《2024年云计算顶级威胁》.docx

?2024

?2024云安全联盟大中华区版权所有 1

目录

摘要 8

调查 10

威胁1：配置错误与变更控制不足 13

威胁2：身份与访问管理 19

威胁3：不安全的接口与APIs 25

威胁4：云安全策略缺失 31

威胁5：不安全的第三方资源 36

威胁6：不安全的软件开发 41

威胁7：意外的数据泄露 46

威胁8：系统漏洞 51

威胁9：云可见性/可观测性不足 55

威胁10：未验证的资源共享 61

威胁11：高级持续性威胁（APT） 65

结论和未来展望 69

?2024云安全联盟大中华区版权所有 7

摘要

《顶级威胁》报告旨在提高人们对云计算威胁、漏洞和风险的认识。在本次报告中，我们对500多位云计算行业的专家进行了调查，深入探讨了云计算领域的安全问题。受

访者识别出今年他们的云环境中存在的11个重要安全问题。顶级威胁工作组利用调查结果及其专业知识编制了《2024年云计算顶级威胁》报告。

最新报告重点介绍了2024年的顶级威胁。报告中还显示了2024年和2022年威胁的排名对比。

观察

调查分析显示，由云服务提供商(CSP)负责的传统云安全问题在排名中的持续下降。此前报告中提到的拒绝服务攻击、共享技术的漏洞以及CSP数据丢失等问题，如今因评级较低而未被纳入本报告。这些问题的消失显示出对云计算的信任感增加；基础设施即服务(IaaS)环境中的老旧云安全问题不再那么令人担忧。此外，我们观察到数据泄露不再占据顶级云安全问题的主导地位。

随着云商业模式和安全策略的演变，本报告提高了对以下关键安全问题的关注：

配置错误与变更控制不足

身份和访问管理(IAM)(IAM)

不安全的接口和APIs

缺乏云安全架构与策略

配置错误与变更控制不足：如今位居2024年顶级威胁调查首位，相较于2022年报告中的第三位有所上升。多年来，配置管理一直是组织能力成熟度的基石。然而，向云计算的过渡加剧了这一挑战，使团队必须采用更强健的云特定配置。由于云服务的持续网络访问和无限容量特性，配置错误可能对整个组织产生广泛影响。

身份和访问管理(IAM)：曾位居首位，如今降至第二位。云环境中仍存在重放攻击、伪造身份和权限过多等挑战，这与本地设置类似。然而，使用自签名证书和糟糕的加密管理显著地增加了其安全风险。关注于零信任架构和软件定义边界(SDP)的实施重点反映出这些问题在调查受访者中的优先级。

不安全的接口和APIs：从第二位降至第三位，微服务的采用突显了保护接口和API的重要性。尽管它们在云服务（包括SaaS和PaaS产品）中起着关键作用，但由于开发人员的效率不足与云服务所需要的持续在线的要求，保障安全的接口和API仍然面临巨大挑战。

缺乏云安全策略：仍位于第四位，这一领域持续关注的问题是：为什么在规划和构

建安全解决方案时仍存在重大挑战？云计算已经是稳定发展的技术，它需要明确的可执行的架构策略。

目标读者

云计算和安全从业者以及爱好者将从本报告中受益。以获取在云安全方面的威胁和挑战的最新见解，了解这些威胁如何影响行业，以及可以采取哪些措施来减轻其后果。同时，本文基于调查的研究将为合规、风险、技术、信息安全人员和高管管理层提供与当前时代相关的技术趋势和优先考虑的云安全事项。

调查

在创建《2024年云计算顶级威胁》调查报告时，CSA顶级威胁工作组分两个阶段进行了研究。这两个阶段均通过调查收集了网络安全专业人士对云计算中最相关的威胁、漏洞和风险问题的看法与意见，最终目的是确定2024年的顶级威胁。

在第一阶段研究中，工作组旨在通过面对面调查工作组成员来创建云安全问题的初步清单。工作组从之前的报告（《云计算的11类顶级威胁》）中的11个顶级威胁（安全问题）开始，通过讨论又增加了19个问题。然后，工作组在一系列会议中审查了这30个问题，并要求成员根据其所在组织及他们熟悉的组织，评估每个问题的重要性。这最终形成了调查中的28个问题。

在研究的第二阶段，工作组的主要目标是通过对500多名安全专业人士的在线调查，

根据重要性对这28个安全问题进行排名。工作组选择了一个以10分为满分的评分系统，

以反映每个问题的重要性。调查参与者被要求对每个云安全问题进行1到10的评分，1表示“不是很重要”，10表示“最重要”。每个类别的得分被汇总并取平均值，然后根据平均分对安全问题进行排名。最终，工作组确定了以下11个顶级威胁。

在确定了11个顶级威胁后，工作组对每个问题进行了分析。每个分析包括对问题的描述、业务影响、关键措施、案例和实际事例，并引用了CSA《云计算关键领域安全指南

v5