 讨 论 影 响 或 缓 解 等 细 节 的 情 况 ， 我 们 推 断 了 应 该 包 括 预 期 的 结 果 和 可 能 性 。我 们 希 望 您 认 为 这 项 工 作 是 有 用 的 ， 欢 迎 您 对 即 将 出 版 的 出 版 物 提 供 任 何 反 馈 和 /或 参 与 。 帮助 你 在 未 来 成 功 。 序 言云 计 算 正 在 以 前 所 未 有 的 速 度 改 变 组 织 的 业 务 模 式 ， 云 服 务 模 型 的 开 发 比 以 往 任 何 时 候 都 能更 有 效 地 支 持 业 务 ， 但 同 时 也 带 来 新 的 安 全 挑 战 。 在 CSA之 前 所 发 布 的 报 告 中 指 出 ， 云 服 务 与 生 俱来 的 特 质 决 定 了 其 能 够 使 用 户 绕 过 整 个 组 织 的 安 全 政 策 ， 并 在 影 子 IT项 目 中 建 立 自 己 的 账 户 。 因此 ， 组 织 必 须 采 取 新 的 管 制 措 施 。 4 李 雨航 Yal e LiCSA云安全联盟 大中华区 主席云安全联 盟大中华区非常感谢 翻译和支持工作者 们 无私贡献。 2018年月，CSA正式发布Top Thre ats to Cloud computing: Deep dive最新版研究报 告。该报告全面深度解析了云计算领域的 顶级威胁，为了让企业更深刻理解云安 全问题，以便他们 能够采用策略做出明智的决策。报告试图 通过使用顶级威胁中引用的九个案例作 为其基础来连接安 全性分析的所有点。九个例子中的每一个 都以参考图表和详细叙述的形式呈现。 参考图表的格式提供了威胁主 题的攻击式概要， 从威胁和漏洞到最终 控制和缓解。我们鼓 励工程师将这些信息 作为他们自己分析 和比较的起点。 目 录致 谢顶 级 威 胁 列 表 分 析案 例 研 究LinkedIn (顶 级 威 胁 1， 2， 5， 11和 12)MongoDB (顶 级 威 胁 1， 2， 3， 6， 和 8) Dirty Cow (顶 级 威 胁 2和 4)Zynga (顶 级 威 胁 1， 2和 6)Net Traveler (顶 级 威 胁 1， 7和 8)Yahoo! (顶 级 威 胁 1， 8和 9)Zepto (顶 级 威 胁 1， 8和 10)DynDNS (顶 级 威 胁 11和 2)Cloudbleed (顶 级 威 胁 1和 12)参 考 文 献鸣 谢 感 谢 让 这 一 切 发 生 的 团 队 ;没 有 他 们 的 参 与 ， 这 么 多 工 作 是 不 会 成 功 的 。联 合 主 席Jon-Michael C. Brook,CISSP, CCSK Scott FieldDave Shackleford贡 献 者 RandallBrooksAlexGetzinAiyan MaMichaelRozaShiraShambanVelan ThangaveluMarkYanalitisCSA调 研 员Victor ChinShamunMahmud中 文 翻 译 版 说 明 Threats toCloud Computing: Deep翻 译 审 校 工 作 专 家 ： （ 按 字 母 顺 序 排 列 ）组 长 ： 顾 伟组 员 ： 陈 皓 、 郭 鹏 程 、 刘 广 坤 、 李 岩 、 马 韶 华 、 欧 建 军 、 姚 凯 、 周 钰 5 由云安全联 盟 大中华区 秘书处组 织翻译云计算的 顶级威胁：深度分析 (topDive),云安全联盟大中华区 专家 翻译并审 校。CSA GCR工作 人 员： 史晓婧、胡锦涵 案 例 研 究 与 每 一 个 顶 级 威 胁 的 对 应 表 上 表 中 的 行 是 根 据 CSA CCM管 理 域 进 行 各 案 例 研 究 中 的 缓 解 行 为 相 关 。