CSA发布 |  2024年云计算顶级威胁Top11

随着云计算的快速普及，安全问题已逐渐成为企业关注的核心。云环境的复杂性、多样性及其开放性，给企业带来了前所未有的安全挑战。为帮助企业深入了解和应对这些风险，云安全联盟大中华区发布《2024年云计算顶级威胁》。报告基于对500多位行业专家的深入调研，汇集了他们对当前云安全环境的见解与建议，旨在提升企业对云计算相关威胁、漏洞及风险的认识和警觉。

作为第八届云安全联盟大中华区大会即将发布的重要成果之一，《2024年云计算顶级威胁》报告将为与会者提供关于云安全趋势的前瞻性见解。我们诚挚邀请行业专家和业界同仁，于11月15日莅临北京，共襄盛举，共同探讨云安全的未来发展，携手推动全球云安全生态的持续进步与完善！

报告指出，2024年云计算面临的安全威胁格局正在显著变化，传统的威胁如拒绝服务攻击和共享技术漏洞逐渐被边缘化，而新的安全问题，如配置错误、身份与访问管理缺陷、不安全的API接口、云安全策略缺失等，正在成为云环境中的核心风险。

文末附报告获取方式

CSA 2024年云安全顶级威胁

云计算资产的错误配置或次优设置会使其容易受到意外损坏或外部/内部恶意活动的影响。缺乏对云安全设置的系统知识或对潜在恶意意图的了解，常常导致错误配置。常见的错误配置包括：密钥管理不当、禁用监控和日志、ICMP未关闭、不安全的自动备份、存储访问控制不足以及过度开放的云访问权限。AWS S3存储桶的错误配置更是常见的安全漏洞来源之一，导致数据泄露的风险显著增加。

此外，变更控制不足在云环境中可能导致配置问题得不到及时发现和修复，增加了系统的安全风险。云环境中复杂的架构和频繁的变更使得传统IT基础设施管理方法不再适用。企业需要借助云原生的安全工具和实时自动化验证，来有效管理和减少错误配置带来的安全风险。

身份与访问管理 (IAM) 确保只有经过授权的人员在证明了其身份后才能访问他们有权访问的资源。这一系统在定义和管理用户角色、访问权限以及这些权限分配或撤销的具体条件时至关重要。尽管 IAM 在安全中扮演关键角色，但由于其复杂性以及不断变化的网络威胁，IAM 在网络安全中仍面临持续的挑战。关键组件包括用户认证、授权、单点登录 (SSO)、多因素认证 (MFA) 以及活动监控，这些都在 IAM 的有效性中起到重要作用。然而，这些功能的复杂性和动态性也可能引入漏洞，特别是当没有正确实施、配置、更新和监控时，可能带来重大风险。

随着网络威胁的日益复杂，安全敏感信息的保护越来越成为一项艰巨的任务。未能正确实施和改进 IAM 策略会使网络安全防御体系变得不堪一击。因此，持续改进 IAM 策略对于加固网络防御是不可或缺的。

云服务提供商 (CSP)、企业供应商和内部开发人员提供机器对机器的应用程序编程接口 (API) 或完整的人机界面 (UI) 套件，通常用于系统控制。然而，初始的设计需求往往与长期使用不一致。领导层的变动、企业战略方向的调整或第三方合作伙伴的访问需求，会暴露出潜在风险，并带来快速部署的时间压力。此前的决策、未记录的假设、遗留支持需求、不良的架构设计或本地部署/IaaS/SaaS产品一致性期望，都可能影响企业向云端过渡的进程。

由于各种原因，API 和 UI 容易受到攻击，常见问题包括：1. 身份验证机制不足，2. 缺乏加密，3. 会话管理不当，4. 输入验证不足，5. 记录和监控不佳，6. 过时或未打补丁的软件，7. 假设的保护策略在上云期间未能实现，8. 过度开放的访问控制，9. 对时间敏感的应用缺乏检测。Akamai 2024年报告显示，“从2023年1月到12月，网络攻击中有29%针对的是API”。2023年，OWASP指出，接口安全的重要性已反映在最新的API安全十大问题列表中。

