《CSA GCR云安全聯盟：2024年云計算頂級威脅報告（71頁）.pdf》由會員分享，可在線閱讀，更多相關《CSA GCR云安全聯盟：2024年云計算頂級威脅報告（71頁）.pdf（71頁珍藏版）》請在三個皮匠報告上搜索。

1、2024 云安全聯盟大中華區版權所有12024 云安全聯盟大中華區版權所有22024 云安全聯盟大中華區保留所有權利。你可以在你的電腦上下載.儲存.展示.查看及打印，或者訪問云安全聯盟大中華區官網（https:/www.c-）。須遵守以下：（a）本文只可作個人.信息獲取.非商業用途；（b）本文內容不得篡改；（c）本文不得轉發；（d）該商標.版權或其他聲明不得刪除。在遵循 中華人民共和國著作權法相關條款情況下合理使用本文內容，使用時請注明引用于云安全聯盟大中華區。2024 云安全聯盟大中華區版權所有32024 云安全聯盟大中華區版權所有4致謝致謝2024 年云計算頂級威脅（Top Threats

2、 to Cloud Computing 2024）由 CSA 云安全聯盟頂級威脅研究工作組專家編寫，并由 CSA 大中華區組組織專家完成翻譯并審校。翻譯組成員：翻譯組成員：陸琪劉連杰劉剛趙晨曦卜宋博肖文棣審校組成員：審校組成員：郭鵬程黨超輝卜宋博研究協調員：研究協調員：閉俊林易利杰貢獻單位：貢獻單位：愛立信（廣州）有限公司天翼安全科技有限公司天翼云科技有限公司中國移動香港有限公司晨星資訊（深圳）有限公司（以上排名不分先后）2024 云安全聯盟大中華區版權所有5英文版本編寫專家英文版本編寫專家主要作者：主要作者：Jon-Michael Brook Alex GetsinVic Hargrave

3、Michael Roza貢獻者：貢獻者：Jon-Michael Brook Randall Brooks Alex GetsinVic Hargrave Laura KennerMichael Morgenstern Stephen Pieraldi Michael Roza審校者：審校者：Vishnu GutthaYuvaraj MadheswaranNishith SinhaCSA 全球員工：全球員工：Sean HeideClaire LehnertStephen Lumpe在此感謝以上專家。如譯文有不妥當之處，敬請讀者聯系 CSA GCR 秘書處給予改正！聯系郵箱 researchc-；

4、云安全聯盟 CSA 公眾號。2024 云安全聯盟大中華區版權所有6序言序言隨著云計算的快速普及，云安全已成為企業數字化轉型過程中不可忽視的核心問題。云環境的開放性、多樣性和復雜性，給企業帶來了前所未有的安全挑戰，而其中的威脅正不斷演變。為了幫助企業更好地理解并應對這些威脅，云安全聯盟（CSA）大中華區發布了2024 年云計算頂級威脅。本報告基于 500 多位全球專家的調研與分析，深入剖析了當今企業面臨的云安全風險，并為應對這些挑戰提供了切實可行的策略建議。2024 年，云計算領域的安全威脅格局將發生顯著變化。我們看到，傳統威脅正在逐漸被邊緣化，新的風險，如配置錯誤、身份與訪問管理的薄弱、不安全

5、的 API 接口，以及缺乏系統性的云安全策略，正成為核心安全問題。而隨著生成式人工智能（如 ChatGPT）的廣泛應用，企業在享受技術創新帶來效率提升的同時，也面臨著更復雜的安全挑戰。AI 技術的雙刃劍效應，不僅加速了網絡攻擊的自動化和復雜化，也為云安全防護帶來了前所未有的機遇。如何在這個動態的環境中，平衡 AI 技術的應用并最大化其積極效應，成為企業安全策略中至關重要的一環。展望未來，全球云安全將繼續面臨愈發復雜的供應鏈風險、監管環境的不斷演變,以及新型攻擊手段的層出不窮。企業需要具備前瞻性思維，采用創新的安全架構和技術，尤其是在零信任模型、自動化安全管理、云原生安全工具等方面加大投入，確保

6、其在日益變化的環境中具備強大的應變能力。同時，安全技能的差距也將繼續成為企業面臨的長期挑戰，推動全員持續教育與技能提升是增強組織整體安全韌性的關鍵。李雨航 Yale LiCSA 大中華區主席兼研究院長2024 云安全聯盟大中華區版權所有7目錄目錄摘要.8調查.10威脅 1：配置錯誤與變更控制不足.13威脅 2：身份與訪問管理.19威脅 3：不安全的接口與 APIs.25威脅 4：云安全策略缺失.31威脅 5：不安全的第三方資源.36威脅 6：不安全的軟件開發.41威脅 7：意外的數據泄露.46威脅 8：系統漏洞.51威脅 9：云可見性/可觀測性不足.55威脅 10：未驗證的資源共享.61威脅

7、11：高級持續性威脅（APT）.65結論和未來展望.692024 云安全聯盟大中華區版權所有8摘要摘要頂級威脅報告旨在提高人們對云計算威脅、漏洞和風險的認識。在本次報告中，我們對 500 多位云計算行業的專家進行了調查，深入探討了云計算領域的安全問題。受訪者識別出今年他們的云環境中存在的 11 個重要安全問題。頂級威脅工作組利用調查結果及其專業知識編制了2024 年云計算頂級威脅報告。最新報告重點介紹了 2024 年的頂級威脅。報告中還顯示了 2024 年和 2022 年威脅的排名對比。2024 云安全聯盟大中華區版權所有9觀察觀察調查分析顯示，由云服務提供商(CSP)負責的傳統云安全問題在排

8、名中的持續下降。此前報告中提到的拒絕服務攻擊、共享技術的漏洞以及云服務提供商 CSP 數據丟失等問題，如今因評級較低而未被納入本報告。這些問題的消失顯示出對云計算的信任感增加；基礎設施即服務(IaaS)環境中的老舊云安全問題不再那么令人擔憂。此外，我們觀察到“數據泄露”問題不再占據云計算頂級威脅的主導地位。隨著云商業模式和安全策略的演變，本報告提高了對以下關鍵安全問題的關注：配置錯誤與變更控制不足身份和訪問管理(IAM)不安全的接口和 APIs云安全策略缺失配置錯誤與變更控制不足：如今位居 2024 年頂級威脅調查首位，相較于 2022 年報告中的第三位有所上升。多年來，配置管理一直是組織能力

9、成熟度的基石。然而，向云計算的過渡加劇了這一挑戰，使團隊必須采用更強大的云特定配置。由于云服務的持續網絡訪問和無限容量特性，配置錯誤可能對整個組織產生廣泛影響。身份和訪問管理(IAM)：曾位居首位，如今降至第二位。云環境中仍存在重放攻擊、偽造身份和過度授權等挑戰，這與本地設置類似。然而，使用自簽名證書和不當的加密管理顯著地增加了其安全風險。零信任架構的實施和軟件定義邊界（SDP）的應用正成為受訪者重點關注的問題，反映了這些問題在云安全中的重要性。不安全的接口和 APIs：從第二位降至第三位，微服務的采用突顯了保護接口和 API的重要性。盡管它們在云服務（包括 SaaS 和 PaaS 產品）中起

10、著關鍵作用，但由于開發人員的效率不足與云服務所需要的持續在線的要求，保障安全的接口和 API 仍然面臨著巨大挑戰。云安全策略缺失：仍位于第四位，這一領域持續關注的問題是：為什么在規劃和構2024 云安全聯盟大中華區版權所有10建安全解決方案時仍存在重大挑戰？云計算已經是穩定發展的技術，它需要明確的可執行的架構策略。目標讀者目標讀者云計算和安全從業者以及愛好者將從本報告中受益。以獲取在云安全方面的威脅和挑戰的最新見解，了解這些威脅如何影響行業，以及可以采取哪些措施來減輕其后果。同時，本文基于調查的研究將為合規、風險、技術、信息安全人員和高管管理層提供與當前相關的技術趨勢和優先考慮的云安全事項。調

11、查調查在創建2024 年云計算頂級威脅調查報告時，CSA 頂級威脅工作組分兩個階段進行了研究。這兩個階段均通過調查收集了網絡安全專業人士對云計算中最相關的威脅、漏洞和風險問題的看法與意見，最終目的是確定 2024 年的頂級威脅。在第一階段研究中，工作組旨在通過面對面調查工作組成員來創建云安全問題的初步清單。工作組從之前的報告（云計算的 11 類頂級威脅）中的 11 個頂級威脅（安全問題）開始，通過討論又增加了 19 個問題。然后，工作組在一系列會議中審查了這 30個問題，并要求成員根據其所在組織及他們熟悉的組織，評估每個問題的重要性。這最終形成了調查中的 28 個問題。在研究的第二階段，工作組

12、的主要目標是通過對 500 多名安全專業人士的在線調查，根據重要性對這 28 個安全問題進行排名。工作組選擇了一個以 10 分為滿分的評分系統，以反映每個問題的重要性。調查參與者被要求對每個云安全問題進行 1 到 10 的評分，1表示“不是很重要”，10 表示“最重要”。每個類別的得分被匯總并取平均值，然后根據平均分對安全問題進行排名。最終，工作組確定了以下 11 個頂級威脅。2024 云安全聯盟大中華區版權所有112024 云安全聯盟大中華區版權所有12在確定了 11 個頂級威脅后，工作組對每個問題進行了分析。每個分析包括對問題的描述、業務影響、關鍵措施、案例和實際事例，并引用了 CSA云計

13、算關鍵領域安全指南v5領域指南中的相關章節，以及 CSA云控制矩陣（CCM）和 CAIQ v4 控件中的相關緩解控制措施。最后，整體方法代表了 CSA云審計知識證書學習指南 v1中提出的頂級威脅方法論。2024 云安全聯盟大中華區版權所有13威脅 1：配置錯誤與變更控制不足配置錯誤是指云計算資產的設置不正確或次優，這可能會使它們容易受到意外損壞或外部/內部惡意活動的攻擊。缺乏云系統知識或對云安全設置的理解以及惡意意圖可能導致配置錯誤。一些常見的配置錯誤 1包括：1.密鑰管理不當，2.監控和日志記錄被禁用，3.ICMP（互聯網控制消息協議）保持開放，4.不安全的自動備份，5.存儲訪問權限，6.缺

