2022年云计算应用关键威胁调查

云工作负载、供应链、边缘计算、物联网（IoT）以及区块链等新技术的流行和应用改变了云计算应用的安全格局。为了提高对云中威胁、漏洞和风险的认知，国际云安全联盟（CSA）不久前就当前云计算领域的应用安全问题展开研究，对700余名云计算技术行业专家进行了调研，并编写发布《云计算顶级威胁报告》。报告认为，以下11个方面的安全挑战正在成为阻碍云计算应用的关键性威胁。

身份、凭据、访问权限

和密钥管理不善

身份、凭据、访问管理系统中一般包含了允许组织管理、监控和保护用户对关键资源进行访问的各类工具和策略，这些关键资源可能包括电子文件、计算机系统和物理资源，例如服务器机房或建筑物等。在此过程中，适当地维护和持续监控身份、凭据、访问管理系统至关重要。在身份和访问管理（IAM）中使用风险评分可增强安全态势。使用清晰的风险分配模型、持续的监控以及适当的行为隔离和细分有助于交叉检查（cross-check）IAM系统。

如果身份、凭据、访问权限和密钥管理不善，可能会造成如下负面后果：

• 业务系统访问缺乏合规性，员工对网络安全性漠不关心；

• 关键业务数据被替换或损坏，未经授权或恶意用户的数据渗漏难以发现；

• 丧失用户信任和业务营收；

• 因严重安全事件响应和取证而产生额外的财务费用；

• 勒索软件攻击和供应链中断。

2019年1月- 7月，Capital One银行发生大规模数据泄露事件，该事件的诱因是Capital One在其AWS账户中的服务器执行任意用户发起请求。攻击者可以借助放置在公网上的服务器非法访问内网中的服务器，进而造成命令执行、数据泄露等危害。

• 使用多因素身份验证；

• 对云用户和身份使用严格的访问控制，特别是限制root账户的使用；

• 根据业务需求和最小特权原则隔离和细分账户；

• 采用程序化、集中式方法轮换密钥；

• 及时删除未使用的凭据和访问特权。

不安全的接口和API

组织为了给第三方开发人员和客户提供更好的数字体验，正在加速采用API。但随着API日趋普及，保护这些接口的安全性也变得至关重要。必须检查API和微服务是否存在由于错误配置、不良编码实践、缺乏身份验证和不当授权而导致的漏洞。这些漏洞可能会使接口易受攻击。

API和其他接口的错误配置是安全事件和数据泄露的主要原因，常见的问题有：未经身份验证的端点；弱认证；权限过大；禁用标准安全控制；系统未打补丁；逻辑设计问题；禁用日志记录或监控等。这些问题可能会导致资源渗漏、删除或修改，数据调整或服务中断等。

API和不安全接口对业务的影响主要是敏感或私有数据意外暴露，此类风险的严重程度取决于API使用方式以及检测和缓解漏洞的速度。

2021年5月5日，居家健身品牌Peloton曝出API漏洞，不健全的用户身份验证和对象级授权会通过API暴露Peloton客户个人身份信息（PII）。这些数据包括详细的用户年龄、性别、城市、体重、锻炼统计数据，甚至可揭示用户在个人资料设置页面中设为私密的生日等信息。

• 跟踪、配置和保护与API相关的攻击面；

• 更新传统的控制和变更管理策略及方法，以跟上基于云的API增长和变化趋势；

• 企业应采用自动化技术，持续监控异常API流量并近乎实时地修复漏洞；

• 考虑采用开放的API框架，例如开放云计算接口（OCCI）或云基础架构管理接口（CIMI）。

错误配置和变更控制不足

错误配置是指计算资产的不正确或不合理设置，使它们易受意外损坏或恶意活动的影响。常见的错误配置包括：不安全的数据存储元素或容器；过多的权限；保持默认凭据和配置设置不变；禁用标准安全控制；系统未打补丁；禁用日志记录或监控；不受限制地访问端口和服务；不安全地管理秘密；配置不当或缺乏配置验证。云资源配置错误是数据泄露的主要原因，可能导致资源删除或修改以及服务中断。