• API提供的攻击面应按照最佳实践进行监控和安全保护。

• 应实施速率限制和限流策略，以防止拒绝服务 (DoS) 攻击和凭据填充攻击。

• 传统的安全控制方法和变更管理策略必须根据基于云的API增长进行更新。通过缩短凭据的有效期、引入多因素身份验证 (MFA) 来提升安全性。

• 在迁移功能时，确认产品和服务的一致性。供应商本地部署方案的API接口与SaaS应用之间调用存在较大延时，在不同的超大规模云服务提供商之间迁移时，可能会有很大的不同。

• 调查凭据生命周期自动化技术以及连续监控异常API流量的技术。结合威胁情报的API接口可以实时纠正问题。

尽管云计算技术已经成熟，企业对其应用越来越广泛，但有效的云安全架构和策略往往仍未得到足够重视。缺乏明确的安全策略可能导致云环境中的安全漏洞，进而引发一系列安全事件。云安全策略包括考虑各种外部因素、现有实施情况以及云技术、优先事项的选择，并朝着创建高层次计划或方法前进。这些洞见有助于企业实现云安全目标并支持业务目标。

• 制定云安全策略或关键指导原则，明确目标或目的。

• 在设计和实施云安全控制和措施时，考虑业务目标、风险、效率、安全威胁和法律合规性。

• 预见潜在的人为错误、攻击者行为，采用纵深防御策略，将配置安全列为优先事项。

• 设计适当的最佳实践云网络、账户、数据、身份管理和边界保护的最佳实践，专注于策略的落地与执行。

云计算的采用正在迅速增加，第三方资源可能包括从外部编写的代码、开源库到SaaS产品，或如威胁3中提到的不安全的接口和APIs。源于第三方资源的风险也被视为供应链漏洞，因为它们是将云服务或应用程序交付给客户的一部分。这也被称为网络安全供应链风险管理（C-CSRM），其重点在于管理云服务或应用程序中的供应链网络安全风险。

根据科罗拉多州立大学的研究，三分之二的数据泄露事件源自供应商或第三方资源的漏洞。由于产品或服务是由多个组件构成，攻击者往往可以通过任何一个环节进行攻击（例如嵌入代码中的单行代码）。对于恶意黑客来说，他们只需要找到整个系统中最薄弱的一环作为切入点，通常这类薄弱环节可能是大型企业所依赖的某个小型供应商。

• 软件无法完全确保安全，尤其是那些由第三方开发的代码或产品。因此，组织可以做出明智的决策，选择那些获得官方支持、具有合规认证的第三方资源，并要求提供透明的安全处理机制。

• 使用软件成分分析（SCA）工具识别第三方资源，创建软件物料清单（SBOM）或SaaSBOM，以便清楚了解供应链中的所有组件。

• 持续追踪SBOM和第三方资源，确保所使用的产品不会包含已知漏洞，及时获得更新和修复信息。

• 定期对第三方资源进行自动化和手动审查，确保它们符合最新的安全要求，并及时更新到安全版本。

• 与供应商合作，确保其拥有执行自动化安全测试的能力，并具备相应的培训和工具，以减少供应链中的潜在安全隐患。

尽管开发人员并不会有意创建不安全的软件，但软件和云技术的复杂性往往会无意中引入漏洞。当这种不安全的软件被部署后，攻击者可能利用这些漏洞来危害云应用程序的安全。通过专注于“云优先”策略，组织可以构建DevOps流水线，推动持续集成/持续交付（CI/CD）的实施。云服务提供商（CSP）还提供安全开发功能，如防护或自动化的应用程序安全测试。此外，CSP还提供身份与访问管理（IAM）功能，以在开发环境中强制实施最小权限原则，并支持追踪修复工作。