14、乏驗證，7.對非 HTTPS/HTTP 端口的無限制訪問，8.對虛擬機、容器和主機的過度權限（最小權限原則），9.啟用了過多的云訪問權限（最小權限原則），10.子域名劫持，11.特定的云提供商（如 AWS S3 存儲桶）的配置錯誤。云資源的配置錯誤是導致云安全問題的主要原因，可能會導致嚴重的損害，如下所示的業務影響部分所示。2在云環境中，不充分的變更控制實踐可能導致未被檢測到的不當配置，構成重大安全風險。云環境與傳統 IT 基礎設施有顯著不同，這使得變更控制更具挑戰性。傳統的變更流程通常涉及多個角色和審批，通常需要幾天或幾周才能完成，然后才能進入生產環境。另一方面，云計算方法強調自動化、廣泛訪

15、問和快速變更，通常將靜態基礎設施元素抽象成代碼。此外，使用多個云提供商會進一步增加復雜性，因為它們具有獨特的功能和頻繁的更新。這種動態環境要求對變更控制和補救措施采取敏捷和積極的方法，許多組織都在努力實現這一點。2024 云安全聯盟大中華區版權所有14商業影響配置錯誤/不充分的變更控制對云系統的影響可能非常嚴重，這取決于配置錯誤/不當變更的性質以及檢測和緩解的速度。以下是云配置錯誤和不充分變更控制可能導致的影響：技術影響：技術影響：數據泄露：未經授權的云訪問敏感數據會破壞機密性。數據丟失：從云系統中永久或臨時刪除關鍵數據會影響可用性。數據破壞：對云系統中的數據進行物理或邏輯錯誤會危及完整性。運

16、營影響：運營影響：系統性能：云資源性能下降影響用戶體驗和生產力。系統中斷：云服務的完全或部分關閉會擾亂業務運營。財務影響：財務影響：贖金要求：可能需要支付費用以恢復被破壞的云數據或系統訪問。不合規和罰款：未能遵守監管要求可能導致罰款和處罰。收入損失：由于云服務中斷、客戶不滿或法律行動，可能會發生財務損失。股價下跌：泄露和公開披露可能會損害市場感知和公司的估值。聲譽影響：聲譽影響：公司聲譽：泄露和公開披露可能會損害組織的公眾形象和品牌價值。2024 云安全聯盟大中華區版權所有15關鍵措施1.云配置監控、審計和評估-3：通過利用機器學習，組織可以自動化定期檢測云系統安全配置錯誤，減少對手動檢查/審

17、計/評估的依賴，提高效率。2.云系統、變更管理方法-4：持續不斷的業務轉型和安全挑戰的動態性質要求確保使用實時自動化驗證正確進行批準的變更。案例近期由于配置錯誤和不充分的變更控制導致的事件包括：（2023年5月）據報道，豐田汽車公司承認發生了一起重大的車輛數據泄露事件，影響了日本約215萬用戶。受影響的用戶幾乎包括了所有注冊豐田主要云服務平臺T-Connect的用戶，以及雷克薩斯車主使用的類似服務G-Link的用戶。這些數據從2013年11月到2023年4月中旬公開可訪問了十年。此次泄露的原因歸咎于人為錯誤。盡管泄露的數據包括車輛位置和識別號碼等詳細信息，但尚未報告有惡意使用的情況。針對此事件

18、，豐田已采取措施阻止外部訪問數據。該公司已啟動對豐田連接公司管理的所有云環境的調查。此外，公司承諾實施審計云設置的系統，建立持續監控程序，并為員工提供關于數據處理規則的全面培訓。5（2023年9月）據報道，DarkBeam，一家托管云服務提供商和數字風險保護公司，無意中將一個Elasticsearch和Kibana界面暴露在外，未受保護，導致報告和未報告的數據泄露記錄被泄露。泄露（下載）的數據包括用戶的電子郵件和密碼，總計超過38億條記錄。DarkBeam一直在收集這些信息，以便在客戶發生數據泄露時提醒他們。此事件可能不僅影響DarkBeam用戶。該漏洞于9月18日被發現，并在報告后立即關閉。

19、數據泄露通常是由于人為錯誤造成的，例如在維護后忘記給實例設置密碼保護。泄露的數據中包括16個名為email 0-9和email A-F的集合，每個集合包含2億3963萬5000條記2024 云安全聯盟大中華區版權所有16錄。這種廣泛且有組織的數據處理對那些憑據被披露的個人構成了重大威脅。威脅行為者可能會使用他們的個人信息針對受影響用戶發起釣魚活動。用戶必須在在線賬戶中更改密碼，使用強大的密碼生成器并啟用雙因素認證來保護他們的賬戶。6CSA 云計算關鍵領域安全指南 5.0領域 2：云治理領域 3：風險、審計和合規領域 5：身份與訪問管理領域 7：基礎設施與網絡領域 9：數據安全領域 10：應用安

20、全領域 11：事件響應與彈性2024 云安全聯盟大中華區版權所有17CSA 云控制矩陣 v4.0CEKA&AAISBCRCEKGRC審計與保障審計與保障A&A-02:獨立評估A&A-03:基于分風險規劃評估應用程序和接口安全應用程序和接口安全AIS-02:應用程序安全基線需求AIS-04:應用程序安全設計和開發AIS-05:自動應用程序安全測試業務連續性管理與配置管理業務連續性管理與配置管理BCR-02:風險評估和影響分析BCR-08:備份人力資源人力資源HRS-09:人員角色和職責HRS-11:信息安全意識培訓HRS治理、風險管理和合規治理、風險管理和合規GRC-02:風險管理計劃GRC-0

21、5:信息安全計劃GCR變更控制與配置管理變更控制與配置管理CCC-02:質量測試CCC-04:未經授權的變更保護CCC-09:變更恢復威脅、脆弱性管理威脅、脆弱性管理TVM-07:脆弱性識別TVM-08:脆弱性優先級TVM-09:脆弱性匯報管理TVM安全事件管理、電子發現與云取證安全事件管理、電子發現與云取證SEF-03:事件響應計劃SEF-04:事件響應測試SEF-06:事態分類過程SEF基礎設施與虛擬化安全基礎設施與虛擬化安全IVS-02:容量與資源計劃IVS-03:網絡安全IVS-04:操作系統加固和基線控制IVS身份與訪問管理身份與訪問管理IAM-03:身份清單IAM-08:用戶訪問評

22、審IAM數據安全與隱私生命周期管理數據安全與隱私生命周期管理DSP-07:設計和默認數據保護DSP-08:設計和默認數據隱私DSP-17:敏感數據保護DSP密碼學、加密和密鑰管理密碼學、加密和密鑰管理CEK-03:數據加密CEK-05:加密變更管理日志記錄與監控日志記錄與監控LOG-03:安全監控與警報LOG-05:審計日志監控與響應LOG-12:訪問控制日志LOGCEK2024 云安全聯盟大中華區版權所有18參考鏈接1.Common Cloud Misconfigurations and How to Avoid Them 常見的云配置錯誤及如何避免https:/ Most Common M

23、isconfigurations on the Cloud 云端最常見的13種配置錯誤https:/www.clouddefense.ai/common-misconfigurations-on-the-cloud/3.Safeguarding Against Security Misconfigurations with the Powerof Machine Learning 利用機器學習的力量防范安全配置錯誤https:/ execution monitoring 變更執行監控https:/www.versio.io/solution-change-request-management.

24、html5.More than 2 million Toyota users face the risk of vehicle dataleak in Japan 超過200萬豐田用戶面臨日本車輛數據泄露風險https:/ leaks billions of email and password combinationsDarkBeam泄露了數十億的電子郵件和密碼組合https:/ 云安全聯盟大中華區版權所有19威脅 2：身份與訪問管理身份與訪問管理（IAM）確保個體在證明自己的身份后，只能訪問他們被授權的資源。這個系統在定義和管理用戶角色、訪問權限以及分配或撤銷這些權限的具體條件下起著關鍵作

25、用。盡管 IAM 在網絡安全中扮演著至關重要的角色，但由于其復雜性以及網絡威脅不斷演變的特性，IAM 也帶來了持續的挑戰。用戶認證、授權、單點登錄（SSO）、多因素認證（MFA）和活動監控等關鍵組件對 IAM 的有效性至關重要。然而，這些特性的復雜性和動態性可能會引入漏洞，特別是如果沒有正確實施、配置、更新和監控的話。隨著網絡威脅變得更加復雜，保護敏感信息免受未經授權的訪問變得越來越困難，這使得強力實施和持續完善 IAM 策略對于加強網絡安全防御變得不可或缺。在云環境中管理身份和訪問可能會變得復雜且風險重重。不同的云提供商擁有獨特的系統，這可能導致錯誤和安全漏洞。當用戶可以創建和管理自己的賬戶

26、和資源時，可能會導致過度的權限和配置錯誤，增加安全風險。每個供應商都結合了不同的 IAM框架和細致的細粒度權限。如果沒有對多個系統的深入理解和管理策略，配置錯誤和不一致的安全政策的風險就很大。通過集中的 IAM 系統監控，問題響應變得更容易，而不一的政策則進一步復雜化了安全工作。云資源的動態特性，如短期資源和自動擴展，增加了管理的復雜性。將云和本地系統集成可能是一個挑戰，尤其是在混合環境中和需要單點登錄的情況下。遵守各種法規是另一個障礙。緩解這些風險涉及 1.采用具有強大認證功能的統一 IAM 解決方案，如單點登錄和防釣魚。2.實施多因素認證（MFA）。3.強制執行最小權限原則。4.自動化配置

