在2022年中，云計算應(yīng)用領(lǐng)域暴露了很多安全問題，云服務(wù)中斷、敏感數(shù)據(jù)泄露、云基礎(chǔ)設(shè)施漏洞等安全問題層出不窮。然而，即便存在諸多安全問題，企業(yè)上云已經(jīng)成為一種難以改變的趨勢，并且在快速增長中。

為了幫助企業(yè)組織更好了解上云后的安全威脅與挑戰(zhàn)，改善上云后的數(shù)據(jù)安全狀況。云安全服務(wù)商orca.security公司的安全研究人員，日前對2023年云安全發(fā)展趨勢進(jìn)行了研究和預(yù)測，并總結(jié)了企業(yè)組織應(yīng)該重點關(guān)注的5大云安全威脅。

1.云上暴力攻擊

調(diào)查數(shù)據(jù)顯示，與2021年相比，2022年針對企業(yè)組織的網(wǎng)絡(luò)暴力攻擊數(shù)量增加了31%。值得一提的是，其峰值與重大地緣政治和社會經(jīng)濟(jì)事件存在很大關(guān)聯(lián)。因此，攻擊者試圖用暴力手段或其他可用的漏洞入侵企業(yè)云上資產(chǎn)只是時間問題，并且很快就會到來。

從2022年1月至11月，Orca平臺觀察到的暴力攻擊數(shù)量

研究人員預(yù)計，2023年的網(wǎng)絡(luò)暴力攻擊活動仍然會出現(xiàn)類似的情況，即攻擊活動與地緣政治、全球性社會經(jīng)濟(jì)事件高度相關(guān)。這意味著在重大全球性事件發(fā)生期間，企業(yè)組織應(yīng)該提高警惕，并重點關(guān)注云環(huán)境中的異常安全事件和行為。

2.API威脅

隨著云上微服務(wù)架構(gòu)的流行，API的使用變得越來越普遍。根據(jù)數(shù)據(jù)顯示，當(dāng)前整個Web應(yīng)用系統(tǒng)中，有超過83%的流量都是通過API來訪問的。與此同時，超過44%的受訪企業(yè)表示，其正在創(chuàng)建和維護(hù)的API應(yīng)用數(shù)量超過了100個。然而，企業(yè)對于如何保護(hù)API的安全意識仍然很低，甚至在很大程度上忽視了對API的安全防護(hù)。

據(jù)《2022年公共云安全狀況報告》數(shù)據(jù)顯示，高達(dá)70%的企業(yè)組織中，存在可公開訪問的API服務(wù)器，這使得API應(yīng)用服務(wù)面臨著巨大的網(wǎng)絡(luò)攻擊安全隱患。 

包括Gartner在內(nèi)的安全研究公司一直警告稱，API服務(wù)器攻擊預(yù)計將在未來幾年持續(xù)增長，而且在2022年也已顯露苗頭。有鑒于此，研究人員預(yù)計保護(hù)云上API應(yīng)用安全將在2023年成為企業(yè)組織和安全運(yùn)營團(tuán)隊的重要任務(wù)。

3.錯誤的云配置和影子數(shù)據(jù)

在云中，數(shù)據(jù)被大量存儲在數(shù)據(jù)庫、存儲桶或Blob容器中，隨著云上存儲的數(shù)據(jù)不斷增長，數(shù)據(jù)攻擊面每年也都在快速增加。2022年里，我們目睹了很多嚴(yán)重的云上數(shù)據(jù)安全事件，其中很多都是由錯誤的云配置所引起的。

在《2022年公共云安全狀況報告》報告調(diào)研中，我們發(fā)現(xiàn)72%的企業(yè)組織至少存在一個具有公共“讀取”權(quán)限的存儲桶，36%的企業(yè)組織在這些云服務(wù)中存放了未加密的隱私數(shù)據(jù)和個人身份信息（PII）。

影子數(shù)據(jù)（Shadow data）是另一個日益嚴(yán)峻的挑戰(zhàn)，因為開發(fā)人員很容易在無意中將一些重要數(shù)據(jù)復(fù)制存儲到云上，卻沒有意識到其中包含敏感數(shù)據(jù)。數(shù)據(jù)顯示，大多數(shù)的企業(yè)IT和安全團(tuán)隊目前缺少一套規(guī)范的云上數(shù)據(jù)處理流程。這對于保護(hù)企業(yè)云上數(shù)據(jù)資產(chǎn)而言，是一個巨大的安全隱患。

4.CI/CD和供應(yīng)鏈攻擊

在云計算應(yīng)用架構(gòu)與應(yīng)用開發(fā)形態(tài)下，安全防御變得越來越復(fù)雜。對于黑客而言，CI/CD（持續(xù)集成和持續(xù)交付）環(huán)境是極具吸引力的攻擊目標(biāo)，從npm服務(wù)倉庫和python代碼，到管道執(zhí)行（PPE），所有這些都是攻擊者們可能發(fā)起攻擊的新途徑。在2022年，一些部署了這些攻擊戰(zhàn)術(shù)的惡意軟件已經(jīng)展示了供應(yīng)鏈攻擊實現(xiàn)的容易程度。

2023年，全球經(jīng)濟(jì)發(fā)展存在大量不確定因素，網(wǎng)絡(luò)犯罪的發(fā)展趨勢也將繼續(xù)不斷上升。因此，我們可以預(yù)測，云上CI/CD和供應(yīng)鏈攻擊的數(shù)量將會快速增加，企業(yè)應(yīng)該提前做好準(zhǔn)備。

5.安全漏洞

據(jù)美國國家漏洞庫（NVD）數(shù)據(jù)所示，自2017年以來，已知的CVE數(shù)量正在不斷增加。在即將到來的2023年，我們將繼續(xù)看到越來越多的安全漏洞，這意味著組織將面臨更多的修補(bǔ)工作。因此，優(yōu)先級排序和了解應(yīng)該首先修補(bǔ)哪個漏洞將變得更加重要。

除了應(yīng)用程序方面的漏洞外，我們還將繼續(xù)在云提供商基礎(chǔ)設(shè)施中發(fā)現(xiàn)漏洞。事實上，Orca 研究人員僅在今年就在公共云平臺上發(fā)現(xiàn)了7個重大漏洞，并與云服務(wù)商合作，協(xié)助他們修復(fù)了這些漏洞。

結(jié)語

對企業(yè)組織而言，目前沒有保護(hù)云計算應(yīng)用安全的“水晶球”，可以精準(zhǔn)地預(yù)測其在2023年的安全狀況。對于組織來說，最佳安全策略就是盡可能地做好準(zhǔn)備：提前知道有價值的云資產(chǎn)在哪里？有哪些云應(yīng)用缺陷可能危及業(yè)務(wù)開展？在此基礎(chǔ)上，安全人員需要盡快解決這些問題。

需要注意的是，無論企業(yè)進(jìn)行了哪些安全防護(hù)準(zhǔn)備，都不能實現(xiàn)百分百可靠的安全，攻擊者仍然有可能滲透到云環(huán)境中。因此，企業(yè)需要通過減少橫向移動的機(jī)會，確保云上數(shù)據(jù)資產(chǎn)得到強(qiáng)有力的保護(hù)，將潛在的攻擊傷害維持在最低水平。

參考鏈接：https://orca.security/resources/blog/top-5-cloud-security-threats-