威 胁 和 漏 洞 管 理 （ TVM） ， 特 别 是 漏 洞 /补 丁 管 理 （ TVM-02） ， 将 有 助 于 发 现 这 些 事 件 中 所 利 用的 许 多 漏 洞 。人 力 资 源 安 全 (HRS) 特 别 是 安 全 培 训 在 9个 案 例 研 究 中 有 6个 被 确 定 为 可 能 的 缓 解 措 施 ，安 全 事 件 管 理 、 电 子 发 现 和 云 取 证 (SEF)也 是 如 此 。 基 于 这 些 结 果 ， 我 们 可 以 得 出 这 样 的 结 论 :对 攻击 后 果 的 规 划 和 执 行 对 于 成 功 处 理 三 分 之 二 的 事 件 就 至 关 重 要 的 。 此 外 ， 身 份 和 访 问 管 理 (IAM)控 制被 认 为 是 对 半 数 以 上 事 件 的 相 关 缓 解 措 施 。 案 例 研 究 的 顶 级 威 胁 报 道 分 析 缓 解 和 控 制 适 用 于 9个 案 例 研 究 覆 盖 13个 16云 控 制 矩 阵 (CCM)域 。 数 据 中 心 服 务(DCS)和 互 操 作 性 和 可 移 植 性 (IPY)控 制 主 要 涉 及 云 上 的 数 据 中 心 操 作 。 服 务 提 供 商 的 设施 ， 不 符 合 用 于 云 计 算 的 案 例 研 究 或 “ 顶 部 威 胁 ” ， 移 动 安 全 (MOS)控 制 是 用 于 移 动 端 点保 护 的 ， 也 包 括 企 业 中 常 用 的 安 全 措 施 环 境 。 供 应 链 管 理 、 透 明 度 和 问 责 制 (STA)控 制 也未 被 提 及 。案 例 研 究 CCM控 制 覆 盖推 荐 云 控 制 矩 阵 案 例 研 究 的 领 域 6 7 CCMCONTROL DOMAIN TVMHRSSEFIAMGRMBCRAACIVSAISCCCEKMDSIIPY MOSDCSSTA X XX XXX XX XXX XX XX XX X XX XXXX XX XX XXX XX XXX AISAACBCRCCCDSIDCSEKMGRMHRSIAMIVSIPYMOS SEFSTATVM XX X XX X XX XXXX XXX XX XX XXX XX X XX X XX X X X X X XX X X X X X X LINKEDIN MONGODB DIRTYCOW ZYNGA NET TRAVELER YAHOO! ZEPTO DYNDNS CLOUDBLEED CCMCONTROL DOMAIN LINKEDIN MONGODB DIRTYCOW ZYNGA NET TRAVELER YAHOO! ZEPTO DYNDNS CLOUDBLEEDTT1TT3TT5TT7TT9TT11TT12TT 10TT 8TT 6TT 4TT 2 TOPTHREATS ITEM# LINKEDIN MONGOD B DIRTYCOW ZYNG A NETTRAVELER YAHOO! ZEPTO DYNDNS CLOUDBLEED LinkedIn (密 码 破 解 2012) 预 防 控 制EKM-02: 密 钥 生 成 员 工 必 须 妥 善 保 管 所 有 访 问 管 理 工 具 、 密 钥 、 密 码 和 密 码 系 统 。IAM-12: 用 户 ID凭 证 - 组 织 需 要 采 取 适 当 的 步 骤 来 验 证 身 份 ,限 制 访 问 和 维 护 对 于 行 业 标 准 和 合 规 的 遵 从 。GRM-03: 管 理 监 督 -不 同 部 门 的 领 导 (例 如 SOC,GRC CIRT)有 明 确 的 责 任 在 检 测 后 披 露 泄 露 情 况 。 