《2024年云計算頂級威脅》

?2024?2024云全盟中區(qū)版所1目錄摘要 8調(diào)查 10威脅1：配置錯誤與變更控制不足 13威脅2：身份與訪問管理 19威脅3：不安全的接口與APIs 25威脅4：云安全策略缺失 31威脅5：不安全的第三方資源 36威脅6：不安全的軟件開發(fā) 41威脅7：意外的數(shù)據(jù)泄露 46威脅8：系統(tǒng)漏洞 51威脅9：云可見性/可測性不足 55威脅10：未驗證的源共享 61威脅11：高級持續(xù)威脅（APT） 65結(jié)論和未來展望 69?2024云全盟中區(qū)版所7摘要500訪者識別出今年他們的云環(huán)境中存在的11個重要安全問題。頂級威脅工作組利用調(diào)查結(jié)果及其專業(yè)知識編制了《2024年云計算頂級威脅》報告。最新報告重點介紹了2024年的頂級威脅。報告中還顯示了2024年和2022年威脅的排名對比。觀察調(diào)查分析顯示，由云服務(wù)提供商(CSP)負(fù)責(zé)的傳統(tǒng)云安全問題在排名中的持續(xù)下降。此前報告中提到的拒絕服務(wù)攻擊、共享技術(shù)的漏洞以及CSP數(shù)據(jù)丟失等問題，如今因評級較低而未被納入本報告。這些問題的消失顯示出對云計算的信任感增加；基礎(chǔ)設(shè)施即服務(wù)(IaaS)環(huán)境中的老舊云安全問題不再那么令人擔(dān)憂。此外，我們觀察到數(shù)據(jù)泄露不再占據(jù)頂級云安全問題的主導(dǎo)地位。隨著云商業(yè)模式和安全策略的演變，本報告提高了對以下關(guān)鍵安全問題的關(guān)注：配置錯誤與變更控制不足(IAM)(IAM)APIs缺乏云安全架構(gòu)與策略20242022年報網(wǎng)絡(luò)訪問和無限容量特性，配置錯誤可能對整個組織產(chǎn)生廣泛影響。身份和訪問管理(SDP)映出這些問題在調(diào)查受訪者中的優(yōu)先級。APIs的重要性。盡管它們在云服務(wù)（SaaSPaaS產(chǎn)品）API大挑戰(zhàn)。缺乏云安全策略：仍位于第四位，這一領(lǐng)域持續(xù)關(guān)注的問題是：為什么在規(guī)劃和構(gòu)建安全解決方案時仍存在重大挑戰(zhàn)？云計算已經(jīng)是穩(wěn)定發(fā)展的技術(shù)，它需要明確的可執(zhí)行的架構(gòu)策略。目標(biāo)讀者云計算和安全從業(yè)者以及愛好者將從本報告中受益。以獲取在云安全方面的威脅和挑戰(zhàn)的最新見解，了解這些威脅如何影響行業(yè)，以及可以采取哪些措施來減輕其后果。同時，本文基于調(diào)查的研究將為合規(guī)、風(fēng)險、技術(shù)、信息安全人員和高管管理層提供與當(dāng)前時代相關(guān)的技術(shù)趨勢和優(yōu)先考慮的云安全事項。調(diào)查2024頂級威脅工作組分兩個階段進(jìn)2024步清單。工作組從之前的報告《11）11個頂級威脅（問題）1928個問題。5002810分為滿分的評分系統(tǒng)，110011在確定了11個頂級威脅后，工作組對每個問題進(jìn)行了分析。每個分析包括對問題的描述、業(yè)務(wù)影響、關(guān)鍵措施、案例和實際事例，并引用了CSA《云計算關(guān)鍵領(lǐng)域安全指南v5》CSA（CCM）CAIQv4CSAv1》中提出的頂級威脅方法論。?2024云全盟中區(qū)版所12威脅1威脅1：配置錯誤與變更控制不足部/內(nèi)部惡意活動的攻擊。缺乏云系統(tǒng)知識或?qū)υ瓢踩O(shè)置的理解以及惡意意圖可能導(dǎo)致配置錯誤。一些常見的配置錯誤[1]包括：1.密鑰管理不當(dāng)，2.互聯(lián)網(wǎng)控制消息協(xié)議權(quán)限，6.，7.HTTPS/HTTP，8.（最小權(quán)限原則9.（最小權(quán)限原則10.（AWSS3云安全問題的主要原因，可能會導(dǎo)致嚴(yán)重的損害，如下所示的業(yè)務(wù)影響部分所示。[2]?2024云全盟?2024云全盟中區(qū)版所13商業(yè)影響配置錯誤/不充分的變更控制對云系統(tǒng)的影響可能非常嚴(yán)重，這取決于配置錯誤/不當(dāng)變更的性質(zhì)以及檢測和緩解的速度。以下是云配置錯誤和不充分變更控制可能導(dǎo)致的影響：技術(shù)影響：數(shù)據(jù)泄露：未經(jīng)授權(quán)的云訪問敏感數(shù)據(jù)會破壞機(jī)密性。數(shù)據(jù)丟失：從云系統(tǒng)中永久或臨時刪除關(guān)鍵數(shù)據(jù)會影響可用性。數(shù)據(jù)破壞：對云系統(tǒng)中的數(shù)據(jù)進(jìn)行物理或邏輯錯誤會危及完整性。運營影響：系統(tǒng)性能：云資源性能下降影響用戶體驗和生產(chǎn)力。系統(tǒng)中斷：云服務(wù)的完全或部分關(guān)閉會擾亂業(yè)務(wù)運營。財務(wù)影響：贖金要求：可能需要支付費用以恢復(fù)被破壞的云數(shù)據(jù)或系統(tǒng)訪問。不合規(guī)和罰款：未能遵守監(jiān)管要求可能導(dǎo)致罰款和處罰。收入損失：由于云服務(wù)中斷、客戶不滿或法律行動，可能會發(fā)生財務(wù)損失。股價下跌：泄露和公開披露可能會損害市場感知和公司的估值。聲譽影響：公司聲譽：泄露和公開披露可能會損害組織的公眾形象和品牌價值。關(guān)鍵措施-系統(tǒng)安全配置錯誤，減少對手動檢查/審計/云系統(tǒng)、變更管理方法-[4]確保使用實時自動化驗證正確進(jìn)行批準(zhǔn)的變更。案例近期由于配置錯誤和不充分的變更控制導(dǎo)致的事件包括：（20235月215萬用戶。受影響的用戶幾乎包括了所有注冊豐T-ConnectG-Link20131120234月中旬公開可訪問了十年。此次泄露的原因歸咎于人為錯誤。盡管泄露的數(shù)據(jù)包括車輛位置和識別號碼等詳細(xì)信息，但尚未報告有惡意使用的情況。針對此事件，豐田已采取措施阻止外部訪問數(shù)據(jù)。該公司已啟動對豐田連接公司管理的所有云環(huán)境的調(diào)查。此外，公司承諾實施審計云設(shè)置的系統(tǒng)，建立持續(xù)監(jiān)控程序，并為員工提供關(guān)于數(shù)據(jù)處理規(guī)則的全面培訓(xùn)。[5]（20239月ElasticsearchKibana界面暴露在外，未受保護(hù)，導(dǎo)致報告和未報告的數(shù)據(jù)泄露記錄被泄露。泄露（下載）的數(shù)據(jù)包括用戶的38億條記錄。DarkBeam一直在收集這些信息，以便在客戶發(fā)生數(shù)據(jù)泄露時提醒他們DarkBeam用戶。91816個名為"email0-9"和"emailA-F"239635000條記威脅行為者可能會使用他們的個人信息針對受影響用戶發(fā)起釣魚活動。用戶必須在在線賬戶中更改密碼，使用強大的密碼生成器并啟用雙因素認(rèn)證來保護(hù)他們的賬戶。[6]CSA云計算關(guān)鍵領(lǐng)域安全指南5.0領(lǐng)域2：云治理領(lǐng)域3：風(fēng)險、審計和合規(guī)領(lǐng)域5：身份與訪問管理領(lǐng)域7：基礎(chǔ)設(shè)施與網(wǎng)絡(luò)領(lǐng)域9：數(shù)據(jù)安全領(lǐng)域10：應(yīng)用安全領(lǐng)域11：事件響應(yīng)與彈性CSA云控制矩陣v4.0A&A審計與保障A&AAIS應(yīng)用程序和接口安全BCR業(yè)務(wù)連續(xù)性管理與配置管理BCR

