클라우드 컴퓨팅 내부 위협: 연구 위험 및 위험 완화 조치

보안은 클라우드 기반 기술에 투자를 계획 하는 때 종종 최우선입니다. 물론, 클라우드 환경에서 기술 이므로 종종 엔터프라이즈의 네트워크 경계 밖에 서 사용자가 실제 랙, 서버, 전력 시스템, 및 기타 관련된 장치 대신 리소스를 사용할 수 있습니다. 하나 확실 하 게 중요 한 문제는 고객 데이터, 의료 기록, 그리고 지적 재산 권리는 영향을 받지 않습니다 다른 고객 시스템 및 데이터 파일 같은 중요 한 데이터입니다.

이 문서에서는, 우리는 엔터프라이즈 클라우드 환경에서 또 다른 보안 문제에서 볼 것 이다: 내부 위협. 우리 심의 (계획된) 공격 및 사고 (사고) 손상 클라우드 중요 한 리소스에 기반을 모색할 것입니다.

구름의 내부 위협 탐구 컴퓨팅

내부 위협의 주요 문제를 조사할 때 공격자가 이미 내부에 존재 한다. 이 문서에서는 내부 클라우드 서비스 공급 업체에 대 한 작업을 하나 이상의 클라이언트 환경 가정 합니다. 내부는 기밀성, 무결성 및 가용성의 고객 정보를 조정할 수 있습니다.

고의적으로 공격 유형에 정보 도용, 데이터 파괴 또는 데이터 파괴, 특정 고객 서비스를 제공 하는 시스템에 손상, 손상, 파괴, 그리고 소프트웨어 및 사용자가 사용 하는 서비스의 사기 있습니다.

내부 위협에의 한 의도 하지 않은 구름을 상상 하기 어렵다, 비록이 위협 종종 발생 합니다 때문에 잘못 된 지시문은 고객 시스템, 서비스 및 데이터에 부정적인 영향. 그러나, 그것은 클라이언트 시스템, 서비스 및 데이터의 관리에 훈련의 부족 때문일 수도 있습니다. 예를 들어 연산자 또는 기술자는 특정 서비스에 대 한 명령을 받을 수 있습니다 또는 그것, 특정 서비스를 업데이트 하는 명령을 수 있으며 특별 한 이벤트에 대 한 훈련의 부족으로 인해 잘못 된 데이터를 입력 됩니다. 데이터베이스 관리자가 실수로 잘못 된 고객 데이터베이스를 방문 하 고 전체 데이터베이스 손상 잘못 된 명령을 입력 수 있습니다.

클라우드 컴퓨팅 내부 위협: 연구 위험 및 위험 완화 조치

사실, 겉보기 악의적인 내부 활동 완전히 사고 있을 수 있습니다. 그러나, 이러한 이벤트 누군가가 안전 하 게 액세스 하 고 복잡 한 클라우드 기반 시스템 및 서비스를 사용 하는 방법을 알고 있는 경우 "사고"가 발생할 수 있습니다 얼마나의 질문을 제기.

따라서, 우리는 고의적으로 공격, 고의적으로 공격의 잠재적인 영향에 초점 및 방지 하거나 그들의 효과 완화 하는 방법에 집중 해야 한다. 가해자는 보안 허가, 정보나 지적 재산권 도난은 기업에 대 한 악몽 이다. 영업 비밀, 엔지니어링 문서, 재무 데이터, 고객 데이터, 그리고 다른 많은 귀중 한 자산 복제 하 고 가장 높은 입찰 자 또는 사람 어디에 판매 수 있습니다. 이들은 조용히 일어나 수 있습니다.

데이터 파괴 되거나 소멸 되 면 내부 수 주요 고객 파일 및 데이터베이스 액세스 및 데이터 삭제, 바이러스 또는 웜, 소개 또는 파괴/삭제 데이터를 논리 폭탄을 소개. 만약 이러한 중요 한 데이터는 백업 되지 않습니다 / 또는 다른 위치에 복제 되지 않습니다, 손실 하면 실패 하는 회사.

클라우드 기반 시스템을 사용 하 여 서비스를 악의적으로 조작 되 고 갑자기 변경 하는 회사를 찾아 그들의 중요 한 고객 지향 응용 프로그램 실패 또는 작동 하지 않습니다. 이 소송, 사업 및 명성을 감소의 결과로 그들의 고객 비즈니스를 제대로 처리할 수 있을 수 있습니다 의미 합니다. 그것은 어려울 수 있습니다, 고객의 신뢰를 회복 하기 위해 불가능 한 경우 고객 지향 시스템은 심각 하 게 손상 하는 경우에 특히.

