随着云计算的快速普及,安全问题已逐渐成为企业关注的核心。云环境的复杂性、多样性及其开放性,给企业带来了前所未有的安全挑战。为帮助企业深入了解和应对这些风险,云安全联盟大中华区发布《2024年云计算顶级威胁》。报告基于对500多位行业专家的深入调研,汇集了他们对当前云安全环境的见解与建议,旨在提升企业对云计算相关威胁、漏洞及风险的认识和警觉。
作为第八届云安全联盟大中华区大会即将发布的重要成果之一,《2024年云计算顶级威胁》报告将为与会者提供关于云安全趋势的前瞻性见解。我们诚挚邀请行业专家和业界同仁,于11月15日莅临北京,共襄盛举,共同探讨云安全的未来发展,携手推动全球云安全生态的持续进步与完善!
报告指出,2024年云计算面临的安全威胁格局正在显著变化,传统的威胁如拒绝服务攻击和共享技术漏洞逐渐被边缘化,而新的安全问题,如配置错误、身份与访问管理缺陷、不安全的API接口、云安全策略缺失等,正在成为云环境中的核心风险。
2024年11项顶级云安全威胁
CSA 2024年云安全顶级威胁
报告对每项威胁进行了分析,包括其描述、业务影响、关键措施以及实际案例,同时参考了CSA的《云计算关键领域安全指南第5版》中的相关章节和CSA《云控制矩阵(CCM)》及《CAIQ v4》中的相关缓解控制措施。最后,整体方法论代表了CSA《云审计知识证书学习指南v1》中提出的顶级威胁方法论。
1 配置错误与变更控制不足
云计算资产的错误配置或次优设置会使其容易受到意外损坏或外部/内部恶意活动的影响。缺乏对云安全设置的系统知识或对潜在恶意意图的了解,常常导致错误配置。常见的错误配置包括:密钥管理不当、禁用监控和日志、ICMP未关闭、不安全的自动备份、存储访问控制不足以及过度开放的云访问权限。AWS S3存储桶的错误配置更是常见的安全漏洞来源之一,导致数据泄露的风险显著增加。
此外,变更控制不足在云环境中可能导致配置问题得不到及时发现和修复,增加了系统的安全风险。云环境中复杂的架构和频繁的变更使得传统IT基础设施管理方法不再适用。企业需要借助云原生的安全工具和实时自动化验证,来有效管理和减少错误配置带来的安全风险。
关键措施
2 身份与访问管理(IAM)
身份与访问管理 (IAM) 确保只有经过授权的人员在证明了其身份后才能访问他们有权访问的资源。这一系统在定义和管理用户角色、访问权限以及这些权限分配或撤销的具体条件时至关重要。尽管 IAM 在安全中扮演关键角色,但由于其复杂性以及不断变化的网络威胁,IAM 在网络安全中仍面临持续的挑战。关键组件包括用户认证、授权、单点登录 (SSO)、多因素认证 (MFA) 以及活动监控,这些都在 IAM 的有效性中起到重要作用。然而,这些功能的复杂性和动态性也可能引入漏洞,特别是当没有正确实施、配置、更新和监控时,可能带来重大风险。
随着网络威胁的日益复杂,安全敏感信息的保护越来越成为一项艰巨的任务。未能正确实施和改进 IAM 策略会使网络安全防御体系变得不堪一击。因此,持续改进 IAM 策略对于加固网络防御是不可或缺的。
关键措施
3 不安全的接口与APIs
云服务提供商 (CSP)、企业供应商和内部开发人员提供机器对机器的应用程序编程接口 (API) 或完整的人机界面 (UI) 套件,通常用于系统控制。然而,初始的设计需求往往与长期使用不一致。领导层的变动、企业战略方向的调整或第三方合作伙伴的访问需求,会暴露出潜在风险,并带来快速部署的时间压力。此前的决策、未记录的假设、遗留支持需求、不良的架构设计或本地部署/IaaS/SaaS产品一致性期望,都可能影响企业向云端过渡的进程。
