AI應(yīng)用帶來(lái)新型安全風(fēng)險(xiǎn)

根據(jù)Orca Security最新研究，目前84%的企業(yè)已在云端部署AI技術(shù)，但技術(shù)創(chuàng)新伴隨著新的安全隱患：62%的企業(yè)至少存在一個(gè)存在漏洞的AI軟件包，其中部分最常見(jiàn)AI相關(guān)CVE漏洞甚至允許遠(yuǎn)程代碼執(zhí)行。

Orca Security首席執(zhí)行官Gil Geron指出："多云架構(gòu)雖然提供了卓越的靈活性和擴(kuò)展性，但也使得跨環(huán)境保持一致的可見(jiàn)性和覆蓋范圍變得更加困難。再加上企業(yè)急于在云端運(yùn)行存在漏洞的軟件包，這為安全專業(yè)人員創(chuàng)造了極其復(fù)雜的工作環(huán)境。"

隨著企業(yè)在云端存儲(chǔ)更多敏感數(shù)據(jù)，數(shù)據(jù)暴露問(wèn)題日益嚴(yán)重：38%在數(shù)據(jù)庫(kù)中存有敏感數(shù)據(jù)的企業(yè)，其數(shù)據(jù)庫(kù)同時(shí)暴露在公網(wǎng)中。13%的企業(yè)存在單個(gè)云資產(chǎn)支撐超過(guò)1000條攻擊路徑的情況。

云資產(chǎn)普遍存在管理疏漏

隨著云計(jì)算和云原生技術(shù)的普及，云風(fēng)險(xiǎn)的數(shù)量和嚴(yán)重性同步攀升。近三分之一的云資產(chǎn)處于無(wú)人維護(hù)狀態(tài)，每個(gè)資產(chǎn)平均存在115個(gè)漏洞。虛擬機(jī)器是最常被忽視的資產(chǎn)類型（95%企業(yè)至少存在一臺(tái)），而Ubuntu則是最常被忽略的操作系統(tǒng)（88%企業(yè)至少存在一個(gè)實(shí)例）。數(shù)據(jù)顯示，超過(guò)五分之一的企業(yè)對(duì)其40%以上的云資產(chǎn)缺乏有效管理。

89%的企業(yè)至少有一個(gè)暴露在互聯(lián)網(wǎng)的閑置云資產(chǎn)，同比增長(zhǎng)7%。面臨此類風(fēng)險(xiǎn)最高的行業(yè)包括：

• 消費(fèi)與制造業(yè)——97%
• 科技行業(yè)——94%
• 公共部門——92%

攻擊面持續(xù)擴(kuò)大

76%的企業(yè)至少存在一個(gè)面向公網(wǎng)的資產(chǎn)可被用于橫向移動(dòng)，使單一風(fēng)險(xiǎn)演變?yōu)槿嫒肭值奶濉＞唧w而言，36%的企業(yè)擁有至少一個(gè)支撐超過(guò)100條攻擊路徑的云資產(chǎn)，為攻擊者危害高價(jià)值資產(chǎn)提供了直接通道。

醫(yī)療健康行業(yè)是最易發(fā)生數(shù)據(jù)庫(kù)敏感數(shù)據(jù)泄露的領(lǐng)域，這對(duì)受《健康保險(xiǎn)可攜性和責(zé)任法案》（HIPAA）監(jiān)管的美國(guó)醫(yī)療機(jī)構(gòu)尤為嚴(yán)峻——違規(guī)行為最高可面臨150萬(wàn)美元罰款。但數(shù)據(jù)暴露風(fēng)險(xiǎn)實(shí)際上影響著各行業(yè)的眾多企業(yè)。

云安全風(fēng)險(xiǎn)不僅存在于運(yùn)行時(shí)環(huán)境，85%企業(yè)的源代碼倉(cāng)庫(kù)中嵌入了明文密鑰。一旦倉(cāng)庫(kù)暴露，攻擊者即可竊取密鑰訪問(wèn)系統(tǒng)、外泄數(shù)據(jù)。

Kubernetes應(yīng)用與風(fēng)險(xiǎn)并存

70%的企業(yè)在云環(huán)境中使用Kubernetes，年增長(zhǎng)率達(dá)15%。其中30%的企業(yè)至少有一個(gè)Kubernetes資產(chǎn)（如工作負(fù)載、身份憑證、配置）公開(kāi)暴露。與其他云資產(chǎn)類似，公開(kāi)暴露會(huì)顯著增加未授權(quán)訪問(wèn)及相關(guān)安全事件的風(fēng)險(xiǎn)。

半數(shù)使用K8s的企業(yè)至少存在一個(gè)運(yùn)行不受支持版本的集群，使其暴露于已知漏洞威脅。更嚴(yán)重的是，93%的K8s企業(yè)存在權(quán)限過(guò)高的服務(wù)賬戶，攻擊者可借此提升權(quán)限、訪問(wèn)敏感數(shù)據(jù)或破壞集群。

Enterprise Strategy Group網(wǎng)絡(luò)安全實(shí)踐總監(jiān)Melinda Marks總結(jié)道："傳統(tǒng)風(fēng)險(xiǎn)如閑置云資產(chǎn)和敏感數(shù)據(jù)暴露持續(xù)增長(zhǎng)，同時(shí)新挑戰(zhàn)不斷涌現(xiàn)——從非人類身份的激增到AI相關(guān)漏洞的增多，安全形勢(shì)日趨復(fù)雜。"