27、和去配置流程。5.開展活動監控。6.為用戶和管理員提供持續的培訓和意識提升計劃。適當實施和持續完善 IAM 策略可以保護敏感信息并維護網絡安全防御的有效性。2024 云安全聯盟大中華區版權所有20商業影響不充分的 IAM 可能導致未經授權的訪問、數據泄露和監管不合規，造成重大的財務和聲譽損害。有效的 IAM 策略對于保護敏感信息和維護強大的網絡安全防御至關重要。技術影響：技術影響：系統訪問：弱認證可能導致后端系統中的機密數據被利用。數據披露：由于通信弱點、系統訪問或憑證重用，外部各方可能訪問業務數據。數據丟失：MOVEit 活動展示了如何通過外泄的數據在談判贖金時提供籌碼。運營影響：運營影響：

28、系統中斷：云服務的完全或部分中斷可能會干擾業務運營。功能延遲：由于需要修復軟件漏洞，功能更新可能會延遲。財務影響：財務影響：收入損失：由于服務中斷、服務恢復、客戶不滿或法律行動，可能會發生財務損失。不合規：未能充分保護身份和訪問控制可能導致不遵守監管要求，如 GDPR、CCPA和特定行業法規如 PCI DSS。監管違規可能導致重大罰款和法律行動。聲譽影響：聲譽影響：公司聲譽：損害云服務組織的公眾形象、業務和品牌價值?？蛻袈曌u：依賴安全性較弱的 API 云服務的客戶可能會經歷數據泄露和服務中斷，對他們的聲譽產生負面影響。2024 云安全聯盟大中華區版權所有21關鍵措施1.統一 IAM 解決方案：

29、使用提供強大認證、集中管理和跨多個云提供商的可見性的IAM 解決方案。2.遵循最小權限原則：確保用戶只擁有執行其任務所需的訪問權限?？刂朴绊懛秶兄跍p輕潛在的違規行為。3.自動化配置和去配置：實施自動化工具來管理賬戶和權限的生命周期，確保及時更新和刪除不必要的訪問權限。4.訪問評估和監控：實施自動化工具來管理賬戶和權限的生命周期。5.部署工具以檢測、警報并防止未經授權的訪問嘗試，通過持續的安全監控確保及時更新和刪除不必要的訪問權限。案例（2023年5月）MOVEit活動：一系列與MOVEit文件傳輸工具相關的安全漏洞影響了包括政府機構和醫療保健提供商在內的多個組織。例如，俄勒岡州交通部遭受了

30、一次泄露，影響了大約350萬人，攻擊者由于賬戶權限過高和職責分離不當而獲得了敏感個人信息的訪問權限。需要強有力的日志記錄、審計和基于流量的異常檢測來捕捉賬戶被入侵后產生的流量。這些事件突顯了數據勒索攻擊的新興趨勢，網絡犯罪分子迫使受害者支付贖金以防止被盜數據的公開，而不是解密數據。1（2023年6月）JumpCloud數據泄露：JumpCloud是一家身份和訪問公司，由于一個復雜的國家級行為者遭受了一次數據泄露。這次攻擊通過向JumpCloud的命令框架注入數據，針對特定客戶賬戶。這次泄露最初被追溯到一個釣魚郵件活動和未失效的憑證，強調了復雜網絡攻擊帶來的風險以及包括憑證強度審查、強制定時重置

31、和日志審查在內的強大安全措施的重要性。2024 云安全聯盟大中華區版權所有222（2023年10月）Okta數據泄露：Okta，一家提供身份服務和認證管理的供應商，經歷了一次數據泄露，其中一名未經授權的行為者使用被盜的憑證訪問了其支持案例管理系統。此事件泄露了客戶支持案例信息，突顯了在可訪問系統中存儲服務賬戶和敏感信息的風險。持續監控和系統性審查流程至關重要。3CSA 云計算關鍵領域安全指南 5.0領域 2：云治理領域 3：風險、審計和合規領域 5：身份與訪問管理領域 6：安全監控領域 9：數據安全領域 10：應用安全領域 12：相關技術和策略2024 云安全聯盟大中華區版權所有23CSA 云

32、控制矩陣 v4.0參考鏈接1.MOVEit cyberattacks:keeping tabs on the biggest data theft of2023 MOVEit網絡攻擊：追蹤2023年最大的數據盜竊事件https:/ 20 Incident Details and Remediation JumpCloud：6月20日事件詳情及補救措施https:/ hit by third-party data breach exposing employeeinformationOkta遭遇第三方數據泄露，導致員工信息曝光https:/ 云安全聯盟大中華區版權所有244.The 10 Big

33、gest Data Breaches of 2023(so far)2023年十大數據泄露事件（截至目前）https:/ Information Exposed in Data Breach Affecting340,000司法部收集的信息在數據泄露事件中曝光，影響34萬人https:/ 云安全聯盟大中華區版權所有25威脅 3：不安全的接口與 APIs云服務提供商(CSP)、企業供應商和內部開發人員提供機器對機器的應用程序編程接口(API)或完整的人機界面(UI)套件，通常用于系統控制。然而，初始的設計需求往往與長期使用不一致。領導層的變動、企業戰略方向的調整或第三方合作伙伴的訪問需求，會暴露

34、出潛在風險，并帶來快速部署的時間壓力。此前的決策、未記錄的假設、遺留支持需求、不良的架構設計或本地部署/IaaS/SaaS產品一致性期望，都可能影響企業向云端過渡的進程。API和UI因多種原因變得容易受到攻擊，包括：1.不充分的認證機制，2.缺乏加密，3.不當的會話管理，4.輸入驗證不足，5.糟糕的日志記錄和監控，6.過時或未打補丁的軟件，7.在上云期間假定的保護平等性，8.過于寬松的訪問控制，9.缺乏速率限制。Akamai 2024年的報告記錄了，“在2023年1月至12月的12個月期間，29%的網絡攻擊針對API，表明API是網絡犯罪分子關注的領域?！? 人為的門戶認證方法增加了風險，例如

35、弱密碼或重復使用的密碼，這些密碼很容易被破壞。攻擊者可以利用這些漏洞，造成的影響范圍從未經授權的訪問、敏感數據盜竊或服務中斷。在2023年，OWASP強調了保護接口的重要性，通過新的API安全Top 10增強了他們流行的網絡列表。2商業影響2024 云安全聯盟大中華區版權所有26不安全的接口對云系統的影響可能很嚴重，這取決于系統的性質以及存在的其他安全措施或緩解措施。不安全接口或 API 的風險因 API 的使用情況、與 API 相關聯的數據以及漏洞被檢測和緩解的速度而異。最常見的商業影響是 API 未安全保護而導致敏感或私密數據的意外暴露。在考慮不安全接口可能造成的影響時，請考慮以下幾點:技

36、術影響：技術影響：系統訪問：認證不充分可能導致后端系統的被利用。數據泄露：由于通信弱點、系統訪問或憑證重用，外部方可能訪問到業務數據。運營影響：運營影響：系統中斷：云服務的完全或部分關閉可能會干擾業務運營。功能延遲：由于需要修復軟件漏洞，功能更新可能會延遲。財務影響：財務影響：收入損失：由于服務中斷、服務恢復、客戶不滿或法律行動，可能會發生財務損失。不合規和罰款：未能遵守漏洞管理的監管要求可能導致受到處罰聲譽影響：聲譽影響：公司聲譽：云服務組織的公眾形象和品牌價值可能受到損害?？蛻袈曌u：依賴于安全措施不足的 API 云服務的客戶可能會遭遇數據泄露和服務中斷，對他們的聲譽產生負面影響。關鍵措施1

37、.應按照最佳實踐監控和保護 API 提供的攻擊面。2024 云安全聯盟大中華區版權所有272.應實施速率限制和節流，以防止拒絕服務（DoS）攻擊和憑證填充。3.必須更新傳統的安全控制方法和變更管理政策，以跟上基于云的API增長和變化。檢查具有自動基于時間輪換的短時效憑證，而不是持有者令牌或用戶名/密碼。具有多因素認證（MFA）因素的人類可訪問用戶界面將提高安全性。所有與認證事件相關的令牌應遵循標準，并能夠檢查它們發行的時間。4.在遷移功能時，確認產品和服務的一致性。供應商本地部署方案的 API 接口與SaaS 應用之間調用存在較大延時，在不同的超大規模云服務提供商之間遷移時，可能會有很大的不同

38、。5.調查憑證生命周期自動化和技術，這些技術不斷監控異常 API 流量。整合情報源以增強檢測。這些工具可以在接近實時的情況下糾正性地解決問題。案例與不安全接口和 APIs 相關的近期問題實例包括：（2024 年 1 月）安全研究員 Troy Hunt 發現了一個 Twitter 替代品 Spoutible 的 API漏洞。該漏洞允許通過使用帶有 Spoutible 用戶名的 API URL 訪問用戶賬戶信息，包括電子郵件地址和 bcrypt 哈希密碼。這次違規暴露了 207,000 條記錄的數據。3（2024 年 1 月）由于一個公開的 API 與現有的電子郵件數據庫匹配，導致超過 1500萬

39、個 Trello 賬戶泄露。此事件凸顯了 API 安全不足，并導致用戶數據的暴露，這些數據后來在暗網上出售。4（2024 年 1 月）2024 年，梅賽德斯-奔馳的重大 API 泄露讓黑客訪問了公司的 GitHub企業版，暴露了源代碼、云密鑰和內部文件。這次違規被追溯到一名員工的 GitHub 令牌沒有時間戳，在一年前被發現在公共倉庫中。5（2024 年 2 月）澳大利亞 ISP Tangerine 被入侵，暴露了超過 200,000 條記錄。這次違規被追溯到一名承包商的登錄憑證。被盜數據包括個人信息，如姓名、出生日期、電話號碼和電子郵件地址。62024 云安全聯盟大中華區版權所有28CSA

40、云計算關鍵領域安全指南 5.0領域 3：風險、審計與合規領域領域 4：組織管理領域領域 5：身份與訪問管理領域領域 6：安全監控領域領域 7：基礎設施與網絡領域領域 8：云工作負載安全領域領域 9：數據安全領域領域 10：應用安全領域領域 11：事件響應與恢復力領域CSA 云控制矩陣 v4.0應用與接口安全應用與接口安全AIS-01：應用和接口安全策略和規程AIS-04：應用程序安全設計和開發AIS-06：自動應程序安全測試AIS數據安全與隱私生命周期管理數據安全與隱私生命周期管理DSP-01：安全、隱私策略和程序DSP-03：數據清單DSP-04：數據分級DSP-05：數據流文檔IAM202