由于各种原因,API 和 UI 容易受到攻击,常见问题包括:1. 身份验证机制不足,2. 缺乏加密,3. 会话管理不当,4. 输入验证不足,5. 记录和监控不佳,6. 过时或未打补丁的软件,7. 假设的保护策略在上云期间未能实现,8. 过度开放的访问控制,9. 对时间敏感的应用缺乏检测。Akamai 2024年报告显示,“从2023年1月到12月,网络攻击中有29%针对的是API”。2023年,OWASP指出,接口安全的重要性已反映在最新的API安全十大问题列表中。
关键措施
4 云安全策略缺失
尽管云计算技术已经成熟,企业对其应用越来越广泛,但有效的云安全架构和策略往往仍未得到足够重视。缺乏明确的安全策略可能导致云环境中的安全漏洞,进而引发一系列安全事件。云安全策略包括考虑各种外部因素、现有实施情况以及云技术、优先事项的选择,并朝着创建高层次计划或方法前进。这些洞见有助于企业实现云安全目标并支持业务目标。
关键措施
5 不安全的第三方资源
云计算的采用正在迅速增加,第三方资源可能包括从外部编写的代码、开源库到SaaS产品,或如威胁3中提到的不安全的接口和APIs。源于第三方资源的风险也被视为供应链漏洞,因为它们是将云服务或应用程序交付给客户的一部分。这也被称为网络安全供应链风险管理(C-CSRM),其重点在于管理云服务或应用程序中的供应链网络安全风险。
根据科罗拉多州立大学的研究,三分之二的数据泄露事件源自供应商或第三方资源的漏洞。由于产品或服务是由多个组件构成,攻击者往往可以通过任何一个环节进行攻击(例如嵌入代码中的单行代码)。对于恶意黑客来说,他们只需要找到整个系统中最薄弱的一环作为切入点,通常这类薄弱环节可能是大型企业所依赖的某个小型供应商。
关键措施
6 不安全的软件开发
尽管开发人员并不会有意创建不安全的软件,但软件和云技术的复杂性往往会无意中引入漏洞。当这种不安全的软件被部署后,攻击者可能利用这些漏洞来危害云应用程序的安全。通过专注于“云优先”策略,组织可以构建DevOps流水线,推动持续集成/持续交付(CI/CD)的实施。云服务提供商(CSP)还提供安全开发功能,如防护或自动化的应用程序安全测试。此外,CSP还提供身份与访问管理(IAM)功能,以在开发环境中强制实施最小权限原则,并支持追踪修复工作。
确保每个开发人员理解公司与CSP的共享责任假设至关重要,这需要持续的安全教育。例如,当在开发人员的软件中报告了0day漏洞时,开发人员有责任修复该问题。反之,如果漏洞存在于CSP提供的开发或操作环境中,则应由CSP负责实施补丁来解决该问题。
采用云技术可以让公司专注于独特的业务需求,而将其他一切交给CSP来管理和监控。根据《云控制矩阵 4.0》的建议,组织应“定义并实施安全开发生命周期(SDLC)流程”,用于应用程序设计、开发、部署和运营,以符合组织设定的安全要求。通过实施SDLC,企业将更加专注于交付更安全的云应用程序。
关键措施
7 意外的数据泄露
意外的数据泄露(通常由于配置错误导致)的风险正在逐年增加。免费公共搜索工具可以帮助定位公开的数据存储库,而这些风险广泛存在于多个云存储服务中,如亚马逊S3存储桶、Azure Blob、GCP存储、Elasticsearch等。这些问题尽管已被广泛讨论,但过去两年中,Elasticsearch和S3存储桶的漏洞依旧频繁出现,通常在暴露后24小时内即被攻击利用。
2024年4月,云安全联盟发布的研究显示,21.1%的公共存储桶中包含敏感数据。这些意外泄露的数据不仅包括常见的姓名、国籍、出生日期和性别,还涉及更多敏感信息,如护照信息、密码、教育数据、驾驶执照、医疗记录和生物识别数据。许多此类泄露是由于用户监督不足或配置错误引起的。