云环境中的不当变更控制可能会导致错误配置，并阻碍错误配置的修复。云环境和云计算方法与传统信息技术（IT）的不同之处在于它使更改更难以控制。传统的变更流程涉及多个角色和许可，因此需要数天或数周才能投入使用。云计算依靠自动化、角色扩展和访问来支持快速变更，这使得其很难控制变更。此外，使用多个云提供商会增加复杂性，每个提供商的独特功能几乎每天都在增强和扩展。这种动态环境需要一种敏捷和主动的变更控制和修复方法。

错误配置和变更控制不足造成的影响主要包括：

• 数据披露影响保密性；

• 数据丢失影响可用性；

• 数据破坏影响完整性；

• 系统性能影响运营效率；

• 系统中断影响运营可持续性；

• 勒索赎金会造成财务影响；

• 违规和罚款造成合规和财务影响；

• 收入损失；

• 股价下跌；

• 公司声誉影响。

2021年1月7日，微软公司错误配置了Microsoft Azure Blob（云）存储桶，该存储桶存放了大量第三方数据，希望与微软合作的100多个企业“宣传片”和源代码被公开披露。

• 企业需要采用持续扫描配置错误资源的可用技术，以便实时修复漏洞；

• 变更管理方法必须能够反映业务转型和安全挑战的动态性质，以确保使用实时自动验证正确批准变更。

缺乏云安全架构和策略

云安全策略和架构包括对云部署模型、云服务模型、云服务提供商（CSP）、服务区域可用区、特定云服务和一般原则的考虑和选择。此外，IAM的前瞻性设计、跨不同云帐户、供应商、服务和环境的网络和安全控制也在范围内。对战略的考虑应先于架构规划并指导架构设计，但云挑战通常需要增量和敏捷的规划方法。如果云计算要成功且安全，则不能忽视安全考虑和风险。行业违规事件表明，缺乏这样的规划可能会导致云环境和应用程序无法（或无法有效地）抵御网络攻击。

缺乏云安全策略和架构会限制高效的企业和基础设施安全架构实施的可行性。如果没有这些安全/合规目标，云计算将无法取得成功，甚至还会导致因违规而被罚款和其他处罚，或者由于实施不当的重构和迁移而产生巨额成本。

2021年1月，沃尔玛旗下的美国服装店Bonobos遭遇大规模数据泄露，暴露了数百万客户的个人信息，其中包括客户地址、电话号码、部分信用卡号码和网站上的订单。发生这种情况的原因是托管备份文件的外部云备份服务遭到破坏。

• 企业应在云服务和基础架构设计和决策中考虑业务目标、风险、安全威胁和法律合规性；

• 鉴于云环境快速变化的步伐和有限的集中控制，遵循云服务和基础架构安全设计原则对于开发更为重要；

• 将尽职调查和第三方供应商安全评估视为基本实践，并与威胁建模、安全设计和集成相辅相成。

不安全的软件开发

软件系统很复杂，而云技术往往又会增加这种复杂性，这会增加漏洞利用和错误配置的可能性。虽然开发人员本意并不是为了开发不安全的软件，但主要软件供应商每月都会发布补丁，以修复影响系统机密性、完整性和/或可用性的代码错误。虽然并非所有软件错误都具有安全隐患，但正如历史所证明的那样，即使是不起眼的失误也可能成为重大威胁。

不安全的软件开发可能造成的影响包括：

• 客户对产品或解决方案失去信心；

• 数据泄露导致品牌声誉受损；

• 诉讼造成的法律和财务影响。

2021年9月13日，研究人员发现AppleiOS被NSO的Pegasus软件利用，涉及允许远程执行代码的零点击漏洞。

• 使用云技术让开发人员能够专注于业务特有的问题；

• 通过利用共享责任模型，可以将修复等项目归云服务提供商（CSP）而非企业所有；

• CSP重视安全性，并将就如何以安全方式实施服务提供指导，例如AWS Well-Architected Framework或安全设计模式。

不安全的供应链系统

在云计算采用率迅速增长的现实中，第三方资源可能意味着不同的事物：从开源代码到SaaS产品和API风险，一直到云供应商提供的托管服务。来自第三方资源的风险也被视为“供应链漏洞”，因为它们是企业交付产品或服务过程的一部分。近年来，随着对第三方供应链服务的依赖日益增加，网络犯罪分子利用这些漏洞的情况越来越多。研究显示，2/3的违规行为由供应商或第三方漏洞造成。