确保每个开发人员理解公司与CSP的共享责任假设至关重要，这需要持续的安全教育。例如，当在开发人员的软件中报告了0day漏洞时，开发人员有责任修复该问题。反之，如果漏洞存在于CSP提供的开发或操作环境中，则应由CSP负责实施补丁来解决该问题。

采用云技术可以让公司专注于独特的业务需求，而将其他一切交给CSP来管理和监控。根据《云控制矩阵 4.0》的建议，组织应“定义并实施安全开发生命周期（SDLC）流程”，用于应用程序设计、开发、部署和运营，以符合组织设定的安全要求。通过实施SDLC，企业将更加专注于交付更安全的云应用程序。

• 定义并实施安全开发生命周期（SDLC）流程，该流程包括在设计、开发和运营阶段进行漏洞扫描和弱点检测。

• 无论如何，没有任何软件是绝对安全的。企业应利用云技术开发更安全的云应用程序，并部署机制增强系统的弹性。

• 使用云技术可以避免重新发明已有的解决方案，开发人员可以使用护栏和其他API专注于解决业务中的独特问题。

• 理解共享责任模型，例如修补CSP服务或开发者应用中的漏洞，确保快速补救。

• CSP重视安全，并提供指导，例如“良好架构框架”或安全设计模式，帮助企业安全实施服务。

意外的数据泄露（通常由于配置错误导致）的风险正在逐年增加。免费公共搜索工具可以帮助定位公开的数据存储库，而这些风险广泛存在于多个云存储服务中，如亚马逊S3存储桶、Azure Blob、GCP存储、Elasticsearch等。这些问题尽管已被广泛讨论，但过去两年中，Elasticsearch和S3存储桶的漏洞依旧频繁出现，通常在暴露后24小时内即被攻击利用。

2024年4月，云安全联盟发布的研究显示，21.1%的公共存储桶中包含敏感数据。这些意外泄露的数据不仅包括常见的姓名、国籍、出生日期和性别，还涉及更多敏感信息，如护照信息、密码、教育数据、驾驶执照、医疗记录和生物识别数据。许多此类泄露是由于用户监督不足或配置错误引起的。

• 所有云平台都有可能因配置错误或用户操作失误导致数据泄露。企业应采取技术和流程结合的方式，推进教育计划、IT审计、法律规划等，以减少此类错误的发生。

• 一些基本的配置步骤可以显著降低意外数据泄露的可能性，例如：确保存储桶配置为私有、加密内容、使用强密码并启用多因素认证（MFA）。每个主要的云提供商（如亚马逊、谷歌、微软）都提供详细的配置安全指南。

• 为显著降低风险，应实施基于最小权限原则的身份与访问管理（IAM）策略，严格控制数据库访问权限，并定期审计。

• 定期审查数据存储的权限，确保合规性和数据安全。如果配置得当，云安全态势管理（CSPM）工具还可以自动修复潜在的安全问题。

系统漏洞是云服务平台中的安全缺陷，攻击者可能通过这些漏洞危害数据的机密性、完整性和可用性，甚至可能导致服务中断。云服务通常由定制软件、第三方库、服务以及操作系统构建而成，任何组件中的漏洞都可能使云服务更容易受到网络攻击威胁。

系统漏洞主要分为配置错误、0day漏洞、未修补的软件以及弱密码或默认凭据。配置错误常常发生在云服务使用默认或错误配置进行部署时，依据NSA的报告，配置错误是云计算中最常见的安全问题之一。0day漏洞指的是那些已经被发现并被攻击者利用，但尚未被云服务提供商和软件供应商修补的漏洞。未修补的软件则是指包含已知安全问题的软件，尽管已经发布了相应补丁，但这些漏洞仍未得到修复。此外，弱密码或使用默认凭据则是由于缺乏强大的身份验证机制，攻击者可以轻松地获得对系统和数据的未经授权访问权。这些漏洞的存在大大增加了云服务受到网络攻击的风险，需要进行及时的修补和配置强化，以确保系统的安全性。