人力資源HRSIAM身份與訪問管理HRSIAMIVS基礎(chǔ)設(shè)施與虛擬化安全I(xiàn)VS GRC變更控制與配置管理GRCCEK密碼學(xué)、加密和密鑰管理CEK

LOG

日志記錄與監(jiān)控SEF安全事件管理、電子發(fā)現(xiàn)與云取證SEF DSPTVM數(shù)據(jù)安全與隱私生命周期管理DSPTVM GCR治理、風(fēng)險管理和合規(guī)GCR

威脅、脆弱性管理參考鏈接CommonCloudMisconfigurationsandHowtoAvoidThem13MostCommonMisconfigurationsontheCloud云端最常見的種配置錯誤https://www.clouddefense.ai/common-misconfigurations-on-the-cloud/SafeguardingAgainstSecurityMisconfigurationswiththePowerofMachineLearning/2023/11/safeguarding-against-security-misconfigurations-with-the-power-of-machine-learning/Changeexecutionmonitoring變更執(zhí)行監(jiān)控https://www.versio.io/solution-change-request-management.htmlMorethan2millionToyotausersfacetheriskofvehicledataleakinJapan200萬豐田用戶面臨日本車輛數(shù)據(jù)泄露風(fēng)險flags-possible-leak-more-than-2-mln-users-vehicle-data-japan-2023-05-12/?ref=thestack.technologyDarkBeamleaksbillionsofemailandpasswordcombinationsDarkBeam泄露了數(shù)十億的電子郵件和密碼組合/151566/security/darkbeam-data-leak22（IAMIAM（SSO（MFA和活動監(jiān)控等關(guān)鍵組件對IAM這些特性的復(fù)雜性和動態(tài)性可能會引入漏洞，特別是如果沒有正確實施、配置、更新和監(jiān)控的話。隨著網(wǎng)絡(luò)威脅變得更加復(fù)雜，保護(hù)敏感信息免受未經(jīng)授權(quán)的訪問變IAM?2024云全盟中區(qū)版所19在云環(huán)境中管理身份和訪問可能會變得復(fù)雜且風(fēng)險重重。不同的云提供商擁有獨特IAM框架和細(xì)致的細(xì)粒度權(quán)限。如果沒有對多個系統(tǒng)的深入理解和管理策略，配置錯誤IAM自動擴(kuò)展，增加了管理的復(fù)雜性。將云和本地系統(tǒng)集成可能是一個挑戰(zhàn)，尤其是在混合環(huán)境中和需要單點登錄的情況下。遵守各種法規(guī)是另一個障礙。緩解這些風(fēng)險1.?2024云全盟中區(qū)版所19商業(yè)影響不充分的IAM可能導(dǎo)致未經(jīng)授權(quán)的訪問、數(shù)據(jù)泄露和監(jiān)管不合規(guī)，造成重大的財務(wù)和聲譽損害。有效的IAM策略對于保護(hù)敏感信息和維護(hù)強大的網(wǎng)絡(luò)安全防御至關(guān)重要。技術(shù)影響：系統(tǒng)訪問：弱認(rèn)證可能導(dǎo)致后端系統(tǒng)中的機(jī)密數(shù)據(jù)被利用。數(shù)據(jù)披露：由于通信弱點、系統(tǒng)訪問或憑證重用，外部方可能訪問業(yè)務(wù)數(shù)據(jù)。數(shù)據(jù)丟失：MOVEit活動展示了被轉(zhuǎn)移的數(shù)據(jù)如何在談判贖金時提供籌碼。運營影響：系統(tǒng)中斷：云服務(wù)的完全或部分關(guān)閉可能會干擾業(yè)務(wù)運營。功能延遲：由于需要修復(fù)軟件漏洞，功能更新可能會延遲。財務(wù)影響：失。GDPR和特定行業(yè)法規(guī)如PCIDSS。監(jiān)管違規(guī)可能導(dǎo)致重大罰款和法律行動。聲譽影響：公司聲譽：損害云服務(wù)組織的公眾形象、業(yè)務(wù)和品牌價值。客戶聲譽：依賴安全性較弱的API斷，對他們的聲譽產(chǎn)生負(fù)面影響。關(guān)鍵措施IAMIAM解決方案。有助于減輕潛在的違規(guī)行為。更新和刪除不必要的訪問權(quán)限。訪問評估和監(jiān)控：實施自動化工具來管理賬戶和權(quán)限的生命周期。時更新和刪除不必要的訪問權(quán)限。案例（20235月MOVEit文件傳輸工具相關(guān)的安全漏洞影響了包括政府機(jī)構(gòu)和醫(yī)療保健提供商在內(nèi)的多個組織。例如，俄勒350萬人，攻擊者由于賬戶權(quán)限過高和職責(zé)分離不當(dāng)而獲得了敏感個人信息的訪問權(quán)限。需要強有力的日志記錄、審計和基于流量的異常檢測來捕捉賬戶被入侵后產(chǎn)生的流量。這些事件突顯了數(shù)據(jù)勒索攻擊的新興趨勢，網(wǎng)絡(luò)犯罪分子迫使受害者支付贖金以防止被盜數(shù)據(jù)的公開，而不是解密數(shù)據(jù)。[1]（20236月）JumpCloud數(shù)據(jù)泄露：JumpCloud，一家身份和訪問公司，由于一個復(fù)雜的國家級行為者遭受了一次數(shù)據(jù)泄露。這次攻擊通過向JumpCloud的命令框架注入數(shù)據(jù)，針對特定客戶賬戶。這次泄露最初被追溯到一個釣魚郵件活動和未失效的憑證，強調(diào)了復(fù)雜網(wǎng)絡(luò)攻擊帶來的風(fēng)險以及[2]（202310月）Okta數(shù)據(jù)泄露：Okta，一家提供身份服務(wù)和認(rèn)證管理的供應(yīng)商，經(jīng)歷了一次數(shù)據(jù)泄露，其中一名未經(jīng)授權(quán)的行為者使用被盜的憑證訪問了其支持案例管理系統(tǒng)。此事件泄露了客戶支持案例信息，突顯了在可訪問系統(tǒng)中存儲服務(wù)賬戶和敏感信息的風(fēng)險。持續(xù)監(jiān)控和系統(tǒng)性審查流程至關(guān)重要。[3]CSA云計算關(guān)鍵領(lǐng)域安全指南5.0領(lǐng)域2：云治理領(lǐng)域3：風(fēng)險、審計和合規(guī)領(lǐng)域5：身份與訪問管理領(lǐng)域6：安全監(jiān)控領(lǐng)域9：數(shù)據(jù)安全領(lǐng)域10：應(yīng)用安全領(lǐng)域12：相關(guān)技術(shù)和策略CSA云控制矩陣v4.0AIS應(yīng)用程序和接口安全AISAIS-01:應(yīng)用和接口安全策略和規(guī)程AIS-02:應(yīng)用程序安全基線需求AIS-03:應(yīng)用程序安全指標(biāo)