美 国 在 某 些 行 业 法 规(例 如 , 萨 班 斯 -奥 克 斯 利 法 案 (SOX),管 理 可 能 是 负 个 人 责 任 和 接 收 罚 款 或 失 去 以 前 授 予 奖 金 。GRM-06: 政 策 -目 前 尚 不 清 楚 LinkedIn的 政 策 是 不 存 在 的 、 有 缺 陷 的 ， 还 是 简 单 的 没 有 遵 守 。 对 于 严 重 的 泄 漏 ,泄 漏 的 信息 披 露 通 知 不 应 该 被 推 迟 。 8 9 威 胁 主 体内 部 I跳 过 基 本 标 准 威 胁TT 11拒 绝 服 务 脆 弱 性 技 术 影 响 业 务 影 响 控 制TT 2 TT 1 财 务 预 防数 据 泄 露 用 户 凭 证 数 据 用 户 泄 露 凭 证 -取 证 和 清 理 成 本 一 百 万 美 元 EKM-02-用 户 诉 讼 1.25百 万 美 元 IAM-12不 充 分 的 身 份 、 凭 据 和 （ 不 包 括 律 师 费 用 ）访 问 管 理 GRM-03 GRM-06运 营两 个 电 话 让 用 户 重 置 密 码 External TT 12恶 意 的 黑 客 -东 欧 共 享 的 技 术 漏 洞 TT 5账 户 劫 持 ,使 用 被 盗密 码 (密 码 重 用 在 其他 服 务 ) 合 规未 能 保 护 PII 检 测 IVS-01 IVS-06 SEF-04 GRM-05 GRM-10 TVM-02声 誉对 长 期 的 服 务 使 用具 有 负 面 影 响 纠 正GRM-07 GRM-08 GRM-09 SEF-01 SEF-05 检 测 控 制IVS-01: 审 计 日 志 /入 侵 检 测 -适 当 的 日 志 记 录 需 要 法 律 和 合 规 的 原 因 ,以 及 事 件 相 应 和 取 证 的 需 要 。 这 确 保 了 在 事 件 或 入 侵 的 情 况 下 具有 一 个 用 户 行 为 的 清 晰 文 档 。IVS-06: 网 络 安 全 环 境 和 基 础 设 施 应 该 设 计 成 限 制 访 问 和 监 视 流 量 。 这 个 配 置 应 该 通 过 验 证 和 并 维 护 适 当 的 文 档SEF-04: 事 件 响 应 法 律 准 备 必 须 遵 循 适 当 的 司 法 调 查 程 序 ,特 别 是 未 来 刑 事 起 诉 。 在 事 故 响 应 中 包 括 法 律 代 表 是 很 重 要 的GRM-05: 管 理 支 持 /参 与 - 事 实 上 一 个 密 码 变 更 只 是 “ 推 荐 ” 给 一 些 用 户 ， 而 没 有 强 加 给 所 有 的 用 户 ,这 表 明 管 理 层 没 有 意 识 到 问 题 的严 重 性 或 忽 略 了 它 GRM-10: 风 险 评 估 -任 何 独 立 的 内 部 或 外 部 审 计 师 应 该 测 试 组 织 适 当 的 事 件 响 应 政 策 ,流 程 和 程 序 。 在 某 种 程 度 上 ， 必 须 清 除 和 纠正 政 策 、 审 查 、 支 持 、 监 督 和 /或 事 件 清 理 之 间 的 分 离 。TVM-02: 脆 弱 性 /补 丁 管 理 -在 渗 透 测 试 ,密 码 通 常 是 通 过 使 用 各 种 技 术 (如 彩 虹 表 )测 试 他 们 的 强 壮 性攻 击 细 节威 胁 主 题 :俄 罗 斯 公 民 叶 夫 根 尼 尼 库 林 因 涉 嫌 参 与 领 英 (LinkedIn)违 规 行 为 被 捷 克 警 方 逮 捕 。威 胁 :黑 客 窃 取 了 领 英 员 工 的 凭 证 。 进 入 内 网 后 ,黑 客 得 到 了 用 户 名 和 密 码 的 数 据 库 。