전술한 많은 내부 공격을 가진 경우 고의적으로 행동 수 있습니다. 클라우드 기반 서비스 조직 조직에 불만 있을 수 있습니다 또는 클라우드 서비스 조직의 클라이언트에서 일어나 특정 회사에 대 한 개인적인 원한. 이 사람은 보안 허가, 그가 좋아하는, 그는 수 거의 무엇이 든 천천히 대상 조직과 회사를 파괴 하는 것으로 한다. 다양 한 기법을 사용 하 여 정보를 도용, 허위 재무 데이터를 만들거나 중단 "인터럽트를" 실행 하는 조직 하지만 전반적으로,이 더 큰, 더 불길 한 계획의 일부가 될 수 있습니다.

마지막으로, 다른 많은 악성 행위 처럼 사기 자주 발생 클라우드 환경. 그러나, 회사의 내부 가해자 수 회사의 리소스에 액세스 하려면 클라우드 환경에서 가해자 많은 조직에 액세스할 수 있습니다. 예를 들어 우리가 듣고 악명높은 소시에테 제네랄 사기 등 금융 제도의 내부자 조작 이벤트 수백만의 손실, 그렇지 않으면 상처 조직 고 수십억의 수십억 달러의 손실에서의 원인이. 클라우드 환경에서 범인 여러 클라이언트 시스템 및 데이터에 대 한 액세스를 보호할 수 있습니다 그리고 그의 혹은 그녀의 컴퓨터 기술에 의해 제한 될 것 이다.

내부 위협 방지: 질문

악의적인 내부자는 시스템 관리자 또는 기타 기술 사람이 있을 수 있습니다. 같은 사람에 의해 불법 공격 "악성" 관리자 또는 기술자를 호출 수 있습니다.

클라우드 기반 리소스를 사용 하려는 조직에서는 적극적으로 클라우드 서비스 공급 업체의 보안 자세를 평가 해야 합니다. 해결 되어야 할 문제는 다음과 같은 것이 있습니다.

클라우드 시스템 관리자 및 감사 하 여 재확인 공인 기술자는 얼마나 자주? 제조 업체 뿐만 아니라, 설명의 과정을 듣고 뿐만 아니라 그것을 적어 함께 있는지 확인 하십시오. 이상적으로, 조직 매년 다양 한 내부 액세스 확인 프로세스를 수행합니다.

어떻게 당신이 미래의 시스템 관리자 및 고객 시스템 및 데이터에 액세스할 수 있는 기술자를 유심히 할? 확인 새로 고용한 직원 민감한 고객 시스템 및 데이터에 즉시 액세스할 필요가 없습니다. 계정 관리는 새로운 직원을 위탁 하기 전에 공급 업체 들이 유능 하 고 신뢰할 수 있는 증명 하기 위해 새로운 직원을 요청 해야 합니다.

배경 수 표 관리? 할 그들은 정기적으로 업데이트 및/또는 배경 검사를 다시 실행? 사람들 범죄 기록이 추가 시험 한다 또는 고려 사람에서 아예 제외. 또한, 경쟁사에 대 한 과거에 근무 하는 직원 있다? 펩시 작업자 인 경우 하지 전 코카콜라 직원 클라우드 구현 관리를 할 수 있습니다 컴퓨팅.

초기 및 현장 보안 훈련의 어떤 종류는 시스템 관리자 및 다른 기술에 대 한 유용? 가정 보안 관리자 및 다른 기술 정보 보안 인식 하 고 주의 질문 및 특별 한 기술, 전문 인증 평가 등의 인증을 통해 자신의 능력을 증명 다음 단계는 있는지 확인 하는 사용, 보안 시스템의 철저 한 이해를가지고 그들은 기술 매뉴얼, 시스템에서 사용 되는 보안 구성 데이터 읽기 및 제조 업체 또는 유통 시스템의 보안 시스템을 논의 함으로써 그들의 경험을 강화할 수 있습니다. 보안 시스템의 새로운 버전은 구현 하 고 소프트웨어 패치 설치, 관리자와 기술자에 게 이러한 변화를 주어 야 한다.

보안 훈련의 어떤 종류는 기술 비 구름의 직원에 게 제공 서비스 회사? 클라우드 조직에 정보 보안 정책, 우선, 정책은 모든 직원에 게 배포 해야 하 고 심지어 직원 들 정책 이미 읽은 것인지; 서명할 수 있습니다 또는 적어도 고객 정보 및 시스템에 대 한 액세스 권한이; 마지막으로, 주요 정보 보안 정책 및 회사에 의해 정의 된 좋은 사례를 요약 하는 종이 준비 하는 직원을 포함 합니다.

정책 및 보안 문제, 정보 도난, 파괴, 사기 및 기타 문제에 특히 절차적 관점에서 사전 클라우드 서비스 제공 업체의 태도에 따라? 공급 업체 평가 과정의 일환으로, 클라우드 서비스 공급 업체 정책, 지침 및 클라이언트 사이드 시스템 및 데이터 보호 활동에 대 한 증거를 검토 클라우드 서비스 공급 업체 평가 과정의 일환으로 제안 요청을 준비 하는 경우 서비스 공급 업체에 게 어떻게 그들의 환경에서 고객의 데이터를 보호 하 게 해야 합니다.