身份和訪問管理IAMIAM-01:身份與訪問控制的政策與規(guī)程IAM-03:身份清單IAMIAM-05:最小權(quán)限IAM-08:用戶訪問評審CCC變更控制和配置管理CCCCCC-07:基線偏離檢測CCC-08:例外管理DSP數(shù)據(jù)安全與隱私生命周期管理DSPDSP-03:DSP-04:DSP-07:DSP-17:DSP-19:數(shù)據(jù)位置

日志記錄和監(jiān)控LOGLOG-10:加密監(jiān)控與報告LOGIVS基礎(chǔ)設(shè)施與虛擬化安全I(xiàn)VSIVS-03:網(wǎng)絡(luò)安全I(xiàn)VS-06:分區(qū)與隔離TVM威脅和漏洞管理TVMTVM-08:脆弱性優(yōu)先級GRC治理、風(fēng)險管理和合規(guī)GRCGRC-02:風(fēng)險管理計劃GRC-05:信息安全計劃GRC-06:治理責(zé)任模型參考鏈接MOVEitcyberattacks:keepingtabsonthebiggestdatatheftof2023MOVEit網(wǎng)絡(luò)攻擊：追蹤2023年最大的數(shù)據(jù)盜竊事件https:///23892245/moveit-cyberattacks-clop-ransomware-governmentbusinessJumpCloud:June20IncidentDetailsandRemediationJumpCloud：6月20日事件詳情及補救措施/blog/security-update-june-20-incident-details-and-remediationOktahitbythird-partydatabreachexposingemployeeinformationOkta遭遇第三方數(shù)據(jù)泄露，導(dǎo)致員工信息曝光https:///news/security/okta-hit-by-third-party-data-breachexposing-employee-information/The10BiggestDataBreachesof2023sofar)2023年十大數(shù)據(jù)泄露事件（截至目前）https://www./news/security/the-10-biggest-data-breaches-of-2023-so-farDOJ-CollectedInformationExposedinDataBreachAffecting340,000司法部收集的信息在數(shù)據(jù)泄露事件中曝光，影響34萬人https:///doj-collected-information-exposed-in-data-breachaffecting-340000/33云服務(wù)提供商（CSPs）、企業(yè)供應(yīng)商和內(nèi)部開發(fā)人員提供機(jī)器對機(jī)器應(yīng)用程/（IaaS）/軟件即服務(wù)（SaaS）產(chǎn)品平等期望，將影響公司持續(xù)向云端的過渡。?2024云全盟中區(qū)版所25API和UI不當(dāng)?shù)臅捁芾恚?.輸入驗證不足，5.糟糕的日志記錄和監(jiān)?2024云全盟中區(qū)版所25商業(yè)影響APIAPIAPIAPI私密數(shù)據(jù)的意外暴露。在考慮不安全接口可能造成的影響時，請考慮以下幾點:技術(shù)影響：系統(tǒng)訪問：認(rèn)證不充分可能導(dǎo)致后端系統(tǒng)的被利用。運營影響：系統(tǒng)中斷：云服務(wù)的完全或部分關(guān)閉可能會干擾業(yè)務(wù)運營。功能延遲：由于需要修復(fù)軟件漏洞，功能更新可能會延遲。財務(wù)影響：失。不合規(guī)和罰款：未能遵守漏洞管理的監(jiān)管要求可能導(dǎo)致受到處罰聲譽影響：公司聲譽：云服務(wù)組織的公眾形象和品牌價值可能受到損害?？蛻袈曌u：依賴于安全措施不足的API務(wù)中斷，對他們的聲譽產(chǎn)生負(fù)面影響。關(guān)鍵措施API提供的攻擊面。應(yīng)實施速率限制和節(jié)流，以防止拒絕服務(wù)（DoS）攻擊和憑證填充。API檢查具有自動基于時間輪換的短時效憑證，而不是持有者令牌或用戶名/密碼。SaaS相同。API以增強檢測。這些工具可以在接近實時的情況下糾正性地解決問題。案例與不安全接口和APIs相關(guān)的近期問題實例包括：（20241月HuntSpoutibleAPI漏SpoutibleAPIURL訪問用戶賬戶信息，包括電子bcrypt207,000[3]（20241月API1500API安全不足，并導(dǎo)致用戶數(shù)據(jù)的暴露，這些數(shù)據(jù)后來在暗網(wǎng)上出售。[4]20241月2024-APIGiubGitHub沒有時間戳，在一年前被發(fā)現(xiàn)在公共倉庫中。[5]（20242月）ISP200,000條記錄。這次話號碼和電子郵件地址。[6]CSA云計算關(guān)鍵領(lǐng)域安全指南5.0領(lǐng)域3：風(fēng)險、審計與合規(guī)領(lǐng)域領(lǐng)域4：組織管理領(lǐng)域領(lǐng)域5：身份與訪問管理領(lǐng)域6789領(lǐng)域10：應(yīng)用安全領(lǐng)域領(lǐng)域11：事件響應(yīng)與恢復(fù)力領(lǐng)域CSA云控制矩陣v4.0AIS應(yīng)用與接口安全AISAIS-01：應(yīng)用和接口安全策略和規(guī)程AIS-04：應(yīng)用程序安全設(shè)計和開發(fā)AIS-06：自動應(yīng)程序安全測試

數(shù)據(jù)安全與隱私生命周期管理IAMDSP-01：安全、隱私策略和程序DSP-03：數(shù)據(jù)清單IAMDSP-04：數(shù)據(jù)分級DSP-05：數(shù)據(jù)流文檔CEK密碼學(xué)、加密和密鑰管理CEKCEK-03：數(shù)據(jù)加密CEK-04：加密算法