41、4 云安全聯盟大中華區版權所有29參考鏈接1.2024 State of the Internet Report on API Security:Shining aLight on API Threats2024年互聯網報告API安全：揭示API威脅https:/ API Security ProjectOWASP API安全項https:/owasp.org/www-project-api-security/3.Twitter rival Spoutible alleges smear campaign amid securitybreach controversyTwitter競爭對手Sp

42、outible在安全漏洞爭議中指控抹黑活動https:/ Trello User Data Leak:Hacker Lists 15 Million Recordson a Dark Web Hacking Forum Trello 用戶數據大規模泄露：黑客在暗網黑客論壇上列出1500萬條記錄https:/ Source Code Exposed by Leaked GitHub TokenGitHub令牌泄露導致梅賽德斯源代碼暴露https:/ Individuals Impacted by Data Breach at Australian TelcoTangerine 澳大利亞電信公司T

43、angerine的數據泄露影響23萬人https:/ 云安全聯盟大中華區版權所有30ta-breach-at-australian-telco-tangerine/2024 云安全聯盟大中華區版權所有31威脅 4：云安全策略缺失云安全策略包括考慮外部因素、現有實施情況以及云技術的選擇、優先級和趨勢，以創建一個高層次的計劃或方法。這些見解幫助組織實現云安全目標并支持業務目標。策略可以包括云架構和云部署模型的設計、云服務模型、云服務提供商（CSPs）、服務區域可用區、特定云服務以及一般原則，例如基于影響（國家和環境或社會）對CSPs的偏好，或者對按需服務消費和計費模型的容忍或避免。云安全策略制定可

44、能會考慮現有的供應商鎖定、業務意圖在需要本地數據居住的特定地區擴展，以及全公司對某個CSP或模型的偏好。此外，策略可能會影響或決定跨不同云賬戶、供應商、服務和環境的IAM、網絡和安全控制的前瞻性設計。策略應當先于設計并指導設計，但常見的情況是云技術要求對規劃、戰略制定和改進采取漸進和敏捷的方法。健全的云安全策略能夠確保云賬戶、網絡和服務中的工作負載安全運行和生產力。此外，這將通過克服（或避免）安全挑戰和風險、支持決策制定，并在業務、技術和風險不確定性的情況下獲得有意義的利益，為組織服務。2024 云安全聯盟大中華區版權所有32商業影響缺乏云安全策略和架構會阻礙有效和高效的基礎設施安全工作和設計

45、的實施。反復出現的安全失敗可以歸因于策略和設計的不足，并可能導致各種影響。技術影響：技術影響：數據泄露：未能設計或實施健全的云安全策略可能導致反復的安全事件和違規行為，結果出現重大的保密問題。運營影響：運營影響：部署：對云安全策略采取不充分的戰略方法可能導致工作分配不當、部署和工程的阻礙、重復工作或授權解決方案、范圍蔓延以及無效的補丁和修復措施，在這些情況下，設計層面的措施會更有效。財務影響：財務影響：財務成本：由于未能設計或實施健全的云安全策略而反復出現安全事件和違規行為可能導致重大的遏制費用。不合規和罰款：由于云安全策略設計和實施不當導致的監管不合規可能導致罰款。聲譽影響：聲譽影響：公司聲

46、譽：負面媒體報道和口碑是云安全失敗的常見結果，即使沒有涉及違規或惡意意圖。這些將對客戶獲取、合作和股票估值產生負面影響，特別是在短期內。安全和云供應商特別依賴他們的品牌信任，容易受到安全失敗的影響。2024 云安全聯盟大中華區版權所有33關鍵措施1.制定云安全策略或關鍵指導原則，并定義目標或目的。2.在設計和實施云服務和安全措施時，考慮業務目標、風險、效率、安全威脅和法律合規性。3.考慮可能的人為錯誤、持續對抗你的云彈性的威脅行為者，以及在云策略和安全中未能激活核心保護或基線控制（例如，縱深防御、優先考慮配置簡潔的云部署模型）。4.設計適當的云網絡、賬戶、數據、身份管理和邊界保護的最佳實踐，專

47、注于策略的落地與執行。案例與缺乏云安全架構和策略相關的問題近期實例包括：（2023 年 6 月）JumpCloud，一家基于云的身份和訪問管理（IAM）服務，整合了數萬家企業客戶的資產和身份系統，經歷了一次安全漏洞，涉及通過針對一名工程師的魚叉式網絡釣魚進行未授權訪問。這場高級且持續的攻擊以及隨后的調查、遏制和違規教訓涵蓋了 API 密鑰、用戶意識、源代碼管理和集成、服務部署模型和控制、端點和身份安全措施、基礎設施和容器技術設計、客戶和當局的參與以及溝通。在復雜的基于云的和對安全敏感的技術服務中構建有效的彈性以挫敗高級攻擊需要能力和毅力。然而，它也需要對安全及相關領域進行前瞻性和深刻的規劃和交

48、付考慮。2（2022 年和 2023 年）2022 年 1 月，LAPSUS$黑客組織通過破壞一名第三方客戶支持工程師的賬戶，訪問了 Okta 的內部管理系統。攻擊者能夠瀏覽 Okta 的系統、客戶管理、數據門戶和一些機密信息。2023 年，Okta 被幾個知名客戶，包括 BeyondTrust 和1Password，告知發生了另一次違規。這第二次違規顯示了這家基于云的身份公司的 IAM、檢測和整體彈性方面持續存在的差距。32024 云安全聯盟大中華區版權所有34CSA 云計算關鍵領域安全指南 5.0領域 1：云計算概念與架構領域 2：云治理領域 3：風險、審計與合規領域 12：相關技術與策略

49、CSA 云控制矩陣 v4.0審計與保障審計與保障A&A-03：基于風險的規劃評估A&A-04：符合性需求A&A業務連續性管理與運營彈性業務連續性管理與運營彈性BCR-03：業務連續性策略BCR-04：業務連續性計劃BCR數據安全與隱私生命周期管理數據安全與隱私生命周期管理DSP-01：安全、隱私政策和程序DSP-03：數據清單DSP-07：設計和默認數據保護DSP治理、風險管理和合規治理、風險管理和合規GRC-02：風險管理計劃GRC-06：治理責任模式GRC-08：特殊利益團體身份與訪問控制身份與訪問控制IAM-01：身份與訪問控制的策略與規程IAM-04：職責分離IAM-09：特權訪問角色

50、的隔離IAM基礎設施與虛擬化安全基礎設施與虛擬化安全IVS-06：分割與隔離IVS-07：遷移到云環境IVS-08：網絡架構文檔IVS供應鏈管理、透明度與可核查性供應鏈管理、透明度與可核查性STA-04：共享安全責任模式控制所有權STA-08：供應鏈風險管理STA威脅和漏洞管理威脅和漏洞管理TVM-08:漏洞優先級TVM數據中心安全數據中心安全DCS-06：資產分類與跟蹤DCS互操作性與可移植性互操作性與可移植性IPY-01：互操作性與可移植性策略與規程IPY人力資源人力資源HRS-02：可接受使用的技術策略與規程GRCHRSDCS2024 云安全聯盟大中華區版權所有35參考鏈接1.IBM S

51、ecurity.(2023).IBM X-Force Cloud Threat Landscape 2023Report-Section 3,Recommendations and best practices.IBM安全。（2023年）。IBM X-Force云威脅態勢2023報告-第三部分，建議和最佳實踐。https:/ Update June 20 Incident Details and Remediation 安全更新 6月20日事件詳情及補救措施https:/ a bruised reputation,rethinks security from the Okta在聲譽受損后，從上

52、到下重新審視安全策略top downhttps:/ 云安全聯盟大中華區版權所有36威脅 5：不安全的第三方資源云計算的使用正在快速增長，第三方資源可能包括從開源庫中提取的外部代碼，SaaS 產品，或者像在“威脅 3-不安全接口和 APIs”中所述的那樣。來自第三方資源的風險被視為供應鏈漏洞，因為它們是將你的云服務或應用/業務系統交付給客戶的一環。這也稱作網絡安全供應鏈風險管理（C-CSRM），主要關注對個人云服務或應用程序帶來的供應鏈網絡安全風險。另外，根據科羅拉多州立大學研究顯示，三分之二違規行為由于供應商或第三方漏洞引發。1產品或服務是所有其他使用產品或服務的總和，因此任何集成在應用程序內

53、的組件（如一行代碼）都可能成為漏洞的起點。對黑客來說，他們只需找到最脆弱的環節作為攻擊切入點即可實現目標，而這個最脆弱的環節往往就是大企業中的小型供應商。2024 云安全聯盟大中華區版權所有37商業影響因使用不安全的第三方資源引發的問題，將對技術、運營、財務和信譽帶來商業沖擊。以下是思考這些如何影響組織的初始步驟：技術影響：技術影響：數據泄露：第三方訪問權限被侵犯可能導致敏感數據在云端遭到未授權訪問，威脅機密性。數據銷毀：錯誤的代碼重構可能導致未經授權訪問，危及數據安全。運營影響：運營影響：生產系統中斷：第三方資源中存在的延遲或漏洞可能對生產系統造成損害。財務影響：不合規和罰款：若第三方不遵守

54、規定，公司可能需要承擔損失、處罰和罰款。聲譽影響：聲譽影響：公司信譽：由于不安全的第三方資源導致公開披露的違規行為，客戶可能會對公司保護敏感信息能力產生懷疑。關鍵措施1.軟件無法百分之百保證安全，特別是對于您未參與創建的代碼或產品。但組織仍可做出明智選擇，決定使用哪些產品，并利用官方支持的第三方資源。同時要檢查是否有合規認證/資質，評估其在安全工作上的透明度、漏洞獎勵計劃以及解決安全問題和提供修復措施的責任心。2.利用軟件成分分析（SCA）工具識別第三方資源，并制定軟件物料清單（SBOM）2024 云安全聯盟大中華區版權所有38或SaaS物料清單（SaaSBOM）。3.跟蹤記錄組織正在使用的S