漏 洞 :漏 洞 分 为 两 个 主 要 问 题 :(1)黑 客 能 够 窃 取 凭 证 ;(2)密 码 数 据 库 没 有 “ 加 密 ” 处 理技 术 影 响数 据 泄 露 :可 能 违 反 公 司 知 识 产 权 的 保 密 规 定 ;此 外 ， 在 这 次 事 件 之 后 ， 还 发 现 了 一 波 暴 力 袭 击 。 2012年 ， 领 英 (LinkedIn)披 露 有 600万个 密 码 被 盗 ， 但 在 2016年 将 这 个 数 字 修 改 为 1.67亿 。帐 户 劫 持 :由 于 密 码 的 重 用 ， 这 种 泄 漏 导 致 其 他 服 务 中 的 帐 户 劫 持 事 件 。 纠 正 控 制SEF-01: 联 系 /权 威 机 构 的 维 护 -初 始 事 件 响 应 小 组 中 的 包 括 适 用 的 政 府 当 局 和 执 法 机 构 将 使 披 露 不 足 不 成 为 问 题 。SEF-05: 事 件 反 应 度 量 -度 量 对 未 来 会 计 和 预 算 影 响 ,包 括 响 应 时 间 和 资 源 消 耗 ,将 呈 现 出 来 给 管 理 层 和 并 为 行 政 领 导 提 供 可 见 性 。GRM-08: 风 险 评 估 的 政 策 影 响 ： 使 用 风 险 评 估 反 馈 回 路 更 好 地 把 握 初 始 违 约 的 陷 阱 ， 有 助 于 避 免 第 二 次 违 约 。 GRM-09: 政 策 reviews-Business领 导 应 带 头 政 策 审 议 ,并 确 保 政 策 与 组 织 活 动 和 战 略 方 向 。 首 席 财 务 官 (CFO)或 首 席 顾 问 (法 律 )将指 定 一 个 受 让 人 签 署 底 线 ” 特 别 是 在 上 市 公 司 ,美 国 证 券 交 易 委 员 会 (SEC)和 SOX合 规 发 挥 作 用 。GRM-07: 应 该 创 建 和 统 一 执 行 适 当 的 策 略 。 员 工 应 该 知 道 他 们 要 为 自 己 的 行 为 负 责 。业 务 影 响财 务 方 面 :取 证 调 查 和 事 后 费 用 估 计 为 100万 美 元 。 此 外 ,集 体 诉 讼 中 有 高 级 账 户 的 受 害 者 获 得 总 计 125万 美 元 的 赔 偿 。运 营 方 面 :该 公 司 向 用 户 发 出 了 两 次 重 置 密 码 的 通 知 第 一 次 是 在 2012年 ， 第 二 次 是 在 2016年 。 2016年 ,用 户 的 帐 户 被 迫 再 次 重 置 自 己的 密 码 。合 规 :LinkedIn未 能 充 分 保 护 用 户 数 据 。 这 是 一 个 违 反 地 方 、 国 家 和 欧 盟 (EU)规 则 /法 规 (例 如 GDPR)。 违 规 行 为 可 能 导 致 惩 罚 ， 包 括 罚款 。声 誉 :LinkedIn因 数 据 丢 失 被 起 诉 ， 但 没 有 意 识 到 其 对 长 期 服 务 使 用 的 负 面 影 响 。 关 键 事 项 始 终 对 含 用 户 凭 据 的 数 据 库 进 行 散 列 和 加 盐-实 施 谨 慎 的 日 志 记 录 和 行 为 异 常 分 析 MongoDB 业 务 影 响财 务 ： 千 万 美 元 的 审 计 费 用 ， 事 件 恢 复 费 用 ， 法 律 补 偿 和 罚 款 。运 营 ： 运 营 影 响 包 括 从 备 份 数 据 恢 复 文 件 所 需 的 时 间 和 精 力 。合 规 ： 指 违 反 美 国 州 和 联 邦 的 法 规 （ 包 括 隐 私 法 案 ） ， B2B协 议 及 用 户 隐 私 义 务 。 根 据 墨 西 哥 法 律 ， 选 举 人 信 息 是 “ 严格 保 密 ” 的 ， 未 经 授 权 的 披 露 会 导 致 高 达 12年 监 禁 的 惩 罚 。声 誉 ： 数 据 泄 露 严 重 损 害 企 业 商 誉 。 