在2022年中，云計(jì)算應(yīng)用領(lǐng)域暴露了很多安全問(wèn)題，云服務(wù)中斷、敏感數(shù)據(jù)泄露、云基礎(chǔ)設(shè)施漏洞等安全問(wèn)題層出不窮。然而，即便存在諸多安全問(wèn)題，企業(yè)上云已經(jīng)成為一種難以改變的趨勢(shì)，并且在快速增長(zhǎng)中。

為了幫助企業(yè)組織更好了解上云后的安全威脅與挑戰(zhàn)，改善上云后的數(shù)據(jù)安全狀況。云安全服務(wù)商orca.security公司的安全研究人員，日前對(duì)2023年云安全發(fā)展趨勢(shì)進(jìn)行了研究和預(yù)測(cè)，并總結(jié)了企業(yè)組織應(yīng)該重點(diǎn)關(guān)注的5大云安全威脅。

1.云上暴力攻擊

調(diào)查數(shù)據(jù)顯示，與2021年相比，2022年針對(duì)企業(yè)組織的網(wǎng)絡(luò)暴力攻擊數(shù)量增加了31%。值得一提的是，其峰值與重大地緣政治和社會(huì)經(jīng)濟(jì)事件存在很大關(guān)聯(lián)。因此，攻擊者試圖用暴力手段或其他可用的漏洞入侵企業(yè)云上資產(chǎn)只是時(shí)間問(wèn)題，并且很快就會(huì)到來(lái)。

從2022年1月至11月，Orca平臺(tái)觀察到的暴力攻擊數(shù)量

研究人員預(yù)計(jì)，2023年的網(wǎng)絡(luò)暴力攻擊活動(dòng)仍然會(huì)出現(xiàn)類似的情況，即攻擊活動(dòng)與地緣政治、全球性社會(huì)經(jīng)濟(jì)事件高度相關(guān)。這意味著在重大全球性事件發(fā)生期間，企業(yè)組織應(yīng)該提高警惕，并重點(diǎn)關(guān)注云環(huán)境中的異常安全事件和行為。

2.API威脅

隨著云上微服務(wù)架構(gòu)的流行，API的使用變得越來(lái)越普遍。根據(jù)數(shù)據(jù)顯示，當(dāng)前整個(gè)Web應(yīng)用系統(tǒng)中，有超過(guò)83%的流量都是通過(guò)API來(lái)訪問(wèn)的。與此同時(shí)，超過(guò)44%的受訪企業(yè)表示，其正在創(chuàng)建和維護(hù)的API應(yīng)用數(shù)量超過(guò)了100個(gè)。然而，企業(yè)對(duì)于如何保護(hù)API的安全意識(shí)仍然很低，甚至在很大程度上忽視了對(duì)API的安全防護(hù)。

據(jù)《2022年公共云安全狀況報(bào)告》數(shù)據(jù)顯示，高達(dá)70%的企業(yè)組織中，存在可公開(kāi)訪問(wèn)的API服務(wù)器，這使得API應(yīng)用服務(wù)面臨著巨大的網(wǎng)絡(luò)攻擊安全隱患。 

包括Gartner在內(nèi)的安全研究公司一直警告稱，API服務(wù)器攻擊預(yù)計(jì)將在未來(lái)幾年持續(xù)增長(zhǎng)，而且在2022年也已顯露苗頭。有鑒于此，研究人員預(yù)計(jì)保護(hù)云上API應(yīng)用安全將在2023年成為企業(yè)組織和安全運(yùn)營(yíng)團(tuán)隊(duì)的重要任務(wù)。

3.錯(cuò)誤的云配置和影子數(shù)據(jù)

在云中，數(shù)據(jù)被大量存儲(chǔ)在數(shù)據(jù)庫(kù)、存儲(chǔ)桶或Blob容器中，隨著云上存儲(chǔ)的數(shù)據(jù)不斷增長(zhǎng)，數(shù)據(jù)攻擊面每年也都在快速增加。2022年里，我們目睹了很多嚴(yán)重的云上數(shù)據(jù)安全事件，其中很多都是由錯(cuò)誤的云配置所引起的。