55、BOM、SaaSBOM以及其他第三方資源。組織應避免只有在受害者名單公布后才發現自己一直在使用易被攻擊的產品。這包括開源、SaaS產品、云服務提供商和托管服務，以及可能已集成到應用程序中的其他部分。4.定期自動化和手動審查第三方資源。如果流程中檢測到不需要或存在安全問題且版本過舊的產品，則需通過適當方式進行補救。這包括審查賦予代碼庫、基礎設施或高影響力個人等關鍵部門訪問權限。5.與供應商合作，確保他們接受過自動化應用程序安全測試的培訓并具備相關工具。案例近期與第三方相關的問題包括：（2024 年 2 月）據 IBM 稱，2023 年全球數據泄露的平均成本約為 445 萬美元。此外，2023 年

56、 4 月，網絡電話公司 3CX 報告了一次針對供應鏈的攻擊事件。網絡罪犯目標是一個或多個 3CX 源代碼庫，并在該公司桌面應用程序中植入惡意軟件。2（2024 年 3 月）被標記為 CVE-2024-3094 號的惡意后門在 xz Utils 中被發現，這是一款廣泛應用的數據壓縮工具。幾乎所有 Linux 和 Unix 操作系統都裝有此工具。xz Utils 能提供無損壓縮功能。其中一位主要開發者（已經為該項目貢獻了多年時間。）故意在 5.6.0和 5.6.1 版本中植入了后門。3（2024 年 4 月）根據 Cyberint 的 2024 最新報告，供應鏈攻擊有多種手法，如盜取證書、篡改軟件

57、或固件、竊取數據和發起拒絕服務攻擊等。他們注意到近期供應商遭受的侵害事件有所上升。此外，還存在試圖通過篡改供應商產品或服務來影響其他組織的情況。42024 云安全聯盟大中華區版權所有39CSA 云計算關鍵領域安全指南 5.0領域 1：云計算概念和架構領域 2：云治理領域 5：身份與訪問管理領域 7：基礎設施與網絡領域 10：應用程序安全CSA 云控制矩陣 v4.0參考鏈接業務連續性管理與運營韌性業務連續性管理與運營韌性BCR-01：業務連續性管理策略和規程BCR-02：風險評估和影響分析BCR-03：業務連續性策略變更控制和配置管理變更控制和配置管理CCC-04：非經授權的變更保護CCC-05

58、：變更協議CCC數據中心安全數據中心安全DCS-05：資產分級DCS-06：資產分類與跟蹤DCS-07：受控接入點DCS數據安全及隱私生命周期管理數據安全及隱私生命周期管理DSP-03：數據清單DSP-05：數據流文檔化DSP-06：數據所有權和管理權DSP-08：設計和默認數據隱私DSP-10：敏感數據傳輸DSP-16：數據保留和刪除DSPBCRCCC2024 云安全聯盟大中華區版權所有401.Hackers Putting Global Supply Chain at Risk 黑客將全球供應鏈置于風險之中https:/www.nationaldefensemagazine.org/art

59、icles/2020/7/2/hackers-putting-global-supply-chain-at-risk2.Rising Threat:Understanding Software Supply Chain CyberattacksAnd Protecting Against Them 威脅上升：了解軟件供應鏈網絡攻擊及其防護措施2.https:/ found in widely used Linux utility targets encryptedSSH connections在廣泛使用的Linux工具中發現后門，針對加密的SSH連接https:/ Weak Link:Rece

60、nt Supply Chain Attacks Examined 薄弱環節：近期供應鏈攻擊分析https:/ 云安全聯盟大中華區版權所有41威脅 6：不安全的軟件開發雖然開發者并未有意制造不安全的軟件，但由于軟件和云技術的復雜性，可能會無意中產生漏洞。當這類不安全的軟件被部署時，威脅行為者可以利用這些弱點破壞云應用程序。通過采取以云為導向的策略，組織能推動 DevOps 流水線的建立，并實現持續集成/持續部署（CI/CD）流程。云服務提供商（CSPs）也可提供如防護或自動化應用程序安全測試等安全開發功能。此外，CSPs 提供 IAM 功能,可在開發環境中執行最小權限原則，并支持拒絕訪問。需要進

61、行持續教育以確保每個開發人員理解公司與 CSP 的共享責任模式。例如，如果某位開發人員的軟件出現了零日攻擊漏洞，則該開發人員需負責修復問題；反之,如果是 CSP 提供了軟件開發或運營環境，則由 CSP 負責實施補丁來修復問題。擁抱云技術使得公司能專注于其業務特色，并將所有可能商品化的事物交給 CSP 管理和擁有。正如 Cloud Controls Matrix 4.0 所述，組織應：“根據自身的安全需求，為應用程序設計、開發、部署和運營定義并實施（安全開發生命周期）SDLC 流程?！蓖ㄟ^執行 SDLC，將更加關注于交付更安全的云應用程序。2024 云安全聯盟大中華區版權所有42商業影響不安全的

62、軟件開發會對技術、運營、財務和信譽等產生商業影響。以下是思考這些影響如何作用于組織的初始點:技術影響：技術影響：數據泄露：不安全的軟件可能會導致敏感數據在云端被未授權訪問，從而威脅到信息機密性。數據破壞：由于軟件開發的安全問題，可能會引起未經授權的數據訪問和損害。運營影響：運營影響：功能延遲：不安全的軟件開發可能導致功能更新推遲。系統停機：不安全的軟件有可能導致云服務部分或全部關閉。財務影響：財務影響：不合規和罰款：未遵守監管要求的公司可能需要承擔賠償、處罰和罰款責任。聲譽影響：聲譽影響：客戶信賴：由于公眾對不安全軟件開發所暴露出來的漏洞知曉，消費者對公司保護敏感信息能力產生懷疑。關鍵措施1.

63、制定并執行一個安全開發生命周期（SDLC）流程，包括在設計、開發和運營階段進行弱點和漏洞掃描。2.不存在絕對安全的軟件應用程序。組織的開發團隊可以利用云技術來打造更為安全的云應用，并采取措施以增強其韌性。2024 云安全聯盟大中華區版權所有433.利用云技術能避免重復創造已有解決方案。開發者可通過使用防護欄和其他API專注于處理業務特有問題。4.理解共享責任模型，如修補CSP服務或開發者應用中的漏洞等事宜，確保及時進行補救。5.CSPs高度重視安全，并會提供如“精心構建框架”或安全設計模式等指導，幫助用戶安全地實施服務。案例近期與賬戶劫持相關的問題包括：(2024 年 4 月)WordPres

64、s 插件遭受一次漏洞攻擊，該漏洞編號為 CVE-2024-27956，CVSS 評分高達 9.9/10（嚴重級別）。此漏洞使得攻擊者能創建具有管理權限的用戶賬戶并植入后門以實現長期訪問。其根源在于影響 SQL 的常見弱點，這是一個 SQL 注入問題，對 WP Automatic 3.9.2.0 及之前版本產生影響，并已波及 30,000 個網站。2(2024 年 4 月)黑客組織 Fancy Bear（也稱 APT28）利用 Windows 打印服務程序中的一個漏洞提升權限、獲取憑證和竊取數據。他們使用了一個名為 GooseEgg 的未曾公開過的黑客工具，自 2020 年 6 月起至少已經確認

65、 APT28 開始使用 GooseEgg 工具。3(2024 年 4 月)網絡安全研究人員發現 Apache 項目 Cordova App Harness 存在依賴混淆漏洞。此次攻擊針對包管理器先檢查公共倉庫再檢查私有注冊表的習慣性行為。威脅行動者可以將同名惡意包發布到公共包倉庫中去。值得注意的是，依賴性可能成為軟件開發工廠的潛在弱點。42024 云安全聯盟大中華區版權所有44CSA 云計算關鍵領域安全指南 5.0領域 1：云計算概念與架構領域 5：身份與訪問管理領域 10：應用程序安全性領域 11：事件響應與恢復能力CSA 云控制矩陣 v4.0參考鏈接1.AWS Well-Architect

66、ed Framework AWS良好架構框架https:/ Automatic WordPress plugin hit by millions of SQL injectionattacks WP Automatic WordPress插件遭遇數百萬次SQL注入攻擊https:/ 云安全聯盟大中華區版權所有453.Microsoft:APT28 hackers exploit Windows flaw reported by NSA微軟：APT28黑客利用NSA報告的Windows漏洞https:/ Cordova App Harness Targeted in Dependency Con

67、fusionAttack Apache Cordova App Harness遭遇依賴混淆攻擊https:/ 云安全聯盟大中華區版權所有46威脅 7：意外的數據泄露由于配置錯誤，數據意外泄露的風險每年都在增長。1 免費的公共搜索工具可以幫助找到公開的數據倉庫。2 這些風險存在于亞馬遜（S3桶、彈性容器注冊表、彈性塊存儲）、Azure Blob、GCP存儲、Docker Hub、Elasticsearch、Redis和GitHub等平臺上。3 盡管這些問題在過去兩年中已被廣為知曉和討論，但Elasticsearch和S3的漏洞通常會在暴露后24小時內發生。2024年4月，云安全聯盟發布研究指出2

68、1.1%的公共桶含敏感數據。僅過去一年里，除姓名、國籍、生日及性別等基本信息外，還意外披露了大量其他敏感資料如護照信息、密碼、學歷資料、駕照詳情,汽車信息,醫療記錄以及生物特征等。這些意外泄露多能預防，并主要由監管不足與控制失當引起。例如，在創建S3桶時，用戶或管理員決定是否啟用公共讀取權限；添加數據時也給用戶同樣選擇權。默認設置是私有的且需手動更改為公開狀態。雖然舊桶中仍有部分歷史設置存在，但這個安全問題主要源于選擇便利性而忽視了安全性。2024 云安全聯盟大中華區版權所有47商業影響意外的數據泄露既可能是威脅，也可能是結果-這源于內部員工在不考慮安全影響的情況下尋求簡化生活。這也是違規行為

