云工作負載、供應鏈、邊緣計算、物聯網（IoT）以及區塊鏈等新技術的流行和應用改變了云計算應用的安全格局。為了提高對云中威脅、漏洞和風險的認知，國際云安全聯盟（CSA）不久前就當前云計算領域的應用安全問題展開研究，對700余名云計算技術行業專家進行了調研，并編寫發布《云計算頂級威脅報告》。報告認為，以下11個方面的安全挑戰正在成為阻礙云計算應用的關鍵性威脅。

　　威脅1

　　身份、憑據、訪問權限

　　和密鑰管理不善

　　身份、憑據、訪問管理系統中一般包含了允許組織管理、監控和保護用戶對關鍵資源進行訪問的各類工具和策略，這些關鍵資源可能包括電子文件、計算機系統和物理資源，例如服務器機房或建筑物等。在此過程中，適當地維護和持續監控身份、憑據、訪問管理系統至關重要。在身份和訪問管理（IAM）中使用風險評分可增強安全態勢。使用清晰的風險分配模型、持續的監控以及適當的行為隔離和細分有助于交叉檢查（cross-check）IAM系統。

　　業務影響

　　如果身份、憑據、訪問權限和密鑰管理不善，可能會造成如下負面后果：

　　? 業務系統訪問缺乏合規性，員工對網絡安全性漠不關心；

　　? 關鍵業務數據被替換或損壞，未經授權或惡意用戶的數據滲漏難以發現；

　　? 喪失用戶信任和業務營收；

　　? 因嚴重安全事件響應和取證而產生額外的財務費用；

　　? 勒索軟件攻擊和供應鏈中斷。

　　安全事件

　　2019年1月- 7月，Capital One銀行發生大規模數據泄露事件，該事件的誘因是Capital One在其AWS賬戶中的服務器執行任意用戶發起請求。攻擊者可以借助放置在公網上的服務器非法訪問內網中的服務器，進而造成命令執行、數據泄露等危害。

　　防護要點

　　? 使用多因素身份驗證；

　　? 對云用戶和身份使用嚴格的訪問控制，特別是限制root賬戶的使用；

　　? 根據業務需求和最小特權原則隔離和細分賬戶；

　　? 采用程序化、集中式方法輪換密鑰；

　　? 及時刪除未使用的憑據和訪問特權。

　　威脅2

　　不安全的接口和API

　　組織為了給第三方開發人員和客戶提供更好的數字體驗，正在加速采用API。但隨著API日趨普及，保護這些接口的安全性也變得至關重要。必須檢查API和微服務是否存在由于錯誤配置、不良編碼實踐、缺乏身份驗證和不當授權而導致的漏洞。這些漏洞可能會使接口易受攻擊。

　　API和其他接口的錯誤配置是安全事件和數據泄露的主要原因，常見的問題有：未經身份驗證的端點；弱認證；權限過大；禁用標準安全控制；系統未打補丁；邏輯設計問題；禁用日志記錄或監控等。這些問題可能會導致資源滲漏、刪除或修改，數據調整或服務中斷等。

　　業務影響

　　API和不安全接口對業務的影響主要是敏感或私有數據意外暴露，此類風險的嚴重程度取決于API使用方式以及檢測和緩解漏洞的速度。

　　安全事件

　　2021年5月5日，居家健身品牌Peloton曝出API漏洞，不健全的用戶身份驗證和對象級授權會通過API暴露Peloton客戶個人身份信息（PII）。這些數據包括詳細的用戶年齡、性別、城市、體重、鍛煉統計數據，甚至可揭示用戶在個人資料設置頁面中設為私密的生日等信息。

　　防護要點

　　? 跟蹤、配置和保護與API相關的攻擊面；

　　? 更新傳統的控制和變更管理策略及方法，以跟上基于云的API增長和變化趨勢；

　　? 企業應采用自動化技術，持續監控異常API流量并近乎實時地修復漏洞；

　　? 考慮采用開放的API框架，例如開放云計算接口（OCCI）或云基礎架構管理接口（CIMI）。

　　威脅3

　　錯誤配置和變更控制不足

　　錯誤配置是指計算資產的不正確或不合理設置，使它們易受意外損壞或惡意活動的影響。常見的錯誤配置包括：不安全的數據存儲元素或容器；過多的權限；保持默認憑據和配置設置不變；禁用標準安全控制；系統未打補丁；禁用日志記錄或監控；不受限制地訪問端口和服務；不安全地管理秘密；配置不當或缺乏配置驗證。云資源配置錯誤是數據泄露的主要原因，可能導致資源刪除或修改以及服務中斷。