基礎(chǔ)設(shè)施與虛擬化安全I(xiàn)VSIVS-03：網(wǎng)絡(luò)安全I(xiàn)VSIVS-04：操作系統(tǒng)加固與基線控制IVS-09：網(wǎng)絡(luò)防御CCC變更控制與配置管理CCCCCC-01：變更管理策略和規(guī)程CCC-02：質(zhì)量測試CCC-05：變更協(xié)議參考鏈接2024StateoftheInternetReportonAPISecurity:ShiningaLightonAPIThreats2024年互聯(lián)網(wǎng)報告API安全：揭示API威脅https:///lp/soti/lurking-in-the-shadowsOWASPAPISecurityProjectOWASPAPI安全項/www-project-api-security/TwitterrivalSpoutibleallegessmearcampaignamidsecuritybreachcontroversyTwitter競爭對手Spoutible在安全漏洞爭議中指控抹黑活動/2024/02/12/twitter-alternative-spoutible-clashes-with-critics-over-security-breach/MassiveTrelloUserDataLeak:HackerLists15MillionRecordsonaDarkWebHackingForumTrello露：黑客在暗網(wǎng)黑客論壇上列出1500萬條記錄https:///cyber-security/massive-trello-user-data-leak-hacker-lists-15-million-records-on-a-dark-web-hacking-forum/MercedesSourceCodeExposedbyLeakedGitHubToken令牌泄露導(dǎo)致梅賽德斯源代碼暴露https:///leaked-github-token-exposed-mercedes-source-code/230kIndividualsImpactedbyDataBreachatAustralianTelcoTangerineTangerine的數(shù)據(jù)泄露影響23萬人https:///230k-individuals-impacted-by-data-breach-at-australiantelco-tangerine/44云安全策略包括考慮外部因素、現(xiàn)有實施情況以及云技術(shù)的選擇、優(yōu)先級和趨勢，以創(chuàng)建一個高層次的計劃或方法。這些見解幫助組織實現(xiàn)云安全目標(biāo)并支持業(yè)務(wù)目標(biāo)。策略可以包括云架構(gòu)和云部署模型的設(shè)計、云服務(wù)模型、（CSs（國家和環(huán)境或社會CSPsCSPIAM、網(wǎng)絡(luò)和安全控制的前瞻性設(shè)計。?2024云全?2024云全盟中區(qū)版所31商業(yè)影響缺乏云安全策略和架構(gòu)會阻礙有效和高效的基礎(chǔ)設(shè)施安全工作和設(shè)計的實施。反復(fù)出現(xiàn)的安全失敗可以歸因于策略和設(shè)計的不足，并可能導(dǎo)致各種影響。技術(shù)影響：數(shù)據(jù)泄露：未能設(shè)計或?qū)嵤┙∪脑瓢踩呗钥赡軐?dǎo)致反復(fù)的安全事件和違運營影響：些情況下，設(shè)計層面的措施會更有效。財務(wù)影響：財務(wù)成本：由于未能設(shè)計或?qū)嵤┙∪脑瓢踩呗远磸?fù)出現(xiàn)安全事件和違規(guī)行為可能導(dǎo)致重大的遏制費用。不合規(guī)和罰款：由于云安全策略設(shè)計和實施不當(dāng)導(dǎo)致的監(jiān)管不合規(guī)可能導(dǎo)致罰款。聲譽影響：安全和云供應(yīng)商特別依賴他們的品牌信任，容易受到安全失敗的影響。關(guān)鍵措施制定云安全策略或關(guān)鍵指導(dǎo)原則，并定義目標(biāo)或目的。律合規(guī)性。（模型。的云策略和目標(biāo)。案例與缺乏云安全架構(gòu)和策略相關(guān)的問題近期實例包括：（20236月API也需要對安全及相關(guān)領(lǐng)域進(jìn)行前瞻性和深刻的規(guī)劃和交付考慮。[2]（20222023年）20221月，LAPSUS$黑客組織通過破壞一名第三方客戶支OktaOkta的系統(tǒng)、客戶管理、數(shù)據(jù)門戶和一些機(jī)密信息。2023年，Okta被幾個知名客戶，包括和IAM檢測和整體彈性方面持續(xù)存在的差距。[3]CSA云計算關(guān)鍵領(lǐng)域安全指南5.0領(lǐng)域1：云計算概念與架構(gòu)領(lǐng)域2：云治理領(lǐng)域3：風(fēng)險、審計與合規(guī)領(lǐng)域12：相關(guān)技術(shù)與策略CSA云控制矩陣v4.0A&A審計與保障A&AA&A-03：基于風(fēng)險的規(guī)劃評估A&A-04：符合性需求BCR業(yè)務(wù)連續(xù)性管理與運營彈性

身份與訪問控制IAMIAM-01：身份與訪問控制的策略與規(guī)程IAM-04：職責(zé)分離IAMIAM-09：特權(quán)訪問角色的隔離IPY互操作性與可移植性IPYBCR-03：業(yè)務(wù)連續(xù)性策略BCR-04：業(yè)務(wù)連續(xù)性計劃DCS數(shù)據(jù)中心安全DCSDCS-06：資產(chǎn)分類與跟蹤數(shù)據(jù)安全與隱私生命周期管理DSP-01：安全、隱私政策和程序DSP-03：數(shù)據(jù)清單DSP-07：設(shè)計和默認(rèn)數(shù)據(jù)保護(hù)GRC治理、風(fēng)險管理和合規(guī)GRCGRC-02：風(fēng)險管理計劃GRC-06：治理責(zé)任模式GRC-08：特殊利益團(tuán)體