MongoDB广 为 使 用 。 除 了 墨 西 哥 选 举 人 信 息 泄 露 事 件 外 ， 其 他 与 MongoDB有 关 的 组织 PII数 据 泄 露 同 样 影 响 了 企 业 底 线 。10 11 预 防 控 制IAM-04: 政 策 和 策 略 -数 据 所 有 者 复 杂 提 供 和 实 施 MongoDB上 与 识 别 和 访 问 控 制 相 关 的 合 适 的 政 策 和 策 略 。 体 系需 要 在 数 据 库 创 建 和 用 于 存 储 数 据 前 创 建 。HRS-09: 培 训 /意 识 教 育 -数 据 所 有 者 需 要 对 所 有 合 同 方 ， 第 三 方 用 户 和 员 工 提 供 安 全 意 识 培 训 ， 确 保 涉 及 的 每 个 人 收 到对 于 （ IAM-04所 述 ） 政 策 和 策 略 合 适 的 ， 及 时 的 介 绍 指 导 。检 测 控 制IAM-10: 用 户 访 问 检 查 -数 据 所 有 者 应 该 定 期 检 查 识 别 管 理 和 访 问 权 限 ， 检 查 违 规 行 为 并 确 保 用 户 根 据 工 作 职 能 设 定 了“ 最 小 权 限 ” 。 TVM-02: 弱 点 /补 丁 管 理 -数 据 所 有 者 应 该 定 期 进 行 漏 洞 扫 描 或 其 他 检 查 ， 确 认 系 统 是 否 足 够 安 全 。更 正 控 制IAM-02: 凭 据 生 命 周 期 管 理 /开 户 管 理 -数 据 所 有 者 负 责 在 应 用 层 对 数 据 访 问 提 供 认 证 ， 授 权 和 可 问 责 性 （ AAA） 规 则 。 这 将 覆 盖 整 个 凭据 生 命 周 期 。HRS-09: 培 训 /意 识 教 育 -需 要 对 所 有 合 同 方 ， 第 三 方 用 户 和 员 工 提 供 安 全 意 识 培 训 ， 确 保 每 个 干 系 人 收 到 合 适 的 指 导 。 对 政 策 和策 略 及 时 的 更 新 教 育 ， 特 别 是 在 认 证 和 授 权 方 面 ， 同 样 有 益 。IAM-06: 源 代 码 访 问 限 制 -通 过 使 用 以 源 代 码 以 外 的 方 式 管 理 的 访 问 密 钥 或 凭 据 来 强 化 应 用 对 后 端 数 据 库 的 访 问 控 制 。 整 合 ， 变更 管 理 ， 实 施 步 骤 和 程 序 包 度 可 以 强 化 预 防 性 ， “ 最 小 权 限 ” 的 访 问 控 制 。IAM-07:第 三 方 访 问 -使 用 MongoDB服 务 中 数 据 的 应 用 程 序 应 被 视 为 第 三 方 访 问 。 云 服 务 提 供 商 （ CSP） 应 负 责 在 提 供 服 务 或 访 问 MongoDB 服 务 前 检 查 控 制 （ 如 访 问 控 制 的 实 施 ）IAM-09: 用 户 访 问 授 权 -数 据 所 有 者 需 要 提 供 和 测 试 合 适 的 用 户 访 问 授 权 。 用 户 访 问 授 权 测 试 需 要 尽 早 测 试 案 例 中 的 MongoDB缺 省 配 置IAM-12: 用 户 ID凭 据 -数 据 所 有 者 需 要 限 制 公 司 内 部 或 （ 租 赁 ） 客 户 的 用 户 账 户 凭 据 。攻 击 明 细威 胁 角 色 ： 威 胁 角 色 可 以 是 发 现 未 受 保 护 的 MongoDB数 据 库 缺 省 安 装 的 任 何 恶 意 角 色威 胁 ： MongoDB数 据 库 缺 省 安 装 在 浏 览 时 访 问 不 需 要 任 何 授 权 和 访 问 控 制 。 