　　云環境中的不當變更控制可能會導致錯誤配置，并阻礙錯誤配置的修復。云環境和云計算方法與傳統信息技術（IT）的不同之處在于它使更改更難以控制。傳統的變更流程涉及多個角色和許可，因此需要數天或數周才能投入使用。云計算依靠自動化、角色擴展和訪問來支持快速變更，這使得其很難控制變更。此外，使用多個云提供商會增加復雜性，每個提供商的獨特功能幾乎每天都在增強和擴展。這種動態環境需要一種敏捷和主動的變更控制和修復方法。

　　業務影響

　　錯誤配置和變更控制不足造成的影響主要包括：

　　? 數據披露影響保密性；

　　? 數據丟失影響可用性；

　　? 數據破壞影響完整性；

　　? 系統性能影響運營效率；

　　? 系統中斷影響運營可持續性；

　　? 勒索贖金會造成財務影響；

　　? 違規和罰款造成合規和財務影響；

　　? 收入損失；

　　? 股價下跌；

　　? 公司聲譽影響。

　　安全事件

　　2021年1月7日，微軟公司錯誤配置了Microsoft Azure Blob（云）存儲桶，該存儲桶存放了大量第三方數據，希望與微軟合作的100多個企業“宣傳片”和源代碼被公開披露。

　　防護要點

　　? 企業需要采用持續掃描配置錯誤資源的可用技術，以便實時修復漏洞；

　　? 變更管理方法必須能夠反映業務轉型和安全挑戰的動態性質，以確保使用實時自動驗證正確批準變更。

　　威脅4

　　缺乏云安全架構和策略

　　云安全策略和架構包括對云部署模型、云服務模型、云服務提供商（CSP）、服務區域可用區、特定云服務和一般原則的考慮和選擇。此外，IAM的前瞻性設計、跨不同云帳戶、供應商、服務和環境的網絡和安全控制也在范圍內。對戰略的考慮應先于架構規劃并指導架構設計，但云挑戰通常需要增量和敏捷的規劃方法。如果云計算要成功且安全，則不能忽視安全考慮和風險。行業違規事件表明，缺乏這樣的規劃可能會導致云環境和應用程序無法（或無法有效地）抵御網絡攻擊。

　　業務影響

　　缺乏云安全策略和架構會限制高效的企業和基礎設施安全架構實施的可行性。如果沒有這些安全/合規目標，云計算將無法取得成功，甚至還會導致因違規而被罰款和其他處罰，或者由于實施不當的重構和遷移而產生巨額成本。

　　安全事件

　　2021年1月，沃爾瑪旗下的美國服裝店Bonobos遭遇大規模數據泄露，暴露了數百萬客戶的個人信息，其中包括客戶地址、電話號碼、部分信用卡號碼和網站上的訂單。發生這種情況的原因是托管備份文件的外部云備份服務遭到破壞。

　　防護要點

　　? 企業應在云服務和基礎架構設計和決策中考慮業務目標、風險、安全威脅和法律合規性；

　　? 鑒于云環境快速變化的步伐和有限的集中控制，遵循云服務和基礎架構安全設計原則對于開發更為重要；

　　? 將盡職調查和第三方供應商安全評估視為基本實踐，并與威脅建模、安全設計和集成相輔相成。

　　威脅5

　　不安全的軟件開發

　　軟件系統很復雜，而云技術往往又會增加這種復雜性，這會增加漏洞利用和錯誤配置的可能性。雖然開發人員本意并不是為了開發不安全的軟件，但主要軟件供應商每月都會發布補丁，以修復影響系統機密性、完整性和/或可用性的代碼錯誤。雖然并非所有軟件錯誤都具有安全隱患，但正如歷史所證明的那樣，即使是不起眼的失誤也可能成為重大威脅。