IPY-01：互操作性與可移植性策略與規(guī)程IVS基礎(chǔ)設(shè)施與虛擬化安全I(xiàn)VSIVS-06：分割與隔離IVS-07：遷移到云環(huán)境IVS-08：網(wǎng)絡(luò)架構(gòu)文檔STA供應(yīng)鏈管理、透明度與可核查性STASTA-04：共享安全責(zé)任模式控制所有權(quán)STA-08：供應(yīng)鏈風(fēng)險管理威脅和漏洞管理TVM-08:漏洞優(yōu)先級HRS人力資源HRSHRS-02：可接受使用的技術(shù)策略與規(guī)程參考鏈接IBMSecurity.(2023).IBMX-ForceCloudThreatLandscape2023Report-Section3,Recommendationsandbestpractices.IBM安全。（2023年）。IBMX-Force云威脅態(tài)勢2023force-cloud-threat-landscape-2023[SecurityUpdate]June20IncidentDetailsandRemediation6月20日事件詳情及補救措施/blog/security-update-june-20-incident-details-and-remediationOkta,withabruisedreputation,rethinkssecurityfromtheOkta在聲譽受損后，從上到下重新審視安全策略topdownhttps:///news/okta-security-revival/708636/?2024云?2024云全盟中區(qū)版所365云計算的使用正在快速增長，第三方資源可能包括從開源庫中提取的外部代碼，SaaS2-API”險被視為供應(yīng)鏈漏洞，因為它們是將你的云服務(wù)或應(yīng)用/業(yè)務(wù)系統(tǒng)交付給客戶的一環(huán)。這也稱作網(wǎng)絡(luò)安全供應(yīng)鏈風(fēng)險管理（C-CSRM），于供應(yīng)商或第三方漏洞引發(fā)。[1]產(chǎn)品或服務(wù)是所有其他使用產(chǎn)品或服務(wù)的總和，因此任何集成在應(yīng)用程序內(nèi)的組件（如一行代碼）都可能成為漏洞的起點。對黑客來說，他們只需找到最脆弱的環(huán)節(jié)作為攻擊切入點即可實現(xiàn)目標(biāo)，而這個最脆弱的環(huán)節(jié)往往就是大企業(yè)中的小型供應(yīng)商。商業(yè)影響因使用不安全的第三方資源引發(fā)的問題，將對技術(shù)、運營、財務(wù)和信譽帶來商業(yè)沖擊。以下是思考這些如何影響組織的初始步驟：技術(shù)影響：脅機(jī)密性。數(shù)據(jù)銷毀：錯誤的代碼重構(gòu)可能導(dǎo)致未經(jīng)授權(quán)訪問，危及數(shù)據(jù)安全。運營影響：生產(chǎn)系統(tǒng)中斷：第三方資源中存在的延遲或漏洞可能對生產(chǎn)系統(tǒng)造成損害。財務(wù)影響：不合規(guī)和罰款：若第三方不遵守規(guī)定，公司可能需要承擔(dān)損失、處罰和罰款。聲譽影響：司保護(hù)敏感信息能力產(chǎn)生懷疑。關(guān)鍵措施軟件無法百分之百保證安全，特別是對于您未參與創(chuàng)建的代碼或產(chǎn)品。但組織仍可做出明智選擇，決定使用哪些產(chǎn)品，并利用官方支持的第三方資源。同時要檢查是否有合規(guī)認(rèn)證/及解決安全問題和提供修復(fù)措施的責(zé)任心。利用軟件構(gòu)成分析（SCA）識別第三方資源，并制定軟件物料清單（SBOM）或SaaS物料清單（SaaSBOM）。跟蹤記錄組織正在使用的SBOM、SaaSBOM在受害者名單公布后才發(fā)現(xiàn)自己一直在使用易被攻擊的產(chǎn)品。這包括開源、SaaS產(chǎn)品、云服務(wù)提供商和托管服務(wù)，以及可能已集成到應(yīng)用程序中的其他部分。礎(chǔ)設(shè)施或高影響力個人等關(guān)鍵部門訪問權(quán)限。具。案例近期與第三方相關(guān)的問題包括：（20242月）IBM稱，2023445萬美元。此43CX3CX源代碼庫，并在該公司桌面應(yīng)用程序中植入惡意軟件。[2]（20243月CVE-2024-3094xzUtilsLinuxUnixxzUtils能（和5.6.1版本中植入了后門。[3]（20244月）Cyberint2024情況。[4]CSA云計算關(guān)鍵領(lǐng)域安全指南5.012：云治理5710CSA云控制矩陣v4.0BCR業(yè)務(wù)連續(xù)性管理與運營韌性BCRBCR-01：業(yè)務(wù)連續(xù)性管理策略和規(guī)程BCR-02：風(fēng)險評估和影響分析BCR-03：業(yè)務(wù)連續(xù)性策略CCC變更控制和配置管理CCCCCC-04：非經(jīng)授權(quán)的變更保護(hù)CCC-05：變更協(xié)議

數(shù)據(jù)中心安全DCSDCS-05：資產(chǎn)分級DCSDCS-06：資產(chǎn)分類與跟蹤DCS-07：受控接入點DSP數(shù)據(jù)安全及隱私生命周期管理DSP-03：數(shù)據(jù)清單DSP-05：數(shù)據(jù)流文檔化DSP-06：數(shù)據(jù)所有權(quán)和管理權(quán)DSP-08：設(shè)計和默認(rèn)數(shù)據(jù)隱私DSP-10：敏感數(shù)據(jù)傳輸DSP-16：數(shù)據(jù)保留和刪除參考鏈接HackersPuttingGlobalSupplyChainatRisk置于風(fēng)險之中https:///articles/2020/7/2/hackers-putting-global-supply-chain-at-riskRisingThreat:UnderstandingSoftwareSupplyChainCyberattacksAndProtectingAgainstThem威脅上升：了解軟件供應(yīng)鏈網(wǎng)絡(luò)攻擊及其防護(hù)措施2.https:///sites/forbestechcouncil/2024/02/06/rising-threat-understanding-software-supply-chain-cyberattacks-and-protecting-against-them/?sh=4e0f3fd16907BackdoorfoundinwidelyusedLinuxutilitytargetsencryptedSSHconnections在廣泛使用的Linux工具中發(fā)現(xiàn)后門，針對加密的SSH連接/security/2024/03/backdoor-found-in-widely-used-linux-utilitybreaks-encrypted-ssh-connections/TheWeakLink:RecentSupplyChainAttacksExamined節(jié)：近期供應(yīng)鏈攻擊分析/blog/research/recent-supply-chain-attacks-examined/66DevOps/（CI/也可提供如防護(hù)欄或自動化應(yīng)用程序安全測試等安全開發(fā)功能。此外，CSPs提供IAM功能,可在開發(fā)環(huán)境中執(zhí)行最小權(quán)限原則，并支持拒絕訪問。CSP位開發(fā)人員的軟件出現(xiàn)了零日攻擊漏洞，則該開發(fā)人員需負(fù)責(zé)修復(fù)問題；反之,CSP提供了軟件開發(fā)或運營環(huán)境，則由CSP負(fù)責(zé)實施補丁來修復(fù)問題。?2024云全盟中區(qū)版所41擁抱云技術(shù)使得公司能專注于其業(yè)務(wù)特色，并將所有可能商品化的事物交給CSP管理loud?2024云全盟中區(qū)版所41商業(yè)影響不安全的軟件開發(fā)會對技術(shù)、運營、財務(wù)和信譽等產(chǎn)生商業(yè)影響。以下是思考這些影響如何作用于組織的初始點:技術(shù)影響：信息機(jī)密性。運營影響：功能延遲：不安全的軟件開發(fā)可能導(dǎo)致功能更新推遲。系統(tǒng)停機(jī)：不安全的軟件有可能導(dǎo)致云服務(wù)部分或全部關(guān)閉。財務(wù)影響：不合規(guī)和罰款：未遵守監(jiān)管要求的公司可能需要承擔(dān)賠償、處罰和罰款責(zé)任。聲譽影響：護(hù)敏感信息能力產(chǎn)生懷疑。關(guān)鍵措施制定并執(zhí)行一個安全開發(fā)生命周期（SDLC）段進(jìn)行弱點和漏洞掃描。安全的云應(yīng)用，并采取措施以增強其韌性。利用云技術(shù)能避免重復(fù)創(chuàng)造已有解決方案。開發(fā)者可通過使用防護(hù)欄和其他專注于處理業(yè)務(wù)特有問題。理解共享責(zé)任模型，如修補CSP行補救。CSPs助用戶安全地實施服務(wù)。案例近期與賬戶劫持相關(guān)的問題包括：(20244月)CVE-2024-27956，CVSS9.9/10（嚴(yán)重級別。此漏洞使得攻擊者能創(chuàng)建具有管理權(quán)限的用戶賬戶SQLSQL注入問題，WPAutomatic30,000[2](20244月)FancyWindowsGooseEgg20206APT28GooseEgg工具。[3](20244月)ApacheCordovaAppHarness存在依賴混開發(fā)工廠的潛在弱點。[4]CSA云計算關(guān)鍵領(lǐng)域安全指南5.0領(lǐng)域1：云計算概念與架構(gòu)領(lǐng)域5：身份與訪問管理領(lǐng)域10：應(yīng)用程序安全性領(lǐng)域11：事件響應(yīng)與恢復(fù)能力CSA云控制矩陣v4.0AIS應(yīng)用程序和接口安全AIS-01：應(yīng)用和接口安全策略和規(guī)程AIS-02：應(yīng)用程序安全基線需求AIS-03：應(yīng)用程序安全標(biāo)準(zhǔn)AIS-04：應(yīng)用程序安全設(shè)計和開發(fā)AIS-05：自動應(yīng)用程序安全測試AIS-06：自動應(yīng)用程序安全部署AIS-07：應(yīng)用漏洞修復(fù)