关键措施
8 系统漏洞
系统漏洞是云服务平台中的安全缺陷,攻击者可能通过这些漏洞危害数据的机密性、完整性和可用性,甚至可能导致服务中断。云服务通常由定制软件、第三方库、服务以及操作系统构建而成,任何组件中的漏洞都可能使云服务更容易受到网络攻击威胁。
系统漏洞主要分为配置错误、0day漏洞、未修补的软件以及弱密码或默认凭据。配置错误常常发生在云服务使用默认或错误配置进行部署时,依据NSA的报告,配置错误是云计算中最常见的安全问题之一。0day漏洞指的是那些已经被发现并被攻击者利用,但尚未被云服务提供商和软件供应商修补的漏洞。未修补的软件则是指包含已知安全问题的软件,尽管已经发布了相应补丁,但这些漏洞仍未得到修复。此外,弱密码或使用默认凭据则是由于缺乏强大的身份验证机制,攻击者可以轻松地获得对系统和数据的未经授权访问权。这些漏洞的存在大大增加了云服务受到网络攻击的风险,需要进行及时的修补和配置强化,以确保系统的安全性。
关键措施
9 云可见性/可观测性不足
当组织无法有效可视化或分析云服务的使用是否安全时,就会出现云可见性/可观测性不足的问题。这个问题主要体现在两个方面:未经授权的应用使用和已批准应用的误用。未经授权的应用使用通常发生在员工未经IT部门和安全许可的情况下使用云应用和资源,这导致了“影子IT”的问题。当涉及敏感数据时,这种情况尤其危险。已批准的应用误用则发生在组织无法监控其已批准应用的使用情况时,内部员工或外部威胁通常利用这些漏洞,通过凭证盗窃、SQL注入或DNS攻击等手段实施攻击。
关键措施
10 未验证的资源共享
未经验证的云资源共享可能会对云服务构成重大安全风险。云资源可能包括虚拟机、存储桶和数据库,其中包含敏感数据和对业务操作至关重要的应用程序。如果缺乏用户身份验证或未遵循最小权限原则,云资源便会面临威胁,攻击者可能会窃取公司和个人的机密数据。
确保云资源安全的最佳做法之一是使用基本的身份验证机制,至少需要密码输入。然而,每年仍有大量数据泄露事件与云存储和数据库系统没有密码保护有关。在如今庞大的数据网络中,寻找未受保护的云资源似乎是个挑战,但实际上使用Shodan、Binary Edge和Grayhat Warfare等物联网(IoT)搜索工具,很容易发现未受保护的数据存储库。
关键措施
11 高级持续性威胁 (APT)
高级持续性威胁(APT)仍然对云安全构成重大风险。这些复杂的对手,包括国家行为者和有组织的犯罪团伙,拥有资源和专业知识,可以在云环境中发起长期攻击,目标往往是敏感数据和关键业务资源。在2022-2023年,APT活动对云环境构成了重大威胁,其攻击手段多种多样,包括勒索软件、0day漏洞的利用、网络钓鱼、凭证盗窃、破坏性擦除数据攻击和供应链攻击等。这些攻击手段突显了APT的持续性特性,企业必须采取强有力的安全措施,以保护其云基础设施免受这些高级威胁。
为了防御云环境中的APT攻击,企业应当密切监控网络威胁情报,深入了解最活跃的APT组织及其战术、技术和程序(TTPs)。定期进行红队演练可以帮助企业测试和改进其检测和响应APT攻击的能力。同时,威胁狩猎活动也是APT检测的重要组成部分,尤其是在云环境中。
多层次的云安全策略,包括强大的访问控制、加密、监控和事件响应,是防御高级对手攻击的关键。
关键措施
2022年与2024年云安全威胁排名对比分析
2024年报告提高了对以下关键安全问题的关注:
1. 配置错误与变更控制不足:如今位居2024年顶级威胁调查首位,相较于2022年报告中的第三位有所上升。多年来,配置管理一直是组织能力成熟度的基石。然而,向云计算的过渡加剧了这一挑战,使团队必须采用更强大的云特定配置。由于云服务的持续网络访问和无限容量特性,配置错误可能对整个组织产生广泛影响。
2. 身份与访问管理 (IAM):曾位居首位,如今降至第二位。云环境中仍存在重放攻击、伪造身份和权限过多等挑战,这与本地设置类似。然而,使用自签名证书和糟糕的加密管理显著地增加了其安全风险。零信任架构的实施和软件定义边界(SDP)的应用正成为受访者重点关注的问题,反映了这些问题在云安全中的重要性。
3. 不安全的接口和APIs:从第二位降至第三位,微服务的采用突显了保护接口和API的重要性。尽管它们在云服务(包括SaaS和PaaS产品)中起着关键作用,但由于开发人员的效率不足与云服务所需要的持续在线的要求,导致保障安全的接口和API仍然面临巨大挑战。
4. 云安全策略缺失:仍位于第四位,这一领域持续关注的问题是:为什么在规划和构建安全解决方案时仍存在重大挑战?云计算已经是稳定发展的技术,它需要明确的可执行的架构策略。
2024年 VS 2022年云安全主要威胁排行对比
CSA《2024年云计算顶级威胁》不仅是一份技术导向的文件,它还是一个指导原则和行动指南。通过提供深入的分析、案例研究和实用建议,该报告旨在帮助组织提升自身的云安全水平,降低潜在风险,并在面对复杂多变的安全挑战时保持警惕与准备。
结论和未来展望
作为云安全领域的领导者,CSA持续为企业提供支持,以应对不断演变的安全威胁。通过持续的威胁跟踪和深入研究,CSA为企业提供了切实可行的解决方案和行业标准,以确保它们能够在快速变化的技术环境中,具备强大的安全防护能力。本报告正是基于这些努力,旨在为企业提供前瞻性的威胁洞察与应对策略。
未来,随着云计算与安全技术的不断进步,尤其是AI与云计算的加速融合,多个关键趋势将对云安全威胁格局产生深远影响。企业必须保持高度警惕,积极应对这些趋势,以确保其云环境的安全与稳定。
以下是云计算的四大关键趋势:
攻击者将继续开发更复杂的技术,包括通过人工智能技术(AI)利用云环境中的漏洞。这些新技术将需要具有持续监控和威胁狩猎能力的主动安全姿态。
云生态系统的日益复杂将增加供应链漏洞的攻击面。组织需要将其安全措施扩展到其供应商和合作伙伴。
监管机构可能会实施更严格的数据隐私和安全法规,要求组织适应其云安全实践。
针对这些趋势企业可以采取以下关键的缓解策略:
课程预告
11月15日,The 8th CSA大会上即将发布“云安全知识认证(CCSKv5)项目”,CCSKv5全面更新了课程内容,新增了最新的云架构、云原生安全、工作负载、虚拟网络、数据保护、DevSecOps、零信任、生成式AI等内容。CCSKv5认证不仅提供关于管理风险、实现合规以及理解云服务提供商与云用户之间共享责任的关键信息,还涵盖了组织管理、云治理等内容。CCSK帮助信息安全专业人士及首席执行官更安全地使用云服务,并自信地讨论云安全问题。
致 谢
《2024年云计算顶级威胁(Top Threats to Cloud Computing 2024)》由CSA云安全联盟顶级威胁研究工作组专家编写,并由CSA大中华区组组织专家完成翻译并审校。感谢以下专家和单位的贡献:
翻译组成员
陆琪 刘连杰 刘刚 赵晨曦 卜宋博 肖文棣
审校组成员
郭鹏程 党超辉 卜宋博
贡献单位:
爱立信、天翼安全、天翼云、中国移动(香港)、晨星资讯
(以上排名不分先后)
本文作者:
罗智杰,CSA大中华区研究分析师
卜宋博,CSA大中华区研究协调员