在2022年中，云計算應用領域暴露了很多安全問題，云服務中斷、敏感數據泄露、云基礎設施漏洞等安全問題層出不窮。然而，即便存在諸多安全問題，企業(yè)上云已經成為一種難以改變的趨勢，并且在快速增長中。

為了幫助企業(yè)組織更好了解上云后的安全威脅與挑戰(zhàn)，改善上云后的數據安全狀況。云安全服務商orca.security公司的安全研究人員，日前對2023年云安全發(fā)展趨勢進行了研究和預測，并總結了企業(yè)組織應該重點關注的5大云安全威脅。

1.云上暴力攻擊

調查數據顯示，與2021年相比，2022年針對企業(yè)組織的網絡暴力攻擊數量增加了31%。值得一提的是，其峰值與重大地緣政治和社會經濟事件存在很大關聯。因此，攻擊者試圖用暴力手段或其他可用的漏洞入侵企業(yè)云上資產只是時間問題，并且很快就會到來。

從2022年1月至11月，Orca平臺觀察到的暴力攻擊數量

研究人員預計，2023年的網絡暴力攻擊活動仍然會出現類似的情況，即攻擊活動與地緣政治、全球性社會經濟事件高度相關。這意味著在重大全球性事件發(fā)生期間，企業(yè)組織應該提高警惕，并重點關注云環(huán)境中的異常安全事件和行為。

2.API威脅

隨著云上微服務架構的流行，API的使用變得越來越普遍。根據數據顯示，當前整個Web應用系統(tǒng)中，有超過83%的流量都是通過API來訪問的。與此同時，超過44%的受訪企業(yè)表示，其正在創(chuàng)建和維護的API應用數量超過了100個。然而，企業(yè)對于如何保護API的安全意識仍然很低，甚至在很大程度上忽視了對API的安全防護。

據《2022年公共云安全狀況報告》數據顯示，高達70%的企業(yè)組織中，存在可公開訪問的API服務器，這使得API應用服務面臨著巨大的網絡攻擊安全隱患。 

包括Gartner在內的安全研究公司一直警告稱，API服務器攻擊預計將在未來幾年持續(xù)增長，而且在2022年也已顯露苗頭。有鑒于此，研究人員預計保護云上API應用安全將在2023年成為企業(yè)組織和安全運營團隊的重要任務。

3.錯誤的云配置和影子數據

在云中，數據被大量存儲在數據庫、存儲桶或Blob容器中，隨著云上存儲的數據不斷增長，數據攻擊面每年也都在快速增加。2022年里，我們目睹了很多嚴重的云上數據安全事件，其中很多都是由錯誤的云配置所引起的。

在《2022年公共云安全狀況報告》報告調研中，我們發(fā)現72%的企業(yè)組織至少存在一個具有公共“讀取”權限的存儲桶，36%的企業(yè)組織在這些云服務中存放了未加密的隱私數據和個人身份信息（PII）。

影子數據（Shadow data）是另一個日益嚴峻的挑戰(zhàn)，因為開發(fā)人員很容易在無意中將一些重要數據復制存儲到云上，卻沒有意識到其中包含敏感數據。數據顯示，大多數的企業(yè)IT和安全團隊目前缺少一套規(guī)范的云上數據處理流程。這對于保護企業(yè)云上數據資產而言，是一個巨大的安全隱患。

4.CI/CD和供應鏈攻擊

在云計算應用架構與應用開發(fā)形態(tài)下，安全防御變得越來越復雜。對于黑客而言，CI/CD（持續(xù)集成和持續(xù)交付）環(huán)境是極具吸引力的攻擊目標，從npm服務倉庫和python代碼，到管道執(zhí)行（PPE），所有這些都是攻擊者們可能發(fā)起攻擊的新途徑。在2022年，一些部署了這些攻擊戰(zhàn)術的惡意軟件已經展示了供應鏈攻擊實現的容易程度。

2023年，全球經濟發(fā)展存在大量不確定因素，網絡犯罪的發(fā)展趨勢也將繼續(xù)不斷上升。因此，我們可以預測，云上CI/CD和供應鏈攻擊的數量將會快速增加，企業(yè)應該提前做好準備。

5.安全漏洞

據美國國家漏洞庫（NVD）數據所示，自2017年以來，已知的CVE數量正在不斷增加。在即將到來的2023年，我們將繼續(xù)看到越來越多的安全漏洞，這意味著組織將面臨更多的修補工作。因此，優(yōu)先級排序和了解應該首先修補哪個漏洞將變得更加重要。

除了應用程序方面的漏洞外，我們還將繼續(xù)在云提供商基礎設施中發(fā)現漏洞。事實上，Orca 研究人員僅在今年就在公共云平臺上發(fā)現了7個重大漏洞，并與云服務商合作，協(xié)助他們修復了這些漏洞。

結語

對企業(yè)組織而言，目前沒有保護云計算應用安全的“水晶球”，可以精準地預測其在2023年的安全狀況。對于組織來說，最佳安全策略就是盡可能地做好準備：提前知道有價值的云資產在哪里？有哪些云應用缺陷可能危及業(yè)務開展？在此基礎上，安全人員需要盡快解決這些問題。

需要注意的是，無論企業(yè)進行了哪些安全防護準備，都不能實現百分百可靠的安全，攻擊者仍然有可能滲透到云環(huán)境中。因此，企業(yè)需要通過減少橫向移動的機會，確保云上數據資產得到強有力的保護，將潛在的攻擊傷害維持在最低水平。

參考鏈接：https://orca.security/resources/blog/top-5-cloud-security-threats-