身份和訪問控制IAMIAM-01：身份與訪問控制的策略與規(guī)程IAM-04：職責(zé)分離IAMIAM-05：最小權(quán)限IAM-14：強鑒別IAM-16：認(rèn)證機(jī)制CCC變更控制和配置管理CCC-02：質(zhì)量測試

威脅、脆弱性管理TVMTVM-03：脆弱性補救程序TVM參考鏈接AWSWell-ArchitectedFrameworkAWS良好架構(gòu)框架/2024/04/apache-cordova-app-harness-targeted-in.htmlWPAutomaticWordPresspluginhitbymillionsofSQLinjectionattacksWPAutomaticWordPress插件遭遇數(shù)百萬次SQL注入攻擊https:///news/security/wp-automatic-wordpress-plugin-hit-by-millions-of-sql-injection-attacks/Microsoft:APT28hackersexploitWindowsflawreportedbyNSAAPT28黑客利用NSA報告的Windows漏洞https:///news/security/microsoft-russian-apt28-hackers-exploit-windows-flaw-reported-by-nsa-using-gooseegg-tool/exploit-windows-flaw-reported-by-nsa-using-gooseegg-tool/ApacheCordovaAppHarnessTargetedinDependencyConfusionAttackApacheCordovaAppHarness遭遇依賴混淆攻擊/2024/04/apache-cordova-app-harness-targeted-in.html?2024云?2024云全盟中區(qū)版所467由于配置錯誤，數(shù)據(jù)意外泄露的風(fēng)險每年都在增長。[1]免費的公共搜索工具可以幫助找到公開的數(shù)據(jù)倉庫。[2]（S3桶、彈性容器注冊表、彈性塊存儲）、AzureBlob、GCP存儲、DockerHub、Elasticsearch、Redis和GitHub等平臺上。[3]盡管這些問題在過去兩年中已被廣為知曉和討論，但Elasticsearch和S3的漏洞通常會在暴露后24小時內(nèi)發(fā)生。2024年4月，云安全聯(lián)盟發(fā)布研究指出21.1%的公共桶含敏感數(shù)據(jù)。僅過去一年里，除姓名、國籍、生日及性別等基本信息外，還意外披露了大量其他敏感資料如護(hù)照信息、密碼、學(xué)歷資料、駕照詳情,汽車信息,醫(yī)療記錄以及生物特征等。這些意外泄露多能預(yù)防，并主要由監(jiān)管不足與控制失當(dāng)引起。例如，在創(chuàng)建S3桶時，用戶或管理員決定是否啟用公共讀取權(quán)限；添加數(shù)據(jù)時也給用戶同樣選擇權(quán)。默認(rèn)設(shè)置是私有的且需手動更改為公開狀態(tài)。雖然舊桶中仍有部分歷史設(shè)置存在，但這個安全問題主要源于選擇便利性而忽視了安全性。商業(yè)影響-都有相關(guān)新聞報道。技術(shù)影響：取或使用該數(shù)據(jù)的人將能看到這些信息。運營影響：止運行。財務(wù)影響：不合規(guī)：加利福尼亞消費者隱私法案和通用數(shù)據(jù)保護(hù)條例（GDPR）違規(guī)行為設(shè)定了嚴(yán)重罰款。聲譽影響：公司信譽：由違規(guī)事件引發(fā)的公眾關(guān)注可能會改變消費者和企業(yè)對公司誠信度以及治理、控制和管理能力的認(rèn)知。關(guān)鍵措施題通常是流程上的挑戰(zhàn)，需要強大的教育計劃、IT審計倡議和法律規(guī)劃等。一些基本的配置步驟可以顯著地減少這個問題中“意外”的部分。確保正確配置存儲桶以最小化訪問（維護(hù)私人設(shè)置，加密內(nèi)容，并使用多因素認(rèn)證（MFA）生成強密碼）。每個主要的云服務(wù)提供商（如Amazon,Google,Microsoft）都提供了安全配置的詳細(xì)指南。[5]為了顯著降低風(fēng)險暴露，請實施數(shù)據(jù)庫最小權(quán)限身份和訪問管理(IAM)保嚴(yán)格控制并監(jiān)視此政策的執(zhí)行情況。禁用/不使用訪問控制列表(ACLs)，而選擇IAM以獲取更高級別的安全性。持續(xù)推進(jìn)零信任架構(gòu)。已經(jīng)進(jìn)行過相關(guān)配置，則云安全態(tài)勢管理(CSPM)工具可以自動修復(fù)問題。案例近期各類云數(shù)據(jù)意外泄露事例包括：（20236月38TBAzure存儲桶MicrosoftCSA[4,5,6]（20236月S3480004600（配置錯誤及更改控制不足，CSA的建議。[4,5,7]（20235月）CaptainU100（1318歲學(xué)生（20235月）AIAI550GB案（FOIA）請求相關(guān)文件以及帶有授權(quán)令牌的系統(tǒng)日志。部分?jǐn)?shù)據(jù)可被用于制作深度偽造內(nèi)容，進(jìn)一步提高其對欺詐者的價值。[9]CSA云計算關(guān)鍵領(lǐng)域安全指南5.0領(lǐng)域2：云治理579：數(shù)據(jù)安全領(lǐng)域10：應(yīng)用程序安全CSA云控制矩陣v4.0AAIS-02：應(yīng)用程序安全基線需求AIS-04：應(yīng)用程序安全設(shè)計和開發(fā)BCR業(yè)務(wù)連續(xù)性管理與運營彈性BCR-05：文檔記錄DSP-01：安全、隱私政策和程序DSP-02：安全處置DSP-03：數(shù)據(jù)清單DSP-05：數(shù)據(jù)流文檔DSP-06：數(shù)據(jù)所有權(quán)和管理權(quán)DSP-07：設(shè)計和默認(rèn)數(shù)據(jù)保護(hù)DSP-09：數(shù)據(jù)保護(hù)影響評估DSP-10：敏感數(shù)據(jù)傳輸DSP-11：個人數(shù)據(jù)訪問，撤銷，糾正和刪除DSP-13：個人數(shù)據(jù)子處理DPS-14：披露數(shù)據(jù)子處理者DPS-16：數(shù)據(jù)保存和刪除