网 络 安 全 专 家 Chris Vickery发 现 存 储 在 Amazon Web服 务（ AWS） 上 MongoDB数 据 库 中 的 ， 9千 3百 万 墨 西 哥 选 民 的 个 人 识 别 信 息 （ PII） 和 投 票 记 录 处 在 危 险 中 。脆 弱 性 ： 不 安 全 的 MongoDB 27017端 口 允 许 外 部 网 络 攻 击 ， 同 时 没 有 其 他 认 证 和 访 问 控 制 措 施 来 防 护 后 端 的 MongoDB数 据 库 。 所有 数 据 可 以 被 任 何 人 操 纵 （ 增 加 ， 删 除 ， 修 改 和 查 询 ）技 术 影 响数 据 泄 漏 ： 数 据 泄 露 可 能 导 致 数 据 暴 露 给 竞 争 对 手 ， 罪 犯 ， 恐 怖 分 子 ， 流 氓 国 家 和 其 他 恶 意 用 户数 据 丢 失 ： 通 过 破 坏 和 删 除 导 致 数 据 丢 失 可 以 使 得 信 息 不 可 接 受 或 不 可 访 问 ， 从 而 不 能 为 运 营 ， 风 险 和 决 策 所 用 要 点-在 所 有 边 界 实 施 政 策 和 预 防 性 控 制 措 施 漏 洞 和 系 统 扫 描 对 受 管 理 的 ， 共 享 的 和 公 共 的 环 境 至 关 重 要 威 胁 角 色安 全 研 究 员 威 胁未 经 授 权 的 访 问 脆 弱 性TT2不 充 分 的 识 别 、 凭据 和 访 问 控 制 技 术 影 响TT 1数 据 泄 漏 ， 用 户凭 据 丢 失 ， 个 人 身 份识 别 业 务 影 响财 务-事 件 后 的 成 本 控 制预 防 IAM-04 HRS-09运 营-从 备 份 数 据 恢 复 文 件 检 测 TVM-02 IAM-10 TT 6恶 意 内 部 人 员 TT 3 TT 8不 安 全 的 接 口 和 APIs 数 据 丢 失 合 规-高 度 敏 感 数 据 泄 密声 誉 -公 民 对 其 当 选 官 员 能 力的 信 心 纠 正 IAM-02 IAM-06 IAM-07 IAM-09 IAM-12 HRS-09 Dirty Cow 关 键 点 社 会 工 程 培 训 需 要 与 用 户 接 入 策 略 保 持 一 致 从 不 同 角 度 执 行 自 动 化 循 环 活 动 基 线12 13 预 防 控 制AIS-02: 用 户 接 入 要 求 访 问 授 权 必 须 使 用 需 要 知 道 、 需 要 访 问 协 议 来 实 现 。 社 会 工 程 识 别 训 练 加 强 现 有 的 访 问 管 理 程 序 ，以 阻 扰 账 户 占 用 一 个 初 期 形 式 的 攻 击 树 到 一 个 Dirty Cow事 件 。AIS-04: 数 据 安 全 /完 整 性 多 层 次 的 技 术 基 线 有 助 于 跨 多 个 系 统 接 口 、 管 辖 权 和 业 务 功 能 的 数 据 安 全 。 定 期 自 动 基 线 评 估 检 测 数 据和 系 统 的 披 露 ， 改 变 或 破 坏 ， 从 而 减 少 污 牛 风 险 潜 力 。 基 线 应 该 包 括 预 期 的 生 产 二 进 制 文 件 、 服 务 和 过 程 的 已 知 配 置 文 件 。 应 引 入参 考 监 测 或 一 致 性 维 护 运 行 时 检 查 来 定 期 评 估 标 称 系 统 行 为 。IAM-09: 用 户 访 问 授 权 通 过 禁 用 直 接 交 互 登 录 来 维 护 和 支 持 ， 可 能 会 破 坏 牛 的 潜 在 风 险 。 另 外 ， 设 置 可 以 配 置 为 通 过 加 密 安全 的 跳 转 虚 拟 机 （ VM） 图 像 或 其 他 加 密 中 间 网 络 使 能 设 备 强 制 图 像 、 容 器 或 应 用 程 序 编 程 接 口 （ API） 访 问 。