配置错误和 IAM 弱点是云安全的主要隐患

根据云安全联盟发布的《2024 年云计算最大威胁》报告，通常与云服务提供商 (CSP) 相关的传统云安全问题的重要性正在持续下降。

配置错误、IAM 弱点和 API 风险仍然至关重要

这些发现延续了 2022 年报告中首次发现的轨迹，同时，诸如错误配置的持续性、身份和访问管理 ( IAM ) 弱点、不安全的应用程序编程接口 ( API ) 以及缺乏全面的安全策略等威胁仍然排名靠前，凸显了它们的关键性。

人们很容易认为，自上次发布报告以来，同样的问题一直位居榜首，是因为在保护这些功能方面缺乏进展。

然而，从更大角度来看，这说明组织对这些漏洞的重视程度，以及他们为构建更安全、更具弹性的云环境所付出的努力程度。

2024 年主要威胁按重要性对以下问题进行了排名（适用之前的排名）。

值得注意的是，2022 年出现的拒绝服务、共享技术漏洞和 CSP 数据丢失等问题现在评级较低。

因此被排除在本报告之外：

➤ 配置错误和变更控制不足
➤ 身份和访问管理 (IAM)
➤ 不安全的接口和 API
➤ 云安全策略选择/实施不足
➤ 不安全的第三方资源
➤ 不安全的软件开发
➤ 意外云数据泄露
➤ 系统漏洞
➤ 有限的云可见性/可观察性
➤ 未经认证的资源共享
➤ 高级持续性威胁

塑造云计算未来的主要趋势

在这些持续存在的威胁背景下，本文还谈到了可能影响云计算未来的几个关键趋势，其中包括：

攻击复杂性增加：攻击者将继续开发更复杂的技术，包括人工智能，以利用云环境中的漏洞。这些新技术将需要采取主动的安全态势，并具备持续监控和威胁搜寻能力。

供应链风险：云生态系统的日益复杂将增加供应链漏洞的攻击面。组织需要将安全措施扩展到其供应商和合作伙伴。

不断变化的监管格局：监管机构可能会实施更严格的数据隐私和安全法规，要求组织调整其云安全实践。

勒索软件即服务 (RaaS) 的兴起： RaaS 将使不熟练的参与者更容易对云环境发起复杂的勒索软件攻击。组织将需要强大的数据备份和恢复解决方案以及强大的访问控制。

鉴于网络安全形势不断演变，公司很难保持领先地位并降低其财务和声誉风险。通过关注整个行业最关注的威胁、漏洞和风险，组织可以更好地集中资源。

在编写《2024 年云计算的最大威胁》报告时，工作组分两个阶段进行了研究，均采用调查方式收集网络安全专业人士对云计算最相关的威胁、漏洞和安全问题风险的想法和意见。

第一阶段，小组通过对小组成员进行现场调查，列出云安全问题简短清单；第二阶段，小组就云行业 28 个安全问题简短清单对 500 多位行业专家进行了调查，并编写了最终报告。