어떤 보안 시스템 및 절차를 모니터링 필요? 대부분의 클라우드 서비스 공급 업체는 보안 모니터링 시스템 및 일련의 시스템 사용, 침입 탐지 시스템, 침입 방지 시스템, 방화벽, 및 그들의 보안 정책 및 절차를 그들이 어떻게 감지 하 고 서비스 거부 공격, 수정 모니터링을 볼 수 있는 프로그램 악성 코드 그리고 다른 소프트웨어 시스템 및 데이터/데이터베이스 보안 및 이전의 모든 보안 취약점을 발견 하 고 이러한 취약점을 해결 하는 방법의 자세한 기록을 손상 하는.

네트워크 모니터링 시스템 및 절차의 어떤 필요한? 이것은 위의 목록 또한 네트워크 경계와 그들의 관심사에, 인터넷 접속 장치, 내부/외부 음성 및 데이터 네트워크 서비스 및 네트워크 액세스 장치 (라우터, 스위치, 부하 분산 장치), 그리고 둘째로, 모든 네트워크 보안 취약성의 증거와 그들이 어떻게 발견 하 고 이러한 취약점을 수정 하십시오.

악의적인 내부 행동의 얼마나 많은 레코드는 클라우드 서비스 공급 업체 없?이 사건 기록 인증서를 제출 하는 모든 RFP 및 공급 업체 준비의 일부가 되어야 하는 잠재적인 클라우드 서비스 업체를 평가할 때 다루어야 하는 가장 중요 한 문제 중 하나일 수 있습니다. 준비,이 "회사 비밀;"으로 간주 될 수 있습니다 때문에 당신은 대답을 얻을 수 없습니다. 물론,이 질문에 아무 대답 경고 표시 이다.

공격을 해결 하는 방법? 같은 질문에 대답 모든 클라우드 공급 업체 사건 사고 해결 방법, 그리고 더 중요 한 것은, 어떤 되 고 개선 되었습니다 보안 정책 및 미래의 사고를 방지 하 고 신속 하 게 의심 스러운 행동을 식별 하는 클라우드 서비스 회사의 절차의 요약을 포함 해야 합니다.

클라우드 서비스 유죄 판결 하고있다 내부 공격의 고객? 둘째, 준비를 검토 해야 할 수 있습니다 또는 클라우드 서비스 공급 업체에 대 한 민감한 문제가 될 수 있기 때문에 기밀 장소;에 배치 될 수 당신이 대답을 얻지 않을 것 이다 진정으로 신뢰할 수 있는 클라우드 서비스 회사의 실수를 인정 하 고 어떻게 사고가 회사의 고객 보안 정책, 관행 및 기능 향상을 도울 수 있는지 충분히 대담 해야 합니다.

클라우드 서비스 공급 업체와 계약을 서명 하기 전에 (내부 IT 조직 및 다른 문제에 대 한 그들에 게). 가장 성공적이 고 존경 받는 클라우드 회사도 그런 사람들이 적절 한 시기에 대 한 기다리고 있을 수 있습니다 그리고 시간 올 때, 그들은 그들의 자신의 주머니를 얻을 또는 그들의 자신의 이점에 도달 악의적인 조치를 취할 것입니다. 그것은 너무 늦 었 어 하지 않는 한 거의 범인을 찾을 수는 없습니다, 비록 경고 신호는 발생 됩니다. 불만, 불 쌍 한 성능 평가, 무 보수 지불, 가족 문제, 바쁜 작업와 가끔 울 화 모든 표지판을 경고 하고있다. 그것은 중요 한, 보이지 않을 수도 있습니다 하지만 귀하의 공급 업체의 HR 팀 직원 성과의 지속적인 모니터링 및 심사 과정에서 도움을 받을 수 있는지 확인. 조직의 보안 자세를 평가할 때 이러한 접근을 가져가 라. 귀하의 공급 업체와 같은 조직의 내부 위협에 대 한 대상 될 수 있습니다.

완전히 신뢰할 수 있는 직원을 심사 하기 전에, 시스템/네트워크 모니터링, 내부 공격을 의미 하는 인간의 성능 변화의 탐지, 많은 다른 IT 서비스 회사, 같은 클라우드 기반 서비스 공급 업체 실사와 악의적인 내부 공격을 방지 하기 위해 사전 작업 감독의 높은 수준을 유지 해야 합니다. 따라서, 우리는 위의 제안을 고려해 야 합니다. 구름의 내부 위협을 줄이는 데 도움이 됩니다 제조 업체에 높은 기준을 유지 컴퓨팅.