云计算的11类顶级威胁

云计算的11类顶级威胁 @2022云安全联盟大中华区-保留所有权利。本文档发布在云安全联盟大中华区官网(http://www.c-csa.cn)，您可在满足如下要求的情况下在您本人计算机上下载、存储、展示、查看、打印此文档：（a）本文只可作个人信息获取，不可用作商业用途；(b)本文内容不得篡改;(c)不得对本文进行转发散布;(d)不得删除文中商标、版权声明或其他声明；（e）引用本报告内容时，请注明来源于云安全联盟。 关于赞助商： 新华三集团在安全领域拥有近二十年的经验积累，率先提出"主动安全"理念与技术框架，引领业界从被动防御向主动安全的理念转变。新华三拥有1200多项安全领域专利技术，近40大类超500款专业安全产品，覆盖边界安全、云安全、工控安全、数据安全、5G安全和等级保护等细分领域，具备业界最全面的安全产品和解决方案付能力，可为用户提供可信、可控的全系列网络安全产品及完整的“云-网-边-端”一体化安全解决方案。 新华三是CSA大中华区的理事单位，支持该报告内容的翻译，但不影响CSA研究内容的开发权和编辑权。 序言 随着数字经济时代的来临，云计算、大数据、5G和人工智能技术蓬勃发展，我们迎来新一轮的科技革命和产业变革。数字技术已经成为企业转型和发展的关键要素，而云是企业数字化转型的基础支柱，也是企业的首要技术重点。我国在十四五规划中，将云计算作为数字经济重点产品之首，加快数字化发展，建设数字中国，实施“上云用数赋智”行动，推动数据赋能全产业链协同转型。在数字化转型不断加深的大背景下，越来越多的企业正在将数据和应用程序迁移到云中。云上安全问题也更加广泛和突出。IDC调研显示，云计算所面临的挑战中，安全问题排在首位。2022年RSA大会上，云安全已经成了创新沙盒最热门赛道。 历年的《云计算顶级威胁》给出了企业在使用云计算服务时面临的11类顶级威胁，并对每类威胁问题进行了分析。11类顶级威胁突出反映了当前云计算使用过程中最重要的几类云安全问题：身份和访问管理、API安全、错误配置和变更控制、以及缺乏云安全架构和策略。基于2022年威胁的排名可以发现，身份管控、API安全在云安全中的重要性明显上升，同时，云配置和变更控制依然占据很重要的位置，第三方资源（源代码、SaaS产品和API风险）的安全则是供应链安全主要关注的风险。云原生技术架构使得云计算具有了弹性、敏捷、资源池和服务化等特征，容器化和无服务器负载显著提高了云计算应用的敏捷性，但同时也带来了新的安全要求和挑战。无服务器和容器化工作负载的错误配置和利用，可能导致系统中断、数据泄露、数据丢失、以及攻击发生。 未来，云计算市场依然持续高速增长，根据IDC数据，预计2020-2025年中国云计算复合增长率达到26.3%，安全性会是企业上云、用云首要、长期关注的内容。云计算架构的不断发展使得多云、边缘云、分布式云成为了新的发展趋势，同时，云原生技术及开发流程进一步普及，容器、无服务器架构、云原生应用程序开发流程、API等会成为越来越广泛的应用。攻击日新月异，我们也无惧挑战，云安全在向着多云安全、零信任、数据安全、云原生安全等技术发展趋势不断深入，风险面对，责任共担，大家共同携手促进云安全技术及产业生态的完善建设，护航行业数字化上云之路，开拓数字化新时代。 李雨航YaleLiCSA大中华区主席兼研究院院长 目录 序言4 概要6 调查7 威胁1:身份、凭据，访问和密钥管理、特权账号管理的不足9 威胁2:不安全的接口和API14 威胁3:配置不当和变更控制的不足17 威胁4:缺乏云安全架构和战略21 威胁5:不安全的软件开发24 威胁6:不安全的第三方资源27 威胁7:系统漏洞31 威胁8:云计算数据的意外泄露35 威胁9:无服务器和容器化工作负载的配置不当和利用38 威胁10:有组织的犯罪、黑客和APT攻击42 威胁11:云存储数据泄露45 结论49 概要 顶级威胁报告一贯旨在提高对云威胁、漏洞和风险的认识。