• 系统漏洞是云服务中扩展攻击面的问题根源之一。NSA和CSA的调查显示，配置错误是最显著的云服务漏洞。

• 持续监控系统和网络，通过增加可见性来发现和修复安全漏洞及其他系统完整性问题。

• 定期实施补丁管理，以确保最新的安全补丁能够及时获取并部署，提高系统对网络攻击的防御能力。

• 零信任架构可以通过持续验证身份和限制对关键云资源的访问，减少0day漏洞的潜在危害。

当组织无法有效可视化或分析云服务的使用是否安全时，就会出现云可见性/可观测性不足的问题。这个问题主要体现在两个方面：未经授权的应用使用和已批准应用的误用。未经授权的应用使用通常发生在员工未经IT部门和安全许可的情况下使用云应用和资源，这导致了“影子IT”的问题。当涉及敏感数据时，这种情况尤其危险。已批准的应用误用则发生在组织无法监控其已批准应用的使用情况时，内部员工或外部威胁通常利用这些漏洞，通过凭证盗窃、SQL注入或DNS攻击等手段实施攻击。

• 制定全面的云可见性解决方案：从顶层设计入手，指派云安全架构师创建整合人员、流程和技术的解决方案。

• 进行全员培训：确保所有员工接受云使用政策的培训，并遵守相关规定。

• 审查并批准未经批准的服务：让云安全架构师或第三方进行风险管理审查，并批准所有未经批准的云服务。

• 采用云访问安全代理（CASB）和零信任安全解决方案，使用这些工具分析外部活动、发现云使用情况并识别高风险用户。

未经验证的云资源共享可能会对云服务构成重大安全风险。云资源可能包括虚拟机、存储桶和数据库，其中包含敏感数据和对业务操作至关重要的应用程序。如果缺乏用户身份验证或未遵循最小权限原则，云资源便会面临威胁，攻击者可能会窃取公司和个人的机密数据。

确保云资源安全的最佳做法之一是使用基本的身份验证机制，至少需要密码输入。然而，每年仍有大量数据泄露事件与云存储和数据库系统没有密码保护有关。在如今庞大的数据网络中，寻找未受保护的云资源似乎是个挑战，但实际上使用Shodan、Binary Edge和Grayhat Warfare等物联网（IoT）搜索工具，很容易发现未受保护的数据存储库。

• 云存储和数据库有时缺乏密码保护，容易被任何人访问。强制执行基本的用户身份验证是限制对云资源访问的重要手段。

• 通过部署MFA和第三方认证服务进一步增强身份验证。

• 持续监控用户活动有助于判断其行为是否合法或具有恶意。

高级持续性威胁（APT）仍然对云安全构成重大风险。这些复杂的对手，包括国家行为者和有组织的犯罪团伙，拥有资源和专业知识，可以在云环境中发起长期攻击，目标往往是敏感数据和关键业务资源。在2022-2023年，APT活动对云环境构成了重大威胁，其攻击手段多种多样，包括勒索软件、0day漏洞的利用、网络钓鱼、凭证盗窃、破坏性擦除数据攻击和供应链攻击等。这些攻击手段突显了APT的持续性特性，企业必须采取强有力的安全措施，以保护其云基础设施免受这些高级威胁。

为了防御云环境中的APT攻击，企业应当密切监控网络威胁情报，深入了解最活跃的APT组织及其战术、技术和程序（TTPs）。定期进行红队演练可以帮助企业测试和改进其检测和响应APT攻击的能力。同时，威胁狩猎活动也是APT检测的重要组成部分，尤其是在云环境中。

多层次的云安全策略，包括强大的访问控制、加密、监控和事件响应，是防御高级对手攻击的关键。

• 业务影响分析：定期进行业务影响分析，以识别和了解企业的关键信息资产及其潜在漏洞。这有助于企业将安全资源和努力重点放在保护最有价值的数据上。

• 网络安全信息共享：参与网络安全信息共享组和论坛，了解最活跃的APT组织及其战术、技术和程序（TTPs）。通过这些集体知识，可以增强企业的防御和响应能力。

• 攻击性安全演习：通过红队演习和威胁狩猎活动定期模拟APT的战术、技术和程序（TTPs）。这些攻击性安全演习有助于测试和提高您的检测和响应能力，确保您的安全措施能够有效应对复杂的威胁。