IAM-12: 用 户 ID凭 证 系 统 管 理 功 能 应 该 由 基 于 角 色 的 权 限 保 护 ， 或 者 是 双 因 素 /多 因 素 认 证 。 此 外 ， 特 权 应 该 在 通 常 的 系 统级 访 问 和 敏 感 的 根 或 系 统 帐 户 的 托 管 凭 证 访 问 之 间 分 离 。 IAM-13: 实 用 程 序 访 问 可 以 删 除 可 能 覆 盖 系 统 、 对 象 、 网 络 、 虚 拟 机 和 应 用 程 序 控 制 的 实 用 程 序 。 如 果 攻 击 者 必 须 在 系 统上 加 载 工 具 （ 假 设 网 络 异 常 检 测 已 到 位 ） ， 则 上 传 是 可 被 检 测 的 事 件 。HRS-02: 背 景 筛 选 所 有 的 系 统 、 承 包 商 和 第 三 方 承 包 商 都 应 该 进 行 与 数 据 分 类 成 比 例 的 背 景 验 证 （ 考 虑 到 业 务 需 求 和 可 接 受的 风 险 ） 。 一 个 Dirty Cow事 件 可 以 由 内 幕 人 ， 这 是 一 个 已 经 信 任 的 独 特 平 台 。检 查 控 制CCC-03: 质 量 检 验 遵 循 已 定 义 的 质 量 变 化 控 制 和 测 试 过 程 （ 例 如 ， 信 息 技 术 基 础 设 施 库 （ ITIL） 服 务 管 理 ） ， 以 建 立 的 基 线 、测 试 和 发 布 标 准 为 重 点 ， 关 注 系 统 可 用 性 、 机 密 性 和 系 统 和 服 务 的 完 整 性 。 对 生 产 环 境 组 成 和 行 为 的 预 先 了 解 可 以 提 醒 工 作 人 员 存 在 Dirty Cow的 异 常 。CCC-05: 生 产 变 化 通 过 记 录 变 更 来 管 理 潜 在 风 险 ： （ 1） 业 务 关 键 或 客 户 （ 租 户 ） -影 响 应 用 程 序 （ 物 理 和 虚 拟 ） ； （ 2） 系统 到 系 统 接 口 （ API） 的 设 计 和 配 置 ； （ 3） 基 础 设 施 网 络 和 系 统 组 件 。GRM-10: 风 险 评 估 低 Dirty Cow风 险 通 过 一 个 三 线 支 持 、 全 企 业 范 围 、 风 险 管 理 框 架 进 行 。 正 式 的 、 第 一 线 的 技 术 风 险 评 估发 生 在 计 划 的 时 间 间 隔 内 ， 并 与 信 息 系 统 的 任 何 变 化 相 结 合 。 第 二 行 风 险 使 用 定 性 和 定 量 方 法 确 定 所 有 识 别 风 险 的 可 能 性 和影 响 。 与 固 有 风 险 和 剩 余 风 险 相 关 的 可 能 性 和 影 响 应 独 立 确 定 ， 并 考 虑 所 有 风 险 类 别 。GRM-11： 风 险 管 理 框 架 - 将 所 有 Dirty Cow风 险 潜 力 降 低 到 可 接 受 的 水 平 ; 这 个 过 程 应 该 基 于 符 合 组 织 建 立 的 “ 风 险 偏 好 ”边 界 的 风 险 标 准 。攻 击 明 细威 胁 角 色 ： 恶 意 的 内 外 部 人 员 ， 团 体 或 高 级 持 续 性 威 胁 （ APT） ， 通 过 已 有 用 户 账 户 ， 弱 审 查 或 社 会 工 程 企 图 获 取 根 权 限 。威 胁 ： 没 有 特 权 的 本 地 用 户 使 用 该 漏 洞 获 得 对 只 读 内 存 的 写 权 限 ， 从 而 提 升 系 统 特 权 。 使 用 该 漏 洞 不 会 在 系 统 日 志 留 下 任 何 异 常 行 为记 录 。脆 弱 性 ： 通 过 本 地 特 权 提 升 及 其 他 方 法 执 行 非 特 权 代 码 ， 开 启 以 root用 户 身 份 运 行 远 程 UNIX shell。 远 程 访 问 根 目 录 。