不安全的供应链系统可能其造成的影响主要有：

• 云上关键业务流程的丢失或中断；

• 云业务数据遭到外部用户访问；

• 修补或修复安全问题取决于提供商及其响应速度，同时需要不断更新内部应用程序和产品。这对业务的影响可能至关重要，具体取决于易受攻击的组件对应用程序的重要性。

​安全事件

2019年5月至2021年8月，大众汽车集团的北美子公司遭遇由供应商造成的数据泄露事件，该供应商在2019年5月至2021年8月期间将存储服务置于未受保护的状态。此事件涉及330万客户，泄露数据包括个人身份信息（PII）以及对某些客户而言更为敏感的财务数据。

• 虽然企业无法防止并非由自己创建的代码或产品中的漏洞，但可以尝试就使用哪种产品做出正确的决策，例如：寻找官方支持的产品，以及那些拥有合规认证、漏洞赏金计划并提供安全公告和快速修复程序的企业；

• 识别并跟踪企业正在使用的第三方，这包括开源、SaaS产品、云提供商和托管服务，以及可能已添加到应用程序中的其他集成；

• 定期审查第三方资源。如果发现不需要的产品，请将其删除并撤销可能已授予它们的权限（如进入代码存储库、基础架构或应用程序的任何访问权限）；

• 不要成为薄弱环节。在适用范围内对企业应用程序进行渗透测试、向开发人员介绍安全编码实践，并使用静态应用程序安全测试（SAST）和动态应用程序安全测试（DAST）解决方案。

系统漏洞也是目前云服务平台中普遍存在的缺陷。攻击者可能会利用它们来破坏数据的机密性、完整性和可用性，从而破坏服务运营。值得注意的是，所有组件都可能包含使云服务易受攻击的漏洞。这些系统漏洞主要有四类：

• 零日漏洞——新发现的还未开发出补丁的漏洞。黑客会迅速利用这些漏洞，因为在部署补丁之前没有任何东西可以阻止它们。之前发现的Log4Shell就是一个典型的零日漏洞示例。

• 缺少安全补丁——随着未修补漏洞数量的增加，整体系统安全风险也在增加，因此，一旦发现有已知关键漏洞的补丁可用，尽快部署它们可以减少系统的攻击面。

• 基于配置的漏洞——当系统使用默认或错误配置的设置部署时，就会出现这种漏洞。基于配置的漏洞示例包括使用遗留安全协议、弱加密密码、弱权限和保护不善的系统管理界面。此外，在系统上运行不必要的服务是另一个与配置相关的问题。

• 弱验证或默认凭据——缺乏强身份验证凭据使潜在的攻击者可以轻松访问系统资源和相关数据。同样地，未安全存储的密码可能会被黑客窃取并用于侵入系统。

云计算系统漏洞可能对业务造成的影响有：

• 许多数据泄露都是由系统漏洞造成的；

• 当发生数据泄露时，企业业务可能会中断，从而影响客户使用企业服务；

• 处理数据泄露等问题而产生额外的技术性成本。

2021年12月，Log4Shell（CVE-2021-45046）远程代码漏洞爆发，影响了基于Java的Log4j日志记录工具2.0beta9-2.14.1版本。鉴于Java在云系统中的广泛使用，Log4Shell成为一个严重威胁。攻击者可以通过向易受攻击的系统提交恶意请求来利用Log4Shell，该请求会导致系统执行任意代码，从而使攻击者能够窃取信息、启动勒索软件或接管系统的控制权。

• 系统漏洞是系统组件中的缺陷，通常由人为错误引入，使黑客更容易攻击企业的云服务，因此强化“人”的因素至关重要，企业可以定期开展安全培训和教育；

• 通过常规漏洞检测和补丁部署以及严格的IAM实践，可以大大降低系统漏洞导致的安全风险。

云计算数据的意外泄露

云服务使企业能够以前所未有的速度构建、创新和扩展。然而，云的复杂性和向云服务所有权的转变，通常会导致缺乏安全治理和控制。不同CSP中云资源配置数量的增加使错误配置更加普遍，云库存缺乏透明度和网络可视性可能会导致数据意外泄露。