69、和其他威脅所導致的后果。其結果明顯且每月都有相關新聞報道。技術影響：技術影響：數據泄漏：當敏感公司或個人數據因配置錯誤或其他問題被竊取時，未經授權獲取或使用該數據的人將能看到這些信息。運營影響：運營影響：業務中斷：攻擊者可能在幾分鐘內找到并破壞未加保護的存儲和容器，使系統停止運行。財務影響：財務影響：不合規：加利福尼亞消費者隱私法案（CCPA）和通用數據保護條例（GDPR）對違規行為設定了嚴重罰款。聲譽影響：聲譽影響：公司信譽：由違規事件引發的公眾關注可能會改變消費者和企業對公司誠信度以及治理、控制和管理能力的認知。關鍵措施1.所有云平臺都容易出現配置錯誤或用戶錯誤，技術解決方案相對有限-這些

70、問題通常是流程上的挑戰，需要強大的教育計劃、IT審計倡議和法律規劃等。2.一些基本的配置步驟可以顯著地減少這個問題中“意外”的部分。確保正確配置2024 云安全聯盟大中華區版權所有48存儲桶以最小化訪問（維護私人設置，加密內容，并使用多因素認證（MFA）生成強密碼）。每個主要的云服務提供商（如Amazon,Google,Microsoft）都提供了安全配置的詳細指南。53.為了顯著降低風險暴露，請實施數據庫最小權限身份和訪問管理(IAM)策略。確保嚴格控制并監視此政策的執行情況。禁用/不使用訪問控制列表(ACLs)，而選擇IAM以獲取更高級別的安全性。持續推進零信任架構。4.為了確保合規性，數

71、據所有者必須定期識別和審計數據存儲桶及其權限。如果已經進行過相關配置，則云安全態勢管理(CSPM)工具可以自動修復問題。案例近期各類云數據意外泄露事例包括：（2023 年 6 月）密碼泄露：一個公開鏈接導致人們可以訪問含有 38TB Azure 存儲桶的 Microsoft 密碼、Teams 消息和文件。亞馬遜和 CSA 均強烈反對使用此類鏈接。4,5,6（2023 年 6 月）護照信息泄露：世界棒球軟球聯合會 S3 存儲桶配置錯誤，導致 48000條記錄被暴露，其中包含 4600 本護照。請參考安全問題 3（配置錯誤及更改控制不足），以及亞馬遜和 CSA 的建議。4,5,7（2023 年 5

72、 月）教育數據泄漏：大學招生機構 CaptainU 公開了近 100 萬名高中生的學術記錄，包括圖片和私人信息（涉及 13 至 18 歲學生）。這個案例顯示出用戶屬性不僅被存儲并外泄，完整對話、圖像等也附加在這些記錄上，并一同被存儲。8（2023 年 5 月）生物特征數據泄漏：美國政府 AI 承包商 Veritone AI 公開了 550GB音頻、視頻以及生物識別圖像資料，員工身份信息，警察行車記錄儀錄像，信息自由法案（FOIA）請求相關文件以及帶有授權令牌的系統日志。部分數據可被用于制作深度偽造內容，進一步提高其對欺詐者的價值。92024 云安全聯盟大中華區版權所有49CSA 云計算關鍵領域

73、安全指南 5.0領域 2：云治理領域 5：身份和訪問管理領域 7：基礎設施與網絡領域 9：數據安全領域 10：應用程序安全CSA 云控制矩陣 v4.0應用程序和接口安全應用程序和接口安全AIS-02：應用程序安全基線需求AIS-04：應用程序安全設計和開發A&A業務連續性管理與運營彈性業務連續性管理與運營彈性BCR-05：文檔記錄BCR數據安全與隱私生命周期管理數據安全與隱私生命周期管理DSP-01：安全、隱私政策和程序DSP-02：安全處置DSP-03：數據清單DSP-05：數據流文檔DSP-06：數據所有權和管理權DSP-07：設計和默認數據保護DSP-09：數據保護影響評估DSP-10：

74、敏感數據傳輸DSP-11：個人數據訪問，撤銷，糾正和刪除DSP-13：個人數據子處理DPS-14：披露數據子處理者DPS-16：數據保存和刪除DPS-17：敏感數據保護DSP治理、風險管理和合規治理、風險管理和合規GRC-01：治理計劃策略和程序GRC-02：風險管理計劃IAM身份識別與訪問控制身份識別與訪問控制IAM01：身份與訪問控制的策略和規程IAM03：身份清單IAM05：最小權限IAM基礎設施與虛擬化安全基礎設施與虛擬化安全IVS01：基礎設施與虛擬化安全策略和程序IVS03：網絡安全IVS06：分區與隔離IVS2024 云安全聯盟大中華區版權所有50參考鏈接1.Code42 202

75、4年度數據泄露報告https:/ 云安全聯盟大中華區版權所有51威脅 8：系統漏洞系統漏洞是云服務平臺中的缺陷，可用來損害數據的機密性、完整性和可用性，并可能造成服務運營中斷。云服務通常由定制軟件、第三方庫和服務以及操作系統構建。任何這些組件中的漏洞都會使云服務更容易受到網絡攻擊。系統漏洞主要有四類：配置錯誤-當使用默認或不正確的配置設置部署云服務時，云服務器會出現漏洞。根據美國國家安全局的說法，云資源配置錯誤是最普遍的云漏洞。4 如前所述，配置錯誤是本出版物“頂級威脅”調查響應者發現的首要安全問題。零日漏洞-這些漏洞是由威脅行為者發現和利用的，但云服務提供商和軟件供應商并不知道這些漏洞。未修

76、補軟件-包含已知安全漏洞的軟件，盡管有針對這些問題的補丁，但這些漏洞尚未得到修復。弱憑據或默認憑據-缺乏強身份驗證會增加威脅行為者未經授權訪問敏感數據和系統的機會。處理系統漏洞需要持續監控系統和網絡活動，并定期進行漏洞掃描，以便在黑客發現之前發現安全問題。應定期使用補丁管理系統來查找、獲取、測試和部署軟件更新或補丁，以修復應用程序和系統中的已知安全漏洞。部署零信任架構可以通過持續身份驗證和強制最小權限訪問來限制對重要系統資源的訪問，從而幫助抵御攻擊。2024 云安全聯盟大中華區版權所有52商業影響系統漏洞以多種方式對云服務的性能和運行產生負面影響。只要系統漏洞沒有修補，系統漏洞對云服務的影響就

77、會顯現出來。以下是系統漏洞可能造成的一些影響：技術影響：技術影響：安全性減弱：未能解決系統漏洞的云服務更容易受到攻擊和危害。數據丟失：敏感和關鍵任務的數據更容易從存在未修補漏洞的系統中盜取或暴露。運營影響：運營影響：業務中斷：數據丟失會使組織無法履行對合作伙伴和客戶的業務承諾。系統性能受損：受到攻擊的云服務可能會出現系統性能下降甚至系統中斷的情況。財務影響：財務影響：收入損失：因服務中斷、恢復成本、客戶不滿或法律訴訟造成的財務損失。不合規和罰款：未能遵守漏洞管理和相關處罰的監管要求而受罰。聲譽影響：聲譽影響：公司聲譽受損：損害云服務組織的公眾形象和品牌價值?？蛻袈曌u受損：依賴受損的第三方云服務

78、的客戶可能會遭遇數據泄露和服務中斷，對其聲譽產生負面影響。關鍵措施1.系統漏洞是云服務中的缺陷，會擴大其攻擊面。2.美國國家安全局（NSA）和頂級威脅調查的受訪者將配置錯誤確定為最重要的云2024 云安全聯盟大中華區版權所有53服務漏洞。3.對系統和網絡的持續監控提供了對安全漏洞和其他系統完整性問題的可見性。4.定期的補丁管理可確保獲取和部署最新的安全補丁，使系統更能抵御網絡攻擊。5.零信任架構可以通過限制對關鍵云資源的訪問來限制零日漏洞的潛在損害。案例最近與云中系統漏洞相關的問題示例包括：（2023 年 1 月）Fortra 披露，有黑客利用了其 GoAnywhere 托管文件傳輸服務（MF

79、T）中的遠程代碼執行（RCE）漏洞。該漏洞的漏洞號為 CVE-2023-0669，該漏洞使攻擊者能夠在某些客戶環境中創建未經授權的用戶賬戶，并從 MFT 服務下載文件。3（2023 年 3 月）OpenAI 將其 ChatGPT 服務脫機，以修復該公司在其 Redis 緩存客戶端代碼中引入的一個錯誤。Redis 是一個開源系統，ChatGTP 使用 Redis 來緩存用戶數據，以最大限度地減少直接數據庫訪問。該漏洞暴露了用戶的聊天記錄和新創建的對話中的第一條消息。此外，還暴露了屬于 1.2%的 ChatGPT Plus 用戶的支付相關信息，包括姓名、電子郵件地址、支付地址、支付卡到期日期以及客

80、戶卡號的最后四位數字。1（2023 年 5 月）總部位于俄羅斯的 Clop 勒索軟件集團入侵了 MOVEit 的托管文件傳輸服務（MFT），該組織利用了 MFT 系統中的 4 個 SQL 注入漏洞。這些漏洞分別為CVE-2023-34362、CVE-2023-35036、CVE-2023-35708 和 CVE-2023-3693X。這些攻擊影響了多個 MOVEit 客戶，包括美國政府組織和私營部門公司。據估計，有 500 多個組織和3400 萬人受到影響，其中 72%的受害者組織在美國，但許多其他組織在歐洲和亞洲。Clop勒索軟件組織的操作方法已從加密數據轉向暴露從目標檢索到的敏感數據的威脅

81、。6CSA 云計算關鍵領域安全指南 5.02024 云安全聯盟大中華區版權所有54領域 5：身份和訪問管理領域 6：安全監控領域 7：基礎設施和網絡領域 9：數據安全領域 10：應用程序安全領域 11：事件響應和彈性CSA 云控制矩陣 v4.0應用程序和接口安全應用程序和接口安全AIS-01：應用和接口安全策略和程序AIS-02：應用程序安全基線需求AIS-06：自動應用程序安全部署AIS-07：應用程序漏洞修復AIS密碼學、加密和密鑰管理密碼學、加密和密鑰管理CEK-03：數據加密CEK-04：加密算法CEK基礎設施與虛擬化安全基礎設施與虛擬化安全IVS-04：操作系統加固與基線控制IVS威