技 术 影 响系 统 脆 弱 性 ： 使 用 该 漏 洞 导 致 竞 态 条 件 。 该 漏 洞 存 在 于 Linux内 核 2.x到 4.x(在 4.8.3之 前 )的 mm/gup.c， 允 许 无 特 权 的 本 地 用 户 通 过 使 用不 正 确 的 拷 贝 写 入 (COW)句 柄 特 性 写 入 只 读 内 存 表 ， 从 而 导 致 攻 击 者 在 Linux系 统 上 提 升 权 限 恢 复 BCR-01 AAC-02声 誉-品 牌 受 损运 营对 独 立 的 ， 云 容 器或 虚 拟 镜 像 缺 乏 ，不 匹 配 或 不 完 整 的度 量 对独立的，云容器或虚拟镜像缺乏，不匹配或不完整的度 量对独立的，云容器或虚拟镜像 缺乏，不匹配或不完整的度量 检 测 CCC-03 CCC-05 GRM-10 GRM-11运 营-运 营 中 断 ， 拒 绝 服 务 ，偷 窃 服 务合 规罚 款 ， 惩 处 ， 技 术 基 线 ， 腐蚀运 营缺 乏 或 泛 泛 的外 部 恢 复预 防 AIS-02 AIS-04 IAM09 IAM-12 IAM-13 HRS-02技 术 影 响 业 务 影 响TT 4 财务系 统 脆 弱 性 拒 绝 服 务 或 者 偷 窃 服务 ， 欺 诈 ， 股 票 下 跌漏 洞运 营内 外 部 威 胁 角 色 ，未 受 训 的 员 工 ， 弱治 理威 胁未 发 现 的 权 限 提 升(CVE-2016-5195)内 部 纠 正 控 制AAC-02:威 胁 模 型 的 重 复 性 、 一 线 技 术 风 险 评 估 程 序 ， 其 显 示 出 比 可 用 控 制 、 过 程 和 技 术 所 能 减 轻 的 更 高 的 剩 余 操 作 风 险 。BCR-01: 业 务 连 续 性 规 划 为 业 务 连 续 性 规 划 和 开 发 建 立 可 测 试 和 一 致 的 统 一 框 架 。 考 虑 对 Dirty Cow威 胁 模 型 的 跨 功 能的 桌 面 练 习 ， 演 示 了 比 可 用 控 制 、 过 程 和 技 术 可 以 减 轻 的 更 高 的 剩 余 操 作 风 险 。业 务 影 响财 务 ： 取 决 于 受 影 响 的 系 统 ， 对 于 财 务 影 响 可 能 可 大 可 小 。 企 业 可 能 因 为 违 反 隐 私 调 控 或 数 据 保 护 条 款 ， 财 务 犯 罪 （ 洗 钱 ， 欺 诈 ， 账户 接 管 ） 或 非 法 买 卖 货 物 和 服 务 而 受 到 经 济 处 罚 。运 营 ： 丢 失 数 据 和 系 统 控 制 减 少 了 对 数 据 完 整 性 、 真 实 度 、 谱 系 和 来 源 影 响 的 保 证 ， 影 响 业 务 质 量 和 运 营 决 策 能 力 。合 规 ： 违 规 可 能 属 于 主 权 和 /或 国 际 范 围 ， 如 消 费 者 、 隐 私 、 安 全 、 财 务 或 数 据 保 护 违 规声 誉 ： 财 务 损 失 ， 运 营 中 断 以 及 合 规 罚 款 和 处 罚 会 对 品 牌 价 值 产 生 不 利 影 响 。 结 果 ， 人 们 对 组 织 管 理 人 员 及 其 有 效 监 督 目 标 和 责 任 的 能 力 产 生了 怀 疑 。 这 还 可 能 包 括 消 费 者 信 心 的 丧 失 和 品 牌 质 量 的 下 降 。 威 胁 主 体 Zynga 14 15 纠 正-IAM-11 SEF-04 SEF-05 声 誉 声 誉 损 失 丧 失 竞 争 优 势 商 业 秘 密 的 丧 失合 规 遵 从 性 SOX可 能 违 反SOX合 规 遵 从 性TT 6恶 意 内 部 人 员 控 制 点预 防 AIS-03 AIS-04 IAM-05 HRS-03 SEF-03 DSI-