　　業務影響

　　不安全的軟件開發可能造成的影響包括：

　　? 客戶對產品或解決方案失去信心；

　　? 數據泄露導致品牌聲譽受損；

　　? 訴訟造成的法律和財務影響。

　　安全事件

　　2021年9月13日，研究人員發現AppleiOS被NSO的Pegasus軟件利用，涉及允許遠程執行代碼的零點擊漏洞。

　　防護要點

　　? 使用云技術讓開發人員能夠專注于業務特有的問題；

　　? 通過利用共享責任模型，可以將修復等項目歸云服務提供商（CSP）而非企業所有；

　　? CSP重視安全性，并將就如何以安全方式實施服務提供指導，例如AWS Well-Architected Framework或安全設計模式。

　　威脅6

　　不安全的供應鏈系統

　　在云計算采用率迅速增長的現實中，第三方資源可能意味著不同的事物：從開源代碼到SaaS產品和API風險，一直到云供應商提供的托管服務。來自第三方資源的風險也被視為“供應鏈漏洞”，因為它們是企業交付產品或服務過程的一部分。近年來，隨著對第三方供應鏈服務的依賴日益增加，網絡犯罪分子利用這些漏洞的情況越來越多。研究顯示，2/3的違規行為由供應商或第三方漏洞造成。

　　業務影響

　　不安全的供應鏈系統可能其造成的影響主要有：

　　? 云上關鍵業務流程的丟失或中斷；

　　? 云業務數據遭到外部用戶訪問；

　　? 修補或修復安全問題取決于提供商及其響應速度，同時需要不斷更新內部應用程序和產品。這對業務的影響可能至關重要，具體取決于易受攻擊的組件對應用程序的重要性。

　　安全事件

　　2019年5月至2021年8月，大眾汽車集團的北美子公司遭遇由供應商造成的數據泄露事件，該供應商在2019年5月至2021年8月期間將存儲服務置于未受保護的狀態。此事件涉及330萬客戶，泄露數據包括個人身份信息（PII）以及對某些客戶而言更為敏感的財務數據。

　　防護要點

　　? 雖然企業無法防止并非由自己創建的代碼或產品中的漏洞，但可以嘗試就使用哪種產品做出正確的決策，例如：尋找官方支持的產品，以及那些擁有合規認證、漏洞賞金計劃并提供安全公告和快速修復程序的企業；

　　? 識別并跟蹤企業正在使用的第三方，這包括開源、SaaS產品、云提供商和托管服務，以及可能已添加到應用程序中的其他集成；

　　? 定期審查第三方資源。如果發現不需要的產品，請將其刪除并撤銷可能已授予它們的權限（如進入代碼存儲庫、基礎架構或應用程序的任何訪問權限）；

　　? 不要成為薄弱環節。在適用范圍內對企業應用程序進行滲透測試、向開發人員介紹安全編碼實踐，并使用靜態應用程序安全測試（SAST）和動態應用程序安全測試（DAST）解決方案。

　　威脅7

　　系統漏洞

　　系統漏洞也是目前云服務平臺中普遍存在的缺陷。攻擊者可能會利用它們來破壞數據的機密性、完整性和可用性，從而破壞服務運營。值得注意的是，所有組件都可能包含使云服務易受攻擊的漏洞。這些系統漏洞主要有四類：

　　? 零日漏洞——新發現的還未開發出補丁的漏洞。黑客會迅速利用這些漏洞，因為在部署補丁之前沒有任何東西可以阻止它們。之前發現的Log4Shell就是一個典型的零日漏洞示例。

　　? 缺少安全補丁——隨著未修補漏洞數量的增加，整體系統安全風險也在增加，因此，一旦發現有已知關鍵漏洞的補丁可用，盡快部署它們可以減少系統的攻擊面。

　　? 基于配置的漏洞——當系統使用默認或錯誤配置的設置部署時，就會出現這種漏洞。基于配置的漏洞示例包括使用遺留安全協議、弱加密密碼、弱權限和保護不善的系統管理界面。此外，在系統上運行不必要的服務是另一個與配置相關的問題。