我们在撰写本报告前，调查了700多位业界专家并探讨了云行业的安全问题。今年，受访者评估了云环境中的11个重要安全威胁。顶级威胁工作组结合调查结果和专业知识编写了2022年度《云计算的11类顶级威胁》报告。 最新报告按调查结果重要程度着重介绍了前11类威胁（括号中的是2019年调查的排名）： 1.身份、凭据，访问和密钥管理、特权账号管理的不足(4) 2.不安全的接口和API(7) 3.配置不当和变更控制的不足(2) 4.缺乏云安全架构和战略(3) 5.不安全的软件开发 6.不安全的第三方资源 7.系统漏洞(8) 8.云计算数据的意外泄露 9.无服务器和容器化工作负载的配置不当和利用 10.有组织的犯罪、黑客和APT攻击(11) 11.云存储数据泄漏 观察和依据 2019新冠病毒大流行和随后的封锁重新定义了工作场所，居家办公不再是一种员工乐于接受的弹性工作方式，而是企业持续经营的必要条件。云工作负载、供应链以及边缘计算、物联网（IoT）、运营技术（OT）和区块链等新技术的流行和复杂性改变了云安全格局。软件定义边界（SDP）和零信任架构（ZTA）等新概念改变了我们对资源访问的看法。 我们在分析了调查的所有反馈之后，注意到在云服务提供商（CSP）的努力下，传统云安全问题的排名持续下降。2019年度《云计算的11类顶级威胁》（EE）中描述的拒绝服务、共享技术漏洞、CSP数据丢失和系统漏洞之类问题的排名现在非常低，已不在 本报告之列。这表明，人们明显加大了对云的信任；基础设施即服务（IaaS）环境中的老式云安全问题似乎不那么令人担忧。此外，我们发现数据泄露不再是首要的云安全问题。 调查中评分较高的调查项目指出云用户是薄弱环节。受访者不再关注元结构（EE中排名为9）、控制平面薄弱（EE中排名为8）或云使用可见性（EE中排名为10）是否会成为云部署中的问题。从2016年的顶级威胁（TreacherousTwelve）到2019年的顶级威胁（EE），再到今年的调查评估获得的顶级威胁，关注点不断变化。今年的顶级威胁突显了用户直接控制相关的安全问题：身份和访问管理、加密、配置管理、不良的编码习惯以及对战略云方向的忽视。敏捷项目管理和DevOps项目的上升使终端软件团队直面这些复杂的组合性问题。 表现优异的云企业将是那些强调变革管理、增加员工交叉培训、嵌入团队安全拥护者以及在文化上做到安全与合规的公司。新冠封锁的要求结束之后，云继续蓬勃发展，并成为每天的期望。本报告通过调查分析这十一种威胁、风险和漏洞，为云方向未来的成功助力。 目标读者 云和安全从业者和爱好者可以从本报告受益，了解云安全威胁和挑战的最新情况、对行业的影响，以及个人或行业可以采取的改进措施。最后，这项基于调查的研究也为合规、风险、技术人员和管理层提供了当前的技术趋势和高优先级云安全问题。 调查 在撰写2022年度《云计算的11类顶级威胁》报告时，CSA顶级威胁工作组的研究包含两个阶段。这两个阶段都调查收集了网络安全专业人员对云计算最相关的威胁、漏洞和风险安全问题的想法和意见，最终确定了2022年度的顶级威胁。 在第一个研究阶段，该小组的目标是通过对工作组成员的调查，创建一个云安全问题候选清单。工作组从一个包含26个安全问题的清单入手（2019年EE报告中的11个问题，以及通过讨论增加的15个新问题）。工作组通过一系列的会议对26个问题进行了讨论， 并要求成员们说明每个问题对其组织的重要性以及他们对自己熟悉的组织的了解。 在这个研究阶段，工作组成员们也可以提出这26个问题之外的其他问题。综合以前调研结果和其他相关信息，工作组标定了19个最突出的云安全问题。 在第二个研究阶段，工作的主要目标是通过对非工作组安全专业人员进行在线调查，按照重要性对上阶段列出的19个问题排名。调查对每个问题的重要性评估，满分为10 分。调研对象按照“1至10分”对云安全问题评级打分，1分代表非常不重要，10分代表非常重要。