82、脅、脆弱性管理威脅、脆弱性管理TVM-01：威脅、脆弱性管理策略及規程TVM-02：惡意軟件防護策略和規程TVM-03：脆弱性補救程序TVM-04：檢測更新TVM-05：外部庫脆弱性TVM-06：滲透測試TVM-07：脆弱性識別TVM-08：脆弱性優先級TVM-09：脆弱性匯報管理TVM2024 云安全聯盟大中華區版權所有55威脅 9：云可見性/可觀測性不足當組織無法有效地可視化和分析云服務的使用是安全的還是惡意的時，有限的云可見性問題就會出現。這個問題包括兩個關鍵挑戰：使用未經批準的應用程序和濫用經批準的應用程序。當員工在沒有公司IT和安全部門的特定許可和支持的情況下使用云應用程序和資源，導

83、致影子IT時，就會發生未經批準的應用程序使用。當涉及敏感的公司數據時，這種情況尤其危險。當組織無法監控內部人員如何使用其批準的應用程序或者外部威脅行為者瞄準這些應用程序，就會發生受批準的應用程序的濫用，這些濫用通常是通過憑證盜竊、SQL注入和DNS攻擊等方法來進行的。1,2,32023 年，幾起重大的云泄露事件突顯了缺乏云可見性的挑戰。值得注意的例子包括：導致數據泄露的人為錯誤：泰雷茲（2023）報告稱，超過三分之一（39%）的企業在其云環境中經歷了數據泄露，其中一半以上（55%）的事件是人為錯誤造成的。這突顯了對提高云環境的可見性和控制力度以防止此類錯誤的迫切需要。未檢測到的安全漏洞：根據

84、Gigamon（2023）的數據，近三分之一的安全漏洞沒有讓 IT和安全專業人員發現。這種缺乏檢測突顯了感知和實際安全之間的差距，強調了提高可見性和監控工具的必要性。云泄露的成本：Illumio 的研究（2023 年）發現，近一半的數據泄露源于云，每次泄露平均給組織造成 410 萬美元的損失。這些漏洞的一個重要原因是對云連接和第三方軟件交互的可見性不足。配置錯誤和訪問問題：Expert Insights（2023）報告稱，許多云數據泄露是由于訪問權限配置錯誤造成的。大約83%的組織經歷了至少一次與訪問相關的云數據泄露的配置錯誤，許多配置缺乏對用戶權限和資源訪問的可見性。組織正在認識到全面監控以

85、及健壯的訪問控制3并采用零信任分段等高級安全實踐的重要性，以降低這些風險并增強整體云安全彈性。4,52024 云安全聯盟大中華區版權所有56商業影響有限的云可見性可能會通過各種技術、運營、財務和聲譽后果嚴重影響企業。以下是主要影響：技術影響：技術影響：安全性減弱：由于不受監控的漏洞和配置錯誤，無法緩解可見性問題的云服務更容易受到攻擊和損害。數據丟失：APT 攻擊通常旨在竊取或暴露敏感和關鍵任務數據，損害業務信息的完整性和機密性。運營影響：運營影響：業務中斷：數據丟失可能會使組織無法履行對合作伙伴和客戶的業務義務，從而導致重大的運營停滯。系統性能受損：對云服務的攻擊會降低系統性能或導致系統中斷，

86、影響整體生產力和服務交付。財務影響：財務影響：收入損失：服務中斷、恢復成本、客戶不滿或違規后的法律訴訟可能導致財務損失。不合規和罰款：不遵守監管安全要求可能會導致巨額罰款和處罰，這可能會影響組織的財務穩定性。聲譽影響：聲譽影響：公司聲譽受損：數據泄露會損害云服務提供商的公眾形象和品牌價值，使其難以重新獲得客戶信任?？蛻袈曌u受損：依賴受損云服務的客戶也可能遭受數據泄露和服務中斷，這可能會對客戶的聲譽和客戶關系產生負面影響。2024 云安全聯盟大中華區版權所有57關鍵措施1.開發全面的云可見性：從自上而下的方法開始，讓云安全架構師創建一個集成人員、流程和技術的解決方案。2.強制全公司培訓：確保所有

87、員工都接受過關于公認的云使用政策及其執行的培訓。63.審查和批準未批準的服務：讓云安全架構師或第三方風險管理審查和批準所有未批準的云服務。4.投資云訪問安全代理（CASB）和零信任安全（ZTS）解決方案：使用這些工具分析出站活動，發現云使用情況，并識別有風險的用戶和有資格的員工行為異常。5.部署web應用程序防火墻（WAF）：監控所有入站連接的可疑趨勢、惡意軟件、DDoS和僵尸網絡風險。6.監控關鍵企業云應用程序：選擇解決方案來控制關鍵應用程序并減輕可疑行為。7.實施零信任模型：在整個組織內采用零信任方法，以確保健壯的安全性。案例最近與云可見性有限相關的問題包括：(2023 年 9 月至 20

88、23 年 10 月）持續約 22 天的 Okta 漏洞是另一個突出云可見性至關重要的例子。Okta 的客戶 1Password 首先發現了漏洞，后來 BeyondTrust 證實該漏洞。攻擊者通過入侵 Okta 員工的個人谷歌賬戶獲得了訪問權限，該賬戶用于保存 Okta 服務賬戶憑據。此次數據泄露影響了所有 Okta 員工身份云（WIC）和客戶身份解決方案（CIS）客戶，但 FedRamp High 和 DoD IL4 環境中的客戶除外。包括聯邦快遞、惠普和 T-Mobile等大公司在內的數百名 Okta 客戶的敏感數據可能遭到泄露。此次數據泄露突顯了云服務提供商的漏洞以及此類數據泄露可能帶來

89、的廣泛影響，引發了人們對 Okta 的安全實踐及其保護客戶數據能力的擔憂。7,8（2023 年 10 月至 2023 年 12 月）23 日，由于云存儲桶配置錯誤，領先的消費者遺傳學公司 Me 遭遇了重大數據泄露。超過 500 萬客戶的個人基因組數據遭到泄露。這一漏2024 云安全聯盟大中華區版權所有58洞突顯了在云環境中保持嚴格的可見性和訪問控制的重要性，特別是那些處理高度敏感信息的環境。此類敏感數據的暴露不僅損害了客戶隱私，還引發了人們對公司內部數據安全實踐的嚴重擔憂。這一事件清楚地提醒人們，云可見性不足的潛在后果以及需要持續監控和配置管理來保護敏感數據。9,10CSA 云計算關鍵領域安全

90、指南 5.0領域 1：云計算概念和架構領域 3：風險、審計和合規性領域 5：身份和訪問管理領域 8：云工作負載安全領域 9：數據安全領域 10：應用程序安全領域 11：事件響應和恢復能力CSA 云控制矩陣 v4.0身份和訪問控制身份和訪問控制A IAM-03：身份清單IAM-08：用戶訪問評審IAM威威脅脅、脆脆弱弱性性管管理理TVM-01：威脅、脆弱性管理策略及規程TVM-02：惡意軟件防護策略和規程TVM-03：脆弱性補救程序TVM2024 云安全聯盟大中華區版權所有59參考鏈接1.Palo Alto Networks 的 Prisma Cloud：云發現和風險管理https:/ 年云安全

91、研究-全球版https:/ 年云風險報告https:/ 云安全聯盟大中華區版權所有606.2024 年你應該了解的 50 個云安全統計數據https:/ 2023 年的 Okta 供應鏈攻擊：全面分析https:/ 支持單元違規更新https:/ 數據被黑客攻擊數月未被發現https:/ 證實黑客竊取了 690 萬用戶的數據https:/ 云安全聯盟大中華區版權所有61威脅 10：未驗證的資源共享認證的云資源共享可能給云服務帶來重大的安全風險。云資源可能包括虛擬機、存儲桶和數據庫，這些資源都包含對業務運營至關重要的敏感數據和應用程序。如果沒有適當的用戶認證或遵循最小權限原則，云資源就容易被想要

92、竊取公司和個人機密數據的威脅行為者所利用。在保護云資源的最佳實踐中，至少需要進行基本的身份驗證，如輸入密碼。然而，每年都會有大量數據泄露事件發生，原因是云存儲和數據庫系統沒有密碼保護。在當今互聯網的海量數據中，找到未受保護的云資源似乎是一項挑戰，但實際情況恰恰相反。多年來，像Shodan、Binary Edge和Gravhat Warfare這樣的公共可用物聯網（IoT）搜索工具一直存在，很容易發現未受保護的數據存儲庫。除了密碼保護之外，還可以采取其他安全措施來保護關鍵數據：多因素認證（MFA）：當嘗試訪問數據時，MFA要求用戶通過二次驗證來驗證其身份，如一次性訪問代碼或生物識別驗證。第三方認

93、證平臺：使用專門用于驗證用戶身份的服務可以幫助組織可靠地管理用戶認證，并提供諸如一鍵或觸式授權的認證方案。一旦發現漏洞，就可以在網絡犯罪分子發現并利用它們之前進行修復。2024 云安全聯盟大中華區版權所有62商業影響以下是未驗證云資源可能導致的一些負面影響：技術影響：技術影響：數據泄露：未經授權的威脅行為者可能竊取或暴露敏感和關鍵任務數據。數據丟失：對數據的無限制訪問可能導致部分或全部數據被破壞。運營影響：運營影響：業務中斷：數據丟失可能阻止組織履行對合作伙伴和客戶的業務義務。財務影響：財務影響：收入損失：由于服務中斷、服務恢復、客戶不滿或法律行動導致的財務損失。不合規和罰款：未能遵守漏洞管理

