本文來(lái)自微信公眾號(hào)“GoUpSec”。
根據(jù)云安全聯(lián)盟(Cloud Security Alliance)發(fā)布的《2024年云計(jì)算十大威脅報(bào)告》,過(guò)去與云服務(wù)提供商相關(guān)的安全問(wèn)題的嚴(yán)重性正在逐漸降低。配置錯(cuò)誤、身份與訪問(wèn)管理(IAM)薄弱以及API風(fēng)險(xiǎn)等問(wèn)題依然是當(dāng)前云安全的重大隱患。
云安全威脅的三座大山
報(bào)告顯示,自2022年以來(lái),云安全問(wèn)題的嚴(yán)峻性并未減少,尤其是配置錯(cuò)誤、IAM弱點(diǎn)、不安全的應(yīng)用程序接口(API)這“三座大山”依然牢牢占據(jù)著云安全威脅榜單的前三名。
“同樣的問(wèn)題一直位居榜首,可能令人誤以為是安全進(jìn)展緩慢所致。但廣泛來(lái)看,這反映了各組織對(duì)這些漏洞的重視,以及他們?cè)跇?gòu)建更安全、彈性云環(huán)境方面的努力。”云安全聯(lián)盟十大威脅工作組聯(lián)合主席Michael Roza表示。
2024年云安全十大威脅排名
根據(jù)最新報(bào)告,以下問(wèn)題被列為2024年云安全的主要威脅:
1.配置錯(cuò)誤與變更控制不當(dāng)
2.身份與訪問(wèn)管理(IAM)
3.不安全的接口與API
4.云安全策略選擇/實(shí)施不當(dāng)
5.不安全的第三方資源
6.不安全的軟件開(kāi)發(fā)
7.云數(shù)據(jù)泄露
8.系統(tǒng)漏洞
9.云的可見(jiàn)性/可觀測(cè)性不足
10.未認(rèn)證的資源共享
值得注意的是,一些在2022年排名靠前的問(wèn)題,如拒絕服務(wù)攻擊、共享技術(shù)漏洞和CSP數(shù)據(jù)丟失,在本次報(bào)告中排名較低,未進(jìn)入前十。
云安全未來(lái)的四大關(guān)鍵趨勢(shì)
在新的云安全威脅背景下,報(bào)告還探討了云計(jì)算和云安全的四大關(guān)鍵趨勢(shì):
●攻擊復(fù)雜性增加:攻擊者將繼續(xù)發(fā)展更復(fù)雜的技術(shù),包括利用人工智能(AI)來(lái)攻擊云環(huán)境中的漏洞,這將需要企業(yè)采取更積極的安全姿態(tài),并加強(qiáng)持續(xù)監(jiān)控和威脅狩獵能力。
●供應(yīng)鏈風(fēng)險(xiǎn)增加:隨著云生態(tài)系統(tǒng)的復(fù)雜性增加,供應(yīng)鏈漏洞的攻擊面也將擴(kuò)大,企業(yè)需要將安全措施擴(kuò)展到其供應(yīng)商和合作伙伴。
●監(jiān)管環(huán)境演變:預(yù)計(jì)監(jiān)管機(jī)構(gòu)將實(shí)施更嚴(yán)格的數(shù)據(jù)隱私和安全法規(guī),要求企業(yè)調(diào)整其云安全實(shí)踐。
●勒索軟件即服務(wù)(RaaS)崛起:RaaS將使技術(shù)欠缺的攻擊者更容易發(fā)起復(fù)雜的勒索軟件攻擊,這要求企業(yè)擁有強(qiáng)大的數(shù)據(jù)備份和恢復(fù)解決方案,并加強(qiáng)訪問(wèn)控制。
云安全聯(lián)盟技術(shù)研究主管Sean Heide指出:“鑒于不斷變化的網(wǎng)絡(luò)安全環(huán)境,企業(yè)很難始終保持領(lǐng)先地位,降低財(cái)務(wù)和聲譽(yù)風(fēng)險(xiǎn)。通過(guò)關(guān)注這些行業(yè)內(nèi)最為關(guān)切的威脅、漏洞和風(fēng)險(xiǎn),企業(yè)可以更好地集中資源應(yīng)對(duì)挑戰(zhàn)。”