　　? 弱驗證或默認憑據——缺乏強身份驗證憑據使潛在的攻擊者可以輕松訪問系統資源和相關數據。同樣地，未安全存儲的密碼可能會被黑客竊取并用于侵入系統。

　　業務影響

　　云計算系統漏洞可能對業務造成的影響有：

　　? 許多數據泄露都是由系統漏洞造成的；

　　? 當發生數據泄露時，企業業務可能會中斷，從而影響客戶使用企業服務；

　　? 處理數據泄露等問題而產生額外的技術性成本。

　　安全事件

　　2021年12月，Log4Shell（CVE-2021-45046）遠程代碼漏洞爆發，影響了基于Java的Log4j日志記錄工具2.0beta9-2.14.1版本。鑒于Java在云系統中的廣泛使用，Log4Shell成為一個嚴重威脅。攻擊者可以通過向易受攻擊的系統提交惡意請求來利用Log4Shell，該請求會導致系統執行任意代碼，從而使攻擊者能夠竊取信息、啟動勒索軟件或接管系統的控制權。

　　防護要點

　　? 系統漏洞是系統組件中的缺陷，通常由人為錯誤引入，使黑客更容易攻擊企業的云服務，因此強化“人”的因素至關重要，企業可以定期開展安全培訓和教育；

　　? 通過常規漏洞檢測和補丁部署以及嚴格的IAM實踐，可以大大降低系統漏洞導致的安全風險。

　　威脅8

　　云計算數據的意外泄露

　　云服務使企業能夠以前所未有的速度構建、創新和擴展。然而，云的復雜性和向云服務所有權的轉變，通常會導致缺乏安全治理和控制。不同CSP中云資源配置數量的增加使錯誤配置更加普遍，云庫存缺乏透明度和網絡可視性可能會導致數據意外泄露。

　　業務影響

　　意外的數據泄露可能造成的業務影響有：

　　? 這些數據中可能包含敏感的客戶數據、員工信息、產品數據等。暴露此類數據會導致意外費用，如取證團隊、客戶支持流程產生的費用以及受影響客戶的賠償；

　　? 數據泄露還會產生很多額外的間接成本，例如內部調查和溝通、當前客戶流失以及由于信譽受損而導致的潛在客戶流失等。

　　安全事件

　　2021年1月，VIP游戲公司因云配置錯誤暴露了超過6萬用戶的2300萬條記錄，其中包含電子郵件、用戶名、社交問題、網絡ID和網絡上的玩家數據。

　　防護重點

　　? 基于配置的解決方案在提供必要的可見性方面有限，并且無法檢查或掃描工作負載，因此有必要查看托管服務的PaaS數據庫、存儲和計算工作負載，包括虛擬機、容器和安裝在其上的數據庫軟件；

　　? 選擇對企業云環境具有完全可見性的引擎，以識別允許將流量暴露在外部的任何路由或網絡服務，包括負載均衡器、應用程序負載均衡器、內容分發網絡（CDN）、網絡對等互連、云防火墻、Kubernetes網絡等；

　　? 確保數據庫實施最低權限的IAM策略，并通過控制和監控該策略的分配來減少訪問風險。

　　威脅9

　　云工作負載的錯誤配置和利用

　　管理和擴展云基礎架構及安全控制以運行應用程序仍然是云計算開發團隊的重大挑戰。無服務器和云原生容器化工作負載似乎是解決這個問題的靈丹妙藥——將責任轉移給云服務提供商。不過與將虛擬機遷移到云相比，它們需要更高級別的云和應用程序安全成熟度。

　　在無服務器模型中，CSP負責底層基礎架構的安全和管理。除了開發和運營方面的優勢之外，這還減少了攻擊面，因為默認情況下CSP在短期容器中運行功能代碼。不斷刷新的系統顯著限制了攻擊事件的持久性。但是，如果CSP允許客戶配置具有更長生命周期和“熱啟動”（warm start）配置的無服務器容器，則環境會變得不那么安全。其他風險包括臨時文件系統和共享內存，這也可能泄漏敏感信息。

　　缺乏對基礎設施的控制，也妨礙了應用程序安全問題的緩解和傳統安全工具可見性的實現。企業需要圍繞云環境、應用程序、可視化、訪問控制和機密管理建立強大的安全性，以減少攻擊半徑。

　　業務影響

　　無服務器和容器化工作負載可以顯著提高云計算應用的敏捷性、降低成本、簡化操作，甚至提高安全性。但在缺乏必要專業知識和盡職調查的情況下，使用這些技術實施的應用程序配置可能會導致重大違規、數據丟失甚至業務現金流枯竭。