GRC-01：治理計劃策略和程序GRC-02：風(fēng)險管理計劃IAM身份識別與訪問控制IAM–01：身份與訪問控制的策略和規(guī)程IAM–05：最小權(quán)限IVS基礎(chǔ)設(shè)施與虛擬化安全I(xiàn)VS–01：基礎(chǔ)設(shè)施與虛擬化安全策略和程序IVS–03：網(wǎng)絡(luò)安全I(xiàn)VS–06：分區(qū)與隔離參考鏈接Code422024年度數(shù)據(jù)泄露報告https:///resources/reports/2024-data-exposure存儲桶搜索工具/2023年云端蜜罐陷阱報告https://orca.security/resources/blog/2023-honeypotting-in-the-cloud-report/S3存儲桶的危險數(shù)據(jù)（以及如何補救）/blog/2023/04/06/the-data-on-the-danger-of-publicly-exposed-s3-buckets亞馬遜S3的安全最佳實踐/AmazonS3/latest/userguide/security-best-practices.html微軟Azure數(shù)據(jù)泄露暴露了文件共享鏈接的危險https:///cloud-security/microsoft-azure-data-leak-exposes-dangers-of-file-sharing-links配置錯誤的WBSC服務(wù)器泄露數(shù)千本護(hù)照/security/wbsc-data-leak-passports/大學(xué)招生數(shù)據(jù)庫泄露近百萬學(xué)生的GPA成績、SAT分?jǐn)?shù)、ID數(shù)據(jù)/security/college-recruitment-database-leaking-nearly-1-million-students-gpas-sat-scores-ids-and-other-personal-data/與美國政府有關(guān)聯(lián)的AI公司在數(shù)據(jù)泄露中暴露了數(shù)十億份文件https:///202405/ai-firm-with-ties-to-u-s-government-exposes-of-billions-of-documents-in-breach88系統(tǒng)漏洞是云服務(wù)平臺中的缺陷，可用來損害數(shù)據(jù)的機(jī)密性、完整性和可用性，并可能造成服務(wù)運營中斷。云服務(wù)通常由定制軟件、第三方庫和服務(wù)以及操作系統(tǒng)構(gòu)建。任何這些組件中的漏洞都會使云服務(wù)更容易受到網(wǎng)絡(luò)攻擊。系統(tǒng)漏洞主要有四類：配置錯誤-[4]配置錯誤是本出版物“頂級威脅”調(diào)查響應(yīng)者發(fā)現(xiàn)的首要安全問題。零日漏洞-這些漏洞是由威脅行為者發(fā)現(xiàn)和利用的，但云服務(wù)提供商和軟件供商并不知道這些漏洞。未修補軟件-包含已知安全漏洞的軟件，盡管有針對這些問題的補丁，但這些洞尚未得到修復(fù)。弱憑據(jù)或默認(rèn)憑據(jù)-缺乏強身份驗證會增加威脅行為者未經(jīng)授權(quán)訪問敏感數(shù)據(jù)系統(tǒng)的機(jī)會。?2024云全?2024云全盟中區(qū)版所51商業(yè)影響系統(tǒng)漏洞對云服務(wù)的影響就會顯現(xiàn)出來。以下是系統(tǒng)漏洞可能造成的一些影響：技術(shù)影響：安全性減弱：未能解決系統(tǒng)漏洞的云服務(wù)更容易受到攻擊和危害。露。運營影響：業(yè)務(wù)中斷：數(shù)據(jù)丟失會使組織無法履行對合作伙伴和客戶的業(yè)務(wù)承諾。況。財務(wù)影響：收入損失：因服務(wù)中斷、恢復(fù)成本、客戶不滿或法律訴訟造成的財務(wù)損失。不合規(guī)和罰款：未能遵守漏洞管理和相關(guān)處罰的監(jiān)管要求而受罰。聲譽影響：公司聲譽受損：損害云服務(wù)組織的公眾形象和品牌價值。斷，對其聲譽產(chǎn)生負(fù)面影響。關(guān)鍵措施系統(tǒng)漏洞是云服務(wù)中的缺陷，會擴(kuò)大其攻擊面。美國國家安全局（NSA）和頂級威脅調(diào)查的受訪者將配置錯誤確定為最重要的云服務(wù)漏洞。對系統(tǒng)和網(wǎng)絡(luò)的持續(xù)監(jiān)控提供了對安全漏洞和其他系統(tǒng)完整性問題的可見性。擊。零信任架構(gòu)可以通過限制對關(guān)鍵云資源的訪問來限制零日漏洞的潛在損害。案例最近與云中系統(tǒng)漏洞相關(guān)的問題示例包括：20231月raGoAyhe（T）（RCE）CVE-2023-0669，該漏洞使攻擊者能MFT服務(wù)下載文件。[3]（20233月ChatGPTRedis緩存客戶edishGTPedis來緩存用戶數(shù)據(jù)，1.2%ChatGPTPlus（20235月ClopMOVEit的托管文件傳輸服務(wù)TT4LV-2023-34362CVE-2023-35036CVE-2023-35708CVE-2023-3693XMOVEit500340072%Clop軟件組織的操作方法已從加密數(shù)據(jù)轉(zhuǎn)向暴露從目標(biāo)檢索到的敏感數(shù)據(jù)的威脅。[6]CSA云計算關(guān)鍵領(lǐng)域安全指南5.056：安全監(jiān)控79：數(shù)據(jù)安全領(lǐng)域10：應(yīng)用程序安全領(lǐng)域11：事件響應(yīng)和彈性CSA云控制矩陣v4.0AIS應(yīng)用程序和接口安全AIS-01：應(yīng)用和接口安全策略和程序AIS-02：應(yīng)用程序安全基線需求AIS-06：自動應(yīng)用程序安全部署AIS-07：應(yīng)用程序漏洞修復(fù)CEK密碼學(xué)、加密和密鑰管理CEK-03：數(shù)據(jù)加密CEK-04：加密算法

