Unit 42 云威胁报告，第 7 卷 应对不断扩大的攻击面

核心观点

• 云计算市场持续增长，云原生应用和架构的成熟扩大了攻击面，导致网络犯罪分子利用漏洞和错误配置进行攻击。
• 企业在云安全方面存在普遍问题，包括硬编码凭据、身份验证薄弱、禁用日志记录、无自动备份、未加密的静态数据、警报处理效率低下、敏感数据暴露、服务公开暴露和未修补的漏洞。
• 开源软件的普及增加了软件供应链的风险，恶意软件包、依赖混淆、帐户接管和自我破坏的开源软件等技术被用于攻击。
• 攻击者利用云原生服务和开源软件漏洞来发起攻击，并开发专门针对云工作负载的战术和技术 (TTP)。

关键数据

• 83% 的企业在其源代码控制管理系统中都有硬编码凭据，85% 的企业在虚拟机用户数据中包含硬编码凭据。
• 76% 的企业对控制台用户不强制使用多因素身份验证 (MFA)，58% 的企业对根用户或管理员用户不强制使用 MFA。
• 75% 的企业不强制执行 Amazon Web Services (AWS) CloudTrail 的跟踪日志，74% 的企业不强制执行 Microsoft Azure Key Vault 审计日志记录，81% 的企业不强制执行 Google Cloud Platform (GCP) 存储桶日志记录。
• 49% 的企业不强制使用 AWS DynamoDB 时间点备份，75% 的企业不强制使用 Azure Cloud SQL 备份。
• 55% 的企业不强制使用 AWS EBS 卷加密，44% 的企业不强制使用 Azure SQL 加密，56% 的企业不强制使用 GCP Kubernetes 集群的应用层密钥加密。
• 66% 的云存储段包含敏感信息，63% 的公开暴露存储段包含敏感信息。
• 41% 的企业将数据库服务暴露在公共互联网上，73% 的企业将远程桌面协议 (RDP) 暴露给公共互联网，75% 的企业将 SSH 服务暴露在公共互联网上。
• 生产环境中的 63% 的代码库存在评级为高风险或严重风险 (CVSS >= 7.0) 的未修补漏洞，公有云中暴露的主机有 11% 存在高风险或严重风险漏洞。
• 51% 的代码库依赖于 100 多个开源软件包，每个存储库平均包含 113 个依赖开源软件包。
• 77% 的软件包是非根软件包，77% 的漏洞由非根软件包引入。

研究结论

• 企业需要保持警惕、积极主动、大胆创新来领先于攻击者，并优先了解最新的威胁载体并实施强大的安全解决方案。
• 企业应采用数据丢失防护 (DLP) 解决方案来持续识别和监控包含敏感信息的数据，并制定政策来规范敏感信息的保留、访问和保护。
• 企业应使用 AWS 防火墙管理器、Azure 防火墙管理器策略和 GCP 企业策略等服务实施防护措施，以防止计算实例暴露于公共互联网。
• 企业应在 CI/CD 管道的每个阶段进行漏洞扫描（例如软件构成分析）并应实施安全策略以阻止部署具有严重漏洞的代码或工件。
• 企业应采用云原生应用保护平台 (CNAPP) 在整个应用程序开发生命周期中提供全方位的功能，以防范当今安全威胁不断变化的范围和严重性。