根據(jù)云安全聯(lián)盟（Cloud Security Alliance）發(fā)布的《2024年云計算十大威脅報告》，過去與云服務提供商相關(guān)的安全問題的嚴重性正在逐漸降低。配置錯誤、身份與訪問管理（IAM）薄弱以及API風險等問題依然是當前云安全的重大隱患。

云安全威脅的三座大山

報告顯示，自2022年以來，云安全問題的嚴峻性并未減少，尤其是配置錯誤、IAM弱點、不安全的應用程序接口（API）這“三座大山”依然牢牢占據(jù)著云安全威脅榜單的前三名。

“同樣的問題一直位居榜首，可能令人誤以為是安全進展緩慢所致。但廣泛來看，這反映了各組織對這些漏洞的重視，以及他們在構(gòu)建更安全、彈性云環(huán)境方面的努力。”云安全聯(lián)盟十大威脅工作組聯(lián)合主席Michael Roza表示。

2024年云安全十大威脅排名

根據(jù)最新報告，以下問題被列為2024年云安全的主要威脅：

1. 配置錯誤與變更控制不當
2. 身份與訪問管理（IAM）
3. 不安全的接口與API
4. 云安全策略選擇/實施不當
5. 不安全的第三方資源
6. 不安全的軟件開發(fā)
7. 云數(shù)據(jù)泄露
8. 系統(tǒng)漏洞
9. 云的可見性/可觀測性不足
10. 未認證的資源共享

值得注意的是，一些在2022年排名靠前的問題，如拒絕服務攻擊、共享技術(shù)漏洞和CSP數(shù)據(jù)丟失，在本次報告中排名較低，未進入前十。

云安全未來的四大關(guān)鍵趨勢

在新的云安全威脅背景下，報告還探討了云計算和云安全的四大關(guān)鍵趨勢：

• 攻擊復雜性增加：攻擊者將繼續(xù)發(fā)展更復雜的技術(shù)，包括利用人工智能（AI）來攻擊云環(huán)境中的漏洞，這將需要企業(yè)采取更積極的安全姿態(tài)，并加強持續(xù)監(jiān)控和威脅狩獵能力。
• 供應鏈風險增加：隨著云生態(tài)系統(tǒng)的復雜性增加，供應鏈漏洞的攻擊面也將擴大，企業(yè)需要將安全措施擴展到其供應商和合作伙伴。
• 監(jiān)管環(huán)境演變：預計監(jiān)管機構(gòu)將實施更嚴格的數(shù)據(jù)隱私和安全法規(guī)，要求企業(yè)調(diào)整其云安全實踐。
• 勒索軟件即服務（RaaS）崛起：RaaS將使技術(shù)欠缺的攻擊者更容易發(fā)起復雜的勒索軟件攻擊，這要求企業(yè)擁有強大的數(shù)據(jù)備份和恢復解決方案，并加強訪問控制。

云安全聯(lián)盟技術(shù)研究主管Sean Heide指出：“鑒于不斷變化的網(wǎng)絡(luò)安全環(huán)境，企業(yè)很難始終保持領(lǐng)先地位，降低財務和聲譽風險。通過關(guān)注這些行業(yè)內(nèi)最為關(guān)切的威脅、漏洞和風險，企業(yè)可以更好地集中資源應對挑戰(zhàn)。”