基礎(chǔ)設(shè)施與虛擬化安全I(xiàn)VSIVS-04：操作系統(tǒng)加固與基線控制IVSTVM威脅、脆弱性管理TVMTVM-01：威脅、脆弱性管理策略及規(guī)程TVM-02：惡意軟件防護(hù)策略和規(guī)程TVM-03：脆弱性補救程序TVM-04：檢測更新TVM-05：外部庫脆弱性TVM-06：滲透測試TVM-07：脆弱性識別TVM-08：脆弱性優(yōu)先級TVM-09：脆弱性匯報管理99：云可見性/當(dāng)組織無法有效地可視化和分析云服務(wù)的使用是安全的還是惡意的時，有限的云可見性問題就會出現(xiàn)。這個問題包括兩個關(guān)鍵挑戰(zhàn)：使用未經(jīng)批準(zhǔn)的應(yīng)用程序和濫用IT和安全部門的特定許可和支持的情況下使IT敏感的公司數(shù)據(jù)時，這種情況尤其危險。當(dāng)組織無法監(jiān)控內(nèi)部人員如何使用其批準(zhǔn)的應(yīng)用程序或者外部威脅行為者瞄準(zhǔn)這些應(yīng)用程序，就會發(fā)生受批準(zhǔn)的應(yīng)用程序的濫用，這些濫用通常是通過憑證盜竊、SQLDNS攻擊等方法來進(jìn)行的。[12,3]2023年，幾起重大的云泄露事件突顯了缺乏云可見性的挑戰(zhàn)。值得注意的例子包括：導(dǎo)致數(shù)據(jù)泄露的人為錯誤：泰雷茲（2023）（39%）的企業(yè)在其云環(huán)境中經(jīng)歷了數(shù)據(jù)泄露，其中一半以上（55%）Gigamon（2023）（2023410ExpertInsights（2023）83%?2024云全?2024云全盟中區(qū)版所55商業(yè)影響有限的云可見性可能會通過各種技術(shù)、運營、財務(wù)和聲譽后果嚴(yán)重影響企業(yè)。以下是主要影響：技術(shù)影響：更容易受到攻擊和損害。數(shù)據(jù)丟失：APT的完整性和機(jī)密性。運營影響：而導(dǎo)致重大的運營停滯。產(chǎn)力和服務(wù)交付。財務(wù)影響：損失。響組織的財務(wù)穩(wěn)定性。聲譽影響：以重新獲得客戶信任。能會對客戶的聲譽和客戶關(guān)系產(chǎn)生負(fù)面影響。關(guān)鍵措施人員、流程和技術(shù)的解決方案。訓(xùn)。[6]未批準(zhǔn)的云服務(wù)。投資云訪問安全代理（CASB）和零信任安全（ZTS）析出站活動，發(fā)現(xiàn)云使用情況，并識別有風(fēng)險的用戶和有資格的員工行為異常。部署web應(yīng)用程序防火墻（WAF）：監(jiān)控所有入站連接的可疑趨勢、惡意軟件、DDoS和僵尸網(wǎng)絡(luò)風(fēng)險。為。實施零信任模型：在整個組織內(nèi)采用零信任方法，以確保健壯的安全性。案例最近與云可見性有限相關(guān)的問題包括：(20239202310月）22Okta漏洞是另一個突出云可見性至Okta1Password證實該漏洞。OktaOkta服務(wù)Okta（CIS）FedRampHighDoDIL4OktaOkta其保護(hù)客戶數(shù)據(jù)能力的擔(dān)憂。[7,8]（202310202312月Me500續(xù)監(jiān)控和配置管理來保護(hù)敏感數(shù)據(jù)。[9,10]CSA云計算關(guān)鍵領(lǐng)域安全指南5.0領(lǐng)域1：云計算概念和架構(gòu)領(lǐng)域3：風(fēng)險、審計和合規(guī)性領(lǐng)域5：身份和訪問管理領(lǐng)域8：云工作負(fù)載安全領(lǐng)域9：數(shù)據(jù)安全領(lǐng)域10：應(yīng)用程序安全領(lǐng)域11：事件響應(yīng)和恢復(fù)能力CSA云控制矩陣v4.0IAAIAM-03：身份清單IAM-08：用戶訪問評審LOG日志記錄和監(jiān)控LOG-03：安全監(jiān)控與警報LOG-05：審計日志監(jiān)控和響應(yīng)

TVM威脅、脆弱性管理TVM-01：威脅、脆弱性管理策略及規(guī)程TVM-02：惡意軟件防護(hù)策略和規(guī)程TVM-03：脆弱性補救程序TVM-04：檢測更新TVM-05：外部庫脆弱性SEF-03：事件響應(yīng)計劃SEF-04：事件響應(yīng)測試SE供應(yīng)鏈管理、透明性能和可核查性SESTA-08：供應(yīng)鏈風(fēng)險管理參考鏈接PaloAltoNetworksPrismaCloud：云發(fā)現(xiàn)和風(fēng)險管理/prisma-cloud-request-a-trialGigamon：私有云可視性的五大關(guān)注點/2024/03/05/five-top-concerns-in-private-cloud-visibility/泰雷茲：2023/cloud-security-researchIllumio：云安全指數(shù)：通過零信任分段重新定義云安全https:///resource-center/cloud-security-index-2023CrowdStrike：20232024年你應(yīng)該了解的50ManageEngine2023OktaBeyondTrust：Okta23andMe數(shù)據(jù)被黑客攻擊數(shù)月未被發(fā)現(xiàn)https:///23andmes-data-hack-went-unnoticed-for-months-081332978.html10.23andMe證實黑客竊取了690萬用戶的數(shù)據(jù)/2023/12/04/23andme-confirms-hackers-stole-ancestry-data-on-6-9-million-users/1010認(rèn)證的云資源共享可能給云服務(wù)帶來重大的安全風(fēng)險。云資源可能包括虛擬機(jī)、存儲桶和數(shù)據(jù)庫，這些資源都包含對業(yè)務(wù)運營至關(guān)重要的敏感數(shù)據(jù)和應(yīng)用程序。如果沒有適當(dāng)?shù)挠脩粽J(rèn)證或遵循最小權(quán)限原則，云資源就容易被想要竊取公司和個人機(jī)密數(shù)據(jù)的威脅行為者所利用。在保護(hù)云資源的最佳實踐中，至少需要進(jìn)行基本的身份驗證，如輸入密碼。然而，每年都會有大量數(shù)據(jù)泄露事件發(fā)生，原因是云存儲和數(shù)據(jù)庫系統(tǒng)沒有密碼保護(hù)。在當(dāng)今互聯(lián)網(wǎng)的海量數(shù)據(jù)中，找到未受保護(hù)的云資源似乎是一項ShodanBinaryEdge和GravhatWarfare（IoT）除了密碼保護(hù)之外，還可以采取其他安全措施來保護(hù)關(guān)鍵數(shù)據(jù)：（MAMA要求用戶通過二次驗證來驗證其身份，如一次性訪問代碼或生物識別驗證。第三方認(rèn)證平臺：使用專門用于驗證用戶身份的服務(wù)可以幫助組織可靠地管理用戶認(rèn)證，并提供諸如一鍵或觸式授權(quán)的認(rèn)證方案。?2024?2024云全盟中區(qū)版所61商業(yè)影響以下是未驗證云資源可能導(dǎo)致的一些負(fù)面影響：技術(shù)影響：數(shù)據(jù)泄露：未經(jīng)授權(quán)的威脅行為者可能竊取或暴露敏感和關(guān)鍵任務(wù)數(shù)據(jù)。數(shù)據(jù)丟失：對數(shù)據(jù)的無限制訪問可能導(dǎo)致部分或全部數(shù)據(jù)被破壞。運營影響：業(yè)務(wù)中斷：數(shù)據(jù)丟失可能阻止組織履行對合作伙