7.高級持續(xù)威脅（APT）

高級持續(xù)威脅（APT）是一種寄生形式的網絡攻擊，可以滲透到系統(tǒng)中并在目標組織的IT基礎設施中建立立足點，從而竊取數據。高級持續(xù)威脅（APT）在很長一段時間內暗地追尋目標，通常會適應防備他們的安全措施。云計算安全聯(lián)盟（CSA）表示，一旦到位，高級持續(xù)威脅（APT）可以橫向移動，通過數據中心網絡并融入正常的網絡流量，以實現其目標。

8.數據丟失

云計算安全聯(lián)盟（CSA）表示，存儲在云中的數據可能會因惡意攻擊以外的原因而丟失。云計算服務提供商意外刪除或火災或地震等物理災難可導致客戶數據永久丟失，除非提供商或云計算消費者采取適當措施備份數據，遵循業(yè)務連續(xù)性的災難恢復最佳實踐。

9.盡職調查不足

云計算安全聯(lián)盟（CSA）表示，當企業(yè)高管制定業(yè)務戰(zhàn)略時，必須考慮云計算技術和服務提供商。在評估技術和提供商時，制定良好的路線圖和盡職調查清單對于最大的成功機會至關重要。那些急于采用云計算技術，并選擇提供商而不進行盡職調查的組織會面臨許多風險。

10.濫用和惡意使用云服務

云計算安全聯(lián)盟（CSA）表示，云安全服務部署、免費云服務試驗，以及通過支付工具欺詐性帳戶注冊的安全性較差，使云計算模型遭受惡意攻擊。網絡攻擊者可能會利用云計算資源針對用戶、組織或其他云計算提供商進行攻擊。濫用基于云計算的資源的例子包括發(fā)起分布式拒絕服務攻擊、垃圾電子郵件和釣魚活動。

11.拒絕服務（DoS）

拒絕服務（DoS）攻擊旨在防止服務用戶訪問其數據或應用程序。通過強制目標云服務消耗過多的有限系統(tǒng)資源（如處理器功率、內存、磁盤空間或網絡帶寬），攻擊者可能會導致系統(tǒng)速度降低，并使所有合法服務用戶無法訪問服務。

DNS提供商Dyn公司是深度挖掘報告中提到遭遇DoS攻擊的一個關鍵示例。外部組織可以使用Mirai惡意軟件驅使物聯(lián)網設備在Dyn上啟動分布式拒絕服務（DDoS）。他們之所以攻擊成功，是因為受損的物聯(lián)網設備使用了默認憑據。該報告建議分析異常的網絡流量，并審查和測試業(yè)務連續(xù)性計劃。

12.共享技術漏洞

云計算安全聯(lián)盟（CSA）指出，云計算服務提供商通過共享基礎設施、平臺或應用程序來實現其服務的可擴展性。云計算技術將“即服務”產品區(qū)分開來，而無需大幅度改變現成的硬件/軟件，有時會犧牲安全性。構成支持云計算服務部署的基礎設施組件可能沒有設計成為能夠為多租戶架構或多客戶應用程序提供強大的隔離屬性。這可能導致共享的技術漏洞，這些漏洞可能會在所有交付模型中被利用。

深度挖掘報告中的一個例子是CloudBleed漏洞，其中外部惡意參與者可以利用其軟件中的漏洞從安全服務提供商CloudFlare竊取API密鑰、密碼和其他憑據。報告建議對所有敏感數據進行加密，并根據敏感級別對數據進行分段。

額外的云威脅：Spectre和Meltdown

在2018年1月，研究人員揭示了大多數現代微處理器中常見的設計特征，它可以允許使用惡意Javascript代碼從內存中讀取內容，包括加密數據。此問題的兩個變體稱為Meltdown和Spectre，會影響從智能手機到服務器的所有設備。因此將它們添加到這個云計算威脅列表中。

Spectre和Meltdown都允許進行側通道攻擊，因為它們突破了應用程序之間的隔離。能夠通過非特權登錄訪問系統(tǒng)的攻擊者可以從內核讀取信息，或者如果攻擊者是訪問者虛擬機（VM）上的Root用戶，則可以讀取主機內核。

這對云計算服務提供商來說是一個大問題。雖然提供了一些補丁，但它們只會使實施攻擊變得更加困難。此外，修補補丁也可能會降低性能，因此某些組織可能會選擇不修補系統(tǒng)。CERT 咨詢公司建議更換所有受到影響的處理器。

到目前為止，還沒有已知的漏洞利用了Meltdown或Spectre這兩個缺陷，但專家們認為它們可能會很快得到利用，云計算提供商防范它們的最佳建議是確保所有最新的漏洞都已修補�？蛻魬�該要求了解其云計算提供商如何應對Meltdown和Spectre的信息。