　　安全事件

　　2021年以來，圍繞拒絕錢包（Denial of Wallet，DOW）攻擊的云安全事件越來越多。DoW攻擊與傳統的拒絕服務（DoS）攻擊類似，兩者都旨在引起破壞。但是，DoW攻擊專門針對無服務器用戶。這種攻擊利用了以下事實：無服務器供應商根據應用程序消耗的資源量向用戶收費，這意味著，如果攻擊者向網站充斥流量，則網站所有者可能會承擔巨額賬單。

　　防護要點

　　? 企業應通過云安全態勢管理（CSPM）、云基礎設施授權管理（CIEM）和云工作負載保護平臺（CWPP）實施自動檢查；

　　? 企業應投資于云安全培訓、治理流程和可重用的安全云架構模式，以降低不安全的云配置風險和頻率；

　　? 開發團隊在遷移至無服務器技術之前，應更加嚴格地遵循安全相關的最佳實踐。

　　威脅10

　　有組織的犯罪團伙和APT攻擊

　　有組織的犯罪團伙旨在描述一個犯罪團伙的組織級別。高級持續性威脅（APT）是一個廣義術語，用于描述入侵者或入侵團隊在網絡上長期開展非法活動，以挖掘高度敏感的數據。APT已經建立了復雜的戰術、技術和協議（TTP）來滲透其目標。他們經常在目標網絡中潛伏數月不被發現，并能夠在網絡中橫向移動以訪問高度敏感的業務數據或資產。

　　業務影響

　　? APT組織的動機各不相同。有些是出于政治動機（即黑客活動主義者），而另一些則是有組織的犯罪集團的一部分，甚至還有一些團體是國家行為體黑客組織；

　　? 要了解APT組織可能對企業產生的業務影響，企業必須對其信息資產進行業務影響分析。這使企業能夠了解APT組織如何以及為什么可能以其為目標，以及潛在安全漏洞的潛在業務影響可能是什么。

　　安全事件

　　2016年2月，Lazarus group（APT38）幾乎徹底搶劫了孟加拉國的國家銀行；2022年1月，LAPSUS$入侵了Nvidia的內部網絡并竊取了機密數據。該組織沒有向Nvidia勒索數據，而是要求釋放對用于加密挖掘的圖形處理單元的限制。

　　防護要點

　　? 對企業進行業務影響分析，以了解企業信息資產；

　　? 參加網絡安全信息共享小組，以了解任何相關的APT組織及其TTP（Tactics、Techniques和Procedures，即戰術、技術和過程）；

　　? 進行攻擊性安全演習以模擬這些APT組織的TTP，并調整安全監控工具以進行檢測。

　　威脅11

　　不安全的云上數據存儲

　　云存儲數據發生泄露是涉及敏感、受保護或機密信息的嚴重安全事件。這些數據可能會被企業之外的個人發布、查看、竊取或使用。云存儲數據是有針對性攻擊的最主要目標之一，并且可能是由漏洞利用、配置錯誤、應用程序漏洞或糟糕的安全實踐造成的。這類數據泄露可能涉及不打算公開發布的任何信息類型，例如個人健康信息、財務信息、個人身份信息、商業機密和知識產權等。

　　業務影響

　　云存儲數據泄露可能造成的業務影響有：

　　? 知識產權丟失，被用于其它產品開發、戰略計劃，甚至發動未來攻擊；

　　? 失去客戶、利益相關者、合作伙伴和員工的信任，可能會抑制商業行為、投資和購買，并降低員工在企業工作的意愿；

　　? 監管更嚴格，包括財務罰款或流程和業務變更等；

　　? 地緣政治因素會影響商業行為。

　　安全事件

　　2021年6月，因發生重大用戶數據泄露事件，Facebook在歐洲受到起訴，但該事件直到在暗網論壇上發現其有超過5.33億個賬戶信息可供免費下載后才被曝光。

　　防護要點

　　? 云存儲需要配置良好的環境（SSPM、CSPM）；

　　? 應用CSP最佳實踐指南、監控和檢測功能，以檢測和防止攻擊及數據泄露；

　　? 需要對員工進行云存儲使用安全意識培訓，因為數據分散在不同的位置并由不同的角色控制；

　　? 在適當的情況下實施客戶端加密；

　　? 對數據進行分類并記錄事件響應中所采取的措施。

更多信息可以來這里獲取==>>電子技術應用-AET<<