在《2022年公共云安全狀況報(bào)告》報(bào)告調(diào)研中，我們發(fā)現(xiàn)72%的企業(yè)組織至少存在一個(gè)具有公共“讀取”權(quán)限的存儲(chǔ)桶，36%的企業(yè)組織在這些云服務(wù)中存放了未加密的隱私數(shù)據(jù)和個(gè)人身份信息（PII）。

影子數(shù)據(jù)（Shadow data）是另一個(gè)日益嚴(yán)峻的挑戰(zhàn)，因?yàn)殚_(kāi)發(fā)人員很容易在無(wú)意中將一些重要數(shù)據(jù)復(fù)制存儲(chǔ)到云上，卻沒(méi)有意識(shí)到其中包含敏感數(shù)據(jù)。數(shù)據(jù)顯示，大多數(shù)的企業(yè)IT和安全團(tuán)隊(duì)目前缺少一套規(guī)范的云上數(shù)據(jù)處理流程。這對(duì)于保護(hù)企業(yè)云上數(shù)據(jù)資產(chǎn)而言，是一個(gè)巨大的安全隱患。

4.CI/CD和供應(yīng)鏈攻擊

在云計(jì)算應(yīng)用架構(gòu)與應(yīng)用開(kāi)發(fā)形態(tài)下，安全防御變得越來(lái)越復(fù)雜。對(duì)于黑客而言，CI/CD（持續(xù)集成和持續(xù)交付）環(huán)境是極具吸引力的攻擊目標(biāo)，從npm服務(wù)倉(cāng)庫(kù)和python代碼，到管道執(zhí)行（PPE），所有這些都是攻擊者們可能發(fā)起攻擊的新途徑。在2022年，一些部署了這些攻擊戰(zhàn)術(shù)的惡意軟件已經(jīng)展示了供應(yīng)鏈攻擊實(shí)現(xiàn)的容易程度。

2023年，全球經(jīng)濟(jì)發(fā)展存在大量不確定因素，網(wǎng)絡(luò)犯罪的發(fā)展趨勢(shì)也將繼續(xù)不斷上升。因此，我們可以預(yù)測(cè)，云上CI/CD和供應(yīng)鏈攻擊的數(shù)量將會(huì)快速增加，企業(yè)應(yīng)該提前做好準(zhǔn)備。

5.安全漏洞

據(jù)美國(guó)國(guó)家漏洞庫(kù)（NVD）數(shù)據(jù)所示，自2017年以來(lái)，已知的CVE數(shù)量正在不斷增加。在即將到來(lái)的2023年，我們將繼續(xù)看到越來(lái)越多的安全漏洞，這意味著組織將面臨更多的修補(bǔ)工作。因此，優(yōu)先級(jí)排序和了解應(yīng)該首先修補(bǔ)哪個(gè)漏洞將變得更加重要。

除了應(yīng)用程序方面的漏洞外，我們還將繼續(xù)在云提供商基礎(chǔ)設(shè)施中發(fā)現(xiàn)漏洞。事實(shí)上，Orca 研究人員僅在今年就在公共云平臺(tái)上發(fā)現(xiàn)了7個(gè)重大漏洞，并與云服務(wù)商合作，協(xié)助他們修復(fù)了這些漏洞。

結(jié)語(yǔ)

對(duì)企業(yè)組織而言，目前沒(méi)有保護(hù)云計(jì)算應(yīng)用安全的“水晶球”，可以精準(zhǔn)地預(yù)測(cè)其在2023年的安全狀況。對(duì)于組織來(lái)說(shuō)，最佳安全策略就是盡可能地做好準(zhǔn)備：提前知道有價(jià)值的云資產(chǎn)在哪里？有哪些云應(yīng)用缺陷可能危及業(yè)務(wù)開(kāi)展？在此基礎(chǔ)上，安全人員需要盡快解決這些問(wèn)題。

需要注意的是，無(wú)論企業(yè)進(jìn)行了哪些安全防護(hù)準(zhǔn)備，都不能實(shí)現(xiàn)百分百可靠的安全，攻擊者仍然有可能滲透到云環(huán)境中。因此，企業(yè)需要通過(guò)減少橫向移動(dòng)的機(jī)會(huì)，確保云上數(shù)據(jù)資產(chǎn)得到強(qiáng)有力的保護(hù)，將潛在的攻擊傷害維持在最低水平。

參考鏈接：https://orca.security/resources/blog/top-5-cloud-security-threats-