1、1云计算的顶级威云计算的顶级威胁：深度胁：深度分分析析“危险的12大威胁：云计算的顶级威胁”案例研究分析以及相关的安全行业违规分析 20182018云安全联盟云安全联盟-版权所有保留所有权利版权所有保留所有权利您可以在电脑和手机等终端下载、存储、显示本报告，以及链接到云安全联盟官方网站上（https:/cloudsecurityalliance.org）查看并打印本报告，但必须遵从如下条款：（a）本报告可单独用于个人、获取信息为目的，非商业盈利使用；（b）本报告不能以任何方式被改变或修正后再转发；（c）本报告不允许在未被授权情况下大量分发或转发；（d）商标、著作权或者其他条款不得删除。根据美国

2、版权法合理使用条款，您可引用所允许的部分报告内容，但必须将引用部分注明来源于国际标准化理事会政策与序。23前前言言案案例例研研究究创创世世纪纪项项目目2012年，云安全联盟(CSA)进行了一项调查，帮助阐明了云计算最重要和最紧迫的问题。当时，云是一个相对较新的概念，通过提供有价值的行业洞察力，这一内容填补了一个巨大的空白。CSA从第一次调查中衍生出最初的“顶级威胁”(Top Threats)，并成为本案例研究的基础。然而,安全专家承认，“众所周知的9大威胁”和“十二大威胁”只提供了整体全景威胁的一小部分。其他需要考虑的因素包括参与者、风险、漏洞和影响等内容。为了解决这些缺失的因素，云安全联盟顶

3、级威胁工作组决定下一份发布的文档应该表述更多涉及架构、合规性、风险和缓解的技术细节。因此，创建了这个文档。这个案例研究收集了在顶级威胁（(Top Threats)）文件中确定的经典案例和案例研究的局限性，增加了更多的细节和行动信息。理想情况下，这些数据顶级威胁（(Top Threats)）确定了在更高的安全分析层面，提供一个清晰的理解，即如何在应用真实的场景中应用经验教训和概念。顶顶级级威威胁胁工工作作组组最最近近的的贡贡献献“2017年顶级威胁”文档中引用了最近的“十二大威胁”调查结果中发现的多个问题的例子。而这些经典案例可以让网络安全经理更好地与高管和同行进行沟通（并提供与技术人员讨论的内

4、容），从安全分析的角度来看，它们并没有提供关于所有东西如何组合在一起的详细信息。您您将将发发现现的的内内容容本案例试图通过引用顶级威胁（TopThreats）中引用9个经典案例来连接安全分析的所有要求的基础，这九个案例的每一个都以参考图表（1）和详细叙述（2）的形式进行说明。参考图表的格式攻击者风险的概要信息，从威胁和漏洞到结束控制和缓解。我们鼓励架构师和工程师使用这些信息作为他们自己分析和比较的起点。较长的叙述提供了额外的案例的上下文（例如，事件是如何发生的，或者应该如何处理）。对于那些没有公开讨论影响或缓解等细节的情况，我们推断了应该包括预期的结果和可能性。我们希望您认为这项工作是有用的，

5、欢迎您对即将出版的出版物提供任何反馈和/或参与。帮助你在未来成功。序序言言云计算正在以前所未有的速度改变组织的业务模式，云服务模型的开发比以往任何时候都能更有效地支持业务，但同时也带来新的安全挑战。在CSA之前所发布的报告中指出，云服务与生俱来的特质决定了其能够使用户绕过整个组织的安全政策，并在影子IT项目中建立自己的账户。因此，组织必须采取新的管制措施。4李雨航 Yale LiCSA云安全联盟大中华区主席云安全联盟大中华区非常感谢翻译和支持工作者们无私贡献。2018年月，CSA正式发布Top Threats to Cloud computing:Deep dive最新版研究报告。该报告全面深

6、度解析了云计算领域的顶级威胁，为了让企业更深刻理解云安全问题，以便他们能够采用策略做出明智的决策。报告试图通过使用顶级威胁中引用的九个案例作为其基础来连接安全性分析的所有点。九个例子中的每一个都以参考图表和详细叙述的形式呈现。参考图表的格式提供了威胁主题的攻击式概要，从威胁和漏洞到最终控制和缓解。我们鼓励工程师将这些信息作为他们自己分析和比较的起点。目目录录致致谢谢顶顶级级威威胁胁列列表表分分析析案案例例研研究究LinkedIn(顶级威胁 1，2，5，11和12)MongoDB(顶级威胁1，2，3，6，和8)Dirty Cow(顶级威胁2和4)Zynga(顶级威胁1，2和6)Net Trave