1. 配置错误与变更控制不足：如今位居2024年顶级威胁调查首位，相较于2022年报告中的第三位有所上升。多年来，配置管理一直是组织能力成熟度的基石。然而，向云计算的过渡加剧了这一挑战，使团队必须采用更强大的云特定配置。由于云服务的持续网络访问和无限容量特性，配置错误可能对整个组织产生广泛影响。

2. 身份与访问管理 (IAM)：曾位居首位，如今降至第二位。云环境中仍存在重放攻击、伪造身份和权限过多等挑战，这与本地设置类似。然而，使用自签名证书和糟糕的加密管理显著地增加了其安全风险。零信任架构的实施和软件定义边界（SDP）的应用正成为受访者重点关注的问题，反映了这些问题在云安全中的重要性。

3. 不安全的接口和APIs：从第二位降至第三位，微服务的采用突显了保护接口和API的重要性。尽管它们在云服务（包括SaaS和PaaS产品）中起着关键作用，但由于开发人员的效率不足与云服务所需要的持续在线的要求，导致保障安全的接口和API仍然面临巨大挑战。

4. 云安全策略缺失：仍位于第四位，这一领域持续关注的问题是：为什么在规划和构建安全解决方案时仍存在重大挑战？云计算已经是稳定发展的技术，它需要明确的可执行的架构策略。

2024年 VS 2022年云安全主要威胁排行对比

CSA《2024年云计算顶级威胁》不仅是一份技术导向的文件，它还是一个指导原则和行动指南。通过提供深入的分析、案例研究和实用建议，该报告旨在帮助组织提升自身的云安全水平，降低潜在风险，并在面对复杂多变的安全挑战时保持警惕与准备。

作为云安全领域的领导者，CSA持续为企业提供支持，以应对不断演变的安全威胁。通过持续的威胁跟踪和深入研究，CSA为企业提供了切实可行的解决方案和行业标准，以确保它们能够在快速变化的技术环境中，具备强大的安全防护能力。本报告正是基于这些努力，旨在为企业提供前瞻性的威胁洞察与应对策略。

未来，随着云计算与安全技术的不断进步，尤其是AI与云计算的加速融合，多个关键趋势将对云安全威胁格局产生深远影响。企业必须保持高度警惕，积极应对这些趋势，以确保其云环境的安全与稳定。

攻击者将继续开发更复杂的技术，包括通过人工智能技术（AI）利用云环境中的漏洞。这些新技术将需要具有持续监控和威胁狩猎能力的主动安全姿态。

云生态系统的日益复杂将增加供应链漏洞的攻击面。组织需要将其安全措施扩展到其供应商和合作伙伴。

监管机构可能会实施更严格的数据隐私和安全法规，要求组织适应其云安全实践。

• 在整个软件开发生命周期（SDLC）中集成AI：利用AI进行代码审查和早期开发中的自动漏洞扫描等任务，将有助于在代码投入生产之前识别和解决安全问题。
• 使用AI驱动的攻击性安全工具：这些工具模拟攻击者行为，以发现云配置、IAM协议和API中的漏洞。这种主动方法有助于组织领先于潜在威胁。
• 云原生安全工具：组织将越来越多地采用专为云环境设计的云原生安全工具。与传统安全解决方案相比，这些工具提供更好的可见性和控制。
• 零信任安全模型：零信任模型强调持续验证和最小权限访问，已成为云安全的标准。
• 自动化和编排：自动化安全流程和工作流程对于管理云安全复杂性至关重要。
• 安全技能培训：网络安全技能差距将继续是一个挑战。组织需要重视和投入预算用于培训和发展计划，为员工提供持续教育，不断提升员工的安全专业技能和安全意识。