意外的数据泄露可能造成的业务影响有：

• 这些数据中可能包含敏感的客户数据、员工信息、产品数据等。暴露此类数据会导致意外费用，如取证团队、客户支持流程产生的费用以及受影响客户的赔偿；

• 数据泄露还会产生很多额外的间接成本，例如内部调查和沟通、当前客户流失以及由于信誉受损而导致的潜在客户流失等。

2021年1月，VIP游戏公司因云配置错误暴露了超过6万用户的2300万条记录，其中包含电子邮件、用户名、社交问题、网络ID和网络上的玩家数据。

• 基于配置的解决方案在提供必要的可见性方面有限，并且无法检查或扫描工作负载，因此有必要查看托管服务的PaaS数据库、存储和计算工作负载，包括虚拟机、容器和安装在其上的数据库软件；

• 选择对企业云环境具有完全可见性的引擎，以识别允许将流量暴露在外部的任何路由或网络服务，包括负载均衡器、应用程序负载均衡器、内容分发网络（CDN）、网络对等互连、云防火墙、Kubernetes网络等；

• 确保数据库实施最低权限的IAM策略，并通过控制和监控该策略的分配来减少访问风险。

云工作负载的错误配置和利用

管理和扩展云基础架构及安全控制以运行应用程序仍然是云计算开发团队的重大挑战。无服务器和云原生容器化工作负载似乎是解决这个问题的灵丹妙药——将责任转移给云服务提供商。不过与将虚拟机迁移到云相比，它们需要更高级别的云和应用程序安全成熟度。

在无服务器模型中，CSP负责底层基础架构的安全和管理。除了开发和运营方面的优势之外，这还减少了攻击面，因为默认情况下CSP在短期容器中运行功能代码。不断刷新的系统显著限制了攻击事件的持久性。但是，如果CSP允许客户配置具有更长生命周期和“热启动”（warm start）配置的无服务器容器，则环境会变得不那么安全。其他风险包括临时文件系统和共享内存，这也可能泄漏敏感信息。

缺乏对基础设施的控制，也妨碍了应用程序安全问题的缓解和传统安全工具可见性的实现。企业需要围绕云环境、应用程序、可视化、访问控制和机密管理建立强大的安全性，以减少攻击半径。

无服务器和容器化工作负载可以显著提高云计算应用的敏捷性、降低成本、简化操作，甚至提高安全性。但在缺乏必要专业知识和尽职调查的情况下，使用这些技术实施的应用程序配置可能会导致重大违规、数据丢失甚至业务现金流枯竭。

2021年以来，围绕拒绝钱包（Denial of Wallet，DOW）攻击的云安全事件越来越多。DoW攻击与传统的拒绝服务（DoS）攻击类似，两者都旨在引起破坏。但是，DoW攻击专门针对无服务器用户。这种攻击利用了以下事实：无服务器供应商根据应用程序消耗的资源量向用户收费，这意味着，如果攻击者向网站充斥流量，则网站所有者可能会承担巨额账单。

• 企业应通过云安全态势管理（CSPM）、云基础设施授权管理（CIEM）和云工作负载保护平台（CWPP）实施自动检查；

• 企业应投资于云安全培训、治理流程和可重用的安全云架构模式，以降低不安全的云配置风险和频率；

• 开发团队在迁移至无服务器技术之前，应更加严格地遵循安全相关的最佳实践。

有组织的犯罪团伙和APT攻击

有组织的犯罪团伙旨在描述一个犯罪团伙的组织级别。高级持续性威胁（APT）是一个广义术语，用于描述入侵者或入侵团队在网络上长期开展非法活动，以挖掘高度敏感的数据。APT已经建立了复杂的战术、技术和协议（TTP）来渗透其目标。他们经常在目标网络中潜伏数月不被发现，并能够在网络中横向移动以访问高度敏感的业务数据或资产。

• APT组织的动机各不相同。有些是出于政治动机（即黑客活动主义者），而另一些则是有组织的犯罪集团的一部分，甚至还有一些团体是国家行为体黑客组织；

• 要了解APT组织可能对企业产生的业务影响，企业必须对其信息资产进行业务影响分析。这使企业能够了解APT组织如何以及为什么可能以其为目标，以及潜在安全漏洞的潜在业务影响可能是什么。

2016年2月，Lazarus group（APT38）几乎彻底抢劫了孟加拉国的国家银行；2022年1月，LAPSUS$入侵了Nvidia的内部网络并窃取了机密数据。该组织没有向Nvidia勒索数据，而是要求释放对用于加密挖掘的图形处理单元的限制。

• 对企业进行业务影响分析，以了解企业信息资产；

• 参加网络安全信息共享小组，以了解