对每个问题的得分计算平均值并行排序。排除所有低于7分的安全问题，最终得出了如下11类顶级威胁： 调查结果调查平均威胁名称排名得分 1 7.729927 身份、凭据，访问和密钥管理、特权账号管理的不足 2 7.592701 不安全的接口和API 3 7.424818 配置不当和变更控制的不足 4 7.408759 缺乏云安全架构和战略 5 7.275912 不安全的软件开发 6 7.214493 不安全的第三方资源 7 7.143066 系统漏洞 8 7.114659 云计算数据的意外泄露 9 7.097810 无服务器和容器化工作负载的配置不当和利用 10 7.088534 有组织的犯罪、黑客和APT攻击 11 7.085631 云存储数据泄露 工作组在确定了11类顶级威胁后，分析了每类威胁问题，描述具体威胁问题，指出了CSP或云客户是否共同承担安全责任，并定义了问题在云堆栈以及云服务模型（SaaS、PaaS、IaaS或SPI）中可能出现的位置。业务影响、关键信息、案例展示了每类威胁可能出现的情况和场合。可以通过CSA云计算关键领域安全指南（CBK）v4.0、CSA云控制矩阵（CCM）v4.0了解相关概念的推论和缓解措施，依据STRIDE威胁模型和引用链接了解案例详情。 威胁1: 不充分的身份、凭据，访问和密钥管理、特权账号管理 软件即服务(SaaS) 平台即服务(PaaS) 基础设施即服务(IaaS) 云服务模型 基础设施 信息 元数据 应用程序 架构 客户 云服务供应商共同 安全责任 身份、凭据和访问管理系统包括允许组织管理、监视和安全访问有价值资源的工具和策略。有价值资源的举例有电子文件、计算机系统和物理资源（如服务器机房和建筑物）。 适当维护和持续警惕很重要。在身份与访问管理（IAM）中使用风险评分可以增强安全态势。使用清晰的风险分配模型、仔细监控和采取适当的行为隔离可以帮助交叉检查IAM系统。跟踪目标访问和风险评分频率对于理解风险背景也至关重要。 特权账户必须以准确、即时的方式冻结，避免人员在离职或角色更换后进入。这将减少数据泄漏或受损的可能性。除了取消某些特权账户外，账号角色和职责必须符合对信息“按需所知”的程度。享有特权的人员越多，越会增加数据管理不善或账户乱用的可能性。 业务影响 身份、凭据，访问和密钥管理、特权账号管理不足的负面影响可能包括： 由于被动和过多的限制封锁，导致业务绩效和生产力下降 员工测试疲劳导致不合规和对安全意识淡薄（漠不关心） 未经授权或恶意用户替换、未经授权或恶意用户的泄露 失去市场的信任和收入 因事件响应和取证而产生的财务费用 勒索软件和供应链中断 关键信息 正确的IAM、凭据和密钥管理措施可能包括： 1.加强企业架构核心的防御，让对终端用户身份的攻击成为一种很容易实现的目标。 2.稳健的零信任层需要采取针对零散用户的简单身份验证和基于应用程序的隔离之外的其他措施。 3.运营政策和结构性风险模型对于CIEM等高级工具也至关重要。[1] 4.必须根据业务需求对用户对象进行动态风险评分。应该努力获得用户的信任，而不是简单地为其提供密钥和代码。 案例 最近的一些案例包括： (2021年)，出现了涉及Twitch、CosmologyKozmetik、PeopleGIS、PremierDiagnostics、SeniorAdvisor、Reindeer和Twillo的漏洞，其中大多数攻击是属于内部威胁之一的特权滥用。不监控风险和韧性的公司面临着动态威胁。[2] (2021年10月)深入了解世嘉（SEGA）欧洲的云服务器事件，就会发现有两个重要的云配置管理错误——AWSS3存储桶设为公共访问权限、硬编码凭证存储在云中。如果提交了文件到沙盒，AWS和CDN网络中的内容替换就可以避免，从而允许系统有更多时间验证更改并对访问环境进行风险评估。[3] (2019年1月到7月)Capital