94、的監管要求及相關處罰。聲譽影響：聲譽影響：公司聲譽：損害云服務組織的公眾形象和品牌價值?？蛻袈曌u：依賴受損第三方云服務的客戶可能會經歷數據泄露和服務中斷，對他們的聲譽產生負面影響。關鍵措施1.云存儲和數據庫設施有時沒有密碼保護，任何人都可以輕易利用。對云資源的訪問進行限制，實施基本的用戶認證和密碼強制是必不可少的。2.通過部署多因素認證（MFA）和使用第三方授權服務，可以進一步改進認證。3.持續監控用戶可以幫助確定他們的行為是合法的還是惡意的。2024 云安全聯盟大中華區版權所有63案例（2023 年 9 月）KidSecurity 是一個廣泛使用的家長控制應用程序，父母可以用它來追蹤自己的孩

95、子、聽孩子的聲音和設定游戲時間限制。研究人員發現該公司未能保護其服務使用的 Elasticsearch 和 Logstash 集合，暴露了用戶的私有數據。KidSecurity 的日志對互聯網上的任何人開放了一個多月。超過 3 億條記錄的私有用戶數據被暴露，包括 21,000 個電話號碼和31,000 個電子郵件地址。該應用程序還暴露了用戶的支付信息，透露了信用卡號碼的前六位和后四位、有效期月份和年份，以及發卡銀行。2,4（2023 年 10 月）印度國有的 National Logistics Portal-Marine 網站由于配置錯誤的 Amazon S3 存儲桶而暴露了敏感和私有數據。

96、該網站還傳遞了一個包含登錄憑證的 Javascript 文件給瀏覽器。暴露的數據包括全名、國籍、出生日期、性別、護照號碼、護照簽發機構、船舶和其他船員提交的旅行信息的到期日期。發票、航運訂單和貨物賬單也是敏感數據。3（2024 年 1 月）研究人員發現，Tunefab 轉換器（用于從 Spotify、亞馬遜的 Audible 和蘋果音樂等流媒體系統轉換音樂）暴露了用戶的私有數據。該平臺暴露了超過 1.51 億條記錄，包含用戶的 IP 地址、地區、ID、電子郵件地址和設備信息。數據泄露是由于配置錯誤的 MongoDB 數據庫造成的，該數據庫沒有密碼保護的訪問權限，并出現在公共互聯網上。該數據庫于

97、 9 月26 日被發現在一個公共可用的物聯網搜索引擎上。4,5CSA 云計算關鍵領域安全指南 5.0領域 3：風險、審計和合規領域 5：身份與訪問管理領域 6：安全監控2024 云安全聯盟大中華區版權所有64領域 9：數據安全領域 10：應用安全CSA 云控制矩陣 v4.0審計與保證審計與保證A&A-04:符合性需求A&A-05:審計管理過程A&A數據安全與隱私生命周期管理數據安全與隱私生命周期管理DSP-07:設計和默認數據保護DSP-17:敏感數據保護DSP安全事件管理、電子發現及云取證安全事件管理、電子發現及云取證TVM-06:滲透測試TVM日志記錄與監控日志記錄與監控LOG-05:審計

98、日志監控與響應LOG-12:訪問控制日志LOG身份和訪問控制身份和訪問控制IAM-01:身份與訪問控制策略與規程IAM-02:強密碼的策略與規程IAM-07:用戶訪問變更和撤銷IAM-08:用戶訪問評審IAM-14:強鑒別IAM-15:密碼管理IAM2024 云安全聯盟大中華區版權所有65威脅 11：高級持續性威脅（APT）高級持續性威脅（APT）對云安全構成重大風險。這些復雜的對手，包括國家級行為者和有組織的犯罪團伙，他們擁有資源和專業知識來開展長期攻擊活動，目標是云中的敏感數據和資源。在2022-2023年，APT活動通過各種戰術顯著威脅了云環境，包括勒索軟件和敲詐、利用零日漏洞、網絡釣魚

99、和憑證盜竊、破壞性擦除數據攻擊以及供應鏈破壞。這些方法突顯了APT的持續性，需要強有力的安全措施來保護云基礎設施免受這些高級威脅的侵害。為了在云中防御APT，組織應該監控網絡威脅情報，以了解最相關的APT組織及其戰術、技術和程序（TTP）。紅隊演習可以幫助測試和提高對模擬APT攻擊的檢測和響應能力。在云環境中進行威脅狩獵行動對于識別APT隱蔽而持久的存在也至關重要。多層次的云安全策略，包括強大的訪問控制、加密、監控和事件響應，對于對抗這些高級對手是必不可少的。2024 云安全聯盟大中華區版權所有66商業影響APT 可以通過多種渠道嚴重影響企業，導致技術、運營、財務和聲譽方面的后果。技術影響：技

100、術影響：安全性減弱：未能解決 APT 漏洞的云服務更容易受到攻擊和破壞。數據丟失：APT 攻擊通常旨在竊取或暴露敏感和關鍵任務數據，損害商業信息的完整性和機密性。運營影響：運營影響：業務中斷：數據丟失可能阻礙組織履行對合作伙伴和客戶的業務義務，導致運營停滯。系統性能：對云服務的攻擊可能會降低系統性能或導致系統停機，影響整體生產力和服務交付。財務影響：財務影響：收入損失：服務中斷、恢復成本、客戶不滿或違規后法律行動可能導致的財務損失。不合規和罰款：未能遵守監管安全要求可能導致巨額罰款和處罰，這可能影響組織的財務穩定。聲譽影響：聲譽影響：公司聲譽：高級持續性威脅（APT）可能會損害云服務提供商的公

101、眾形象和品牌價值，難以重新獲得客戶信任?？蛻袈曌u：依賴受損云服務的客戶也可能遭受數據泄露和服務中斷，這可能對他們的聲譽和客戶關系產生負面影響。2024 云安全聯盟大中華區版權所有67關鍵措施1.業務影響分析：定期分析業務影響，以識別和了解組織的關鍵信息資產和潛在漏洞。這將有助于優先考慮安全工作和資源分配，以保護最有價值數據免受 APT 威脅。2.網絡安全信息共享：參與網絡安全信息共享組和論壇，了解最活躍的 APT 組織及其戰術、技術和程序（TTPs）。通過這些集體知識，可以增強企業的防御和響應能力。3.攻擊性安全演習：通過紅隊演習和威脅狩獵活動定期模擬 APT 的戰術、技術和程序（TTPs）。

102、這些攻擊性安全演習有助于測試和提高您的檢測和響應能力，確保您的安全措施能夠有效應對復雜的威脅。CSA 云計算關鍵領域安全指南 5.0領域 1：云計算概念和架構領域 3：風險、審計和合規領域 5：身份與訪問管理領域 8：云工作負載安全領域 9：數據安全領域 10：應用安全領域 11：事件響應和彈性2024 云安全聯盟大中華區版權所有68CSA 云控制矩陣 v4.0身份和訪問控制身份和訪問控制A IAM-03：身份清單IAM-08：用戶訪問評審IAM日志記錄和監控日志記錄和監控LOG-03：安全監控與警報LOG-05：審計日志監控和響應LOG安全事件管理、電子發現及云取證安全事件管理、電子發現及云

103、取證SEF-03：事件響應計劃SEF威脅、脆弱性管理威脅、脆弱性管理TVM-01：威脅、脆弱性管理策略及規程TVM-02：惡意軟件防護策略和規程TVM-03：脆弱性補救程序TVM-04：檢測更新TVM-05：外部庫脆弱性TVM-06：滲透測試TVM-07：脆弱性識別TVM-08：脆弱性優先級TVM-09：脆弱性匯報管理TVM-10：脆弱性管理指標TVM供應鏈管理、透明性能和可核查供應鏈管理、透明性能和可核查STA-08：供應鏈風險管理STA2024 云安全聯盟大中華區版權所有69結論和未來展望本報告分析了云安全威脅的演變態勢，重點關注了配置錯誤、IAM（身份和訪問管理）弱點、不安全的 API

104、以及缺乏全面安全策略的持續性問題。雖然這些威脅與 2022 年報告中識別的相同，但它們的持續存在突顯了其關鍵性。一些趨勢可能會塑造云安全威脅的未來。組織必須保持信息靈通并適應這些趨勢，以維護安全的云環境。關鍵趨勢包括：攻擊復雜性的增加：攻擊者將繼續開發更復雜的技術，包括通過人工智能技術利用云環境中的漏洞。這些新技術將需要具有持續監控和威脅狩獵能力的主動安全姿態。供應鏈風險：云生態系統的日益復雜將增加供應鏈漏洞的攻擊面。組織需要將其安全措施擴展到其供應商和合作伙伴。不斷演變的監管環境：監管機構可能會實施更嚴格的數據隱私和安全法規，要求組織適應其云安全實踐。勒索軟件即服務（RaaS）的興起：Raa

105、S 將使技術不熟練的參與者更容易對云環境發起復雜的勒索軟件攻擊。組織將需要強大的數據備份和恢復解決方案以及嚴格的訪問控制。一些關鍵的緩解策略包括：在整個軟件開發生命周期（SDLC）中集成 AI：利用 AI 進行代碼審查和早期開發中的自動漏洞掃描等任務，將有助于在代碼投入生產之前識別和解決安全問題。使用 AI 驅動的進攻性安全工具：這些工具模擬攻擊者行為，以發現云配置、IAM協議和 API 中的漏洞。這種主動方法有助于組織領先于潛在威脅。云原生安全工具：組織將越來越多地采用專為云環境設計的云原生安全工具。與傳統安全解決方案相比，這些工具提供更好的可見性和控制。零信任安全模型：零信任模型強調持續驗

106、證和最小權限訪問，已成為云安全的2024 云安全聯盟大中華區版權所有70標準。自動化和編排：自動化安全流程和工作流程對于管理云安全復雜性至關重要。安全技能差距：網絡安全技能差距將繼續是一個挑戰。組織需要重視和投入預算用于培訓和發展計劃，為員工提供持續教育，不斷提升員工的安全專業技能和安全意識。組織可以通過采用這些策略并保持對不斷演變的威脅的警惕，來構建安全和彈性的云環境。然而，網絡安全格局在不斷變化。持續適應和投資于尖端安全解決方案，如云安全態勢管理（CSPM）或端點檢測和響應（EDR）工具，對于保持領先地位和減輕與云安全漏洞相關的財務和聲譽風險至關重要。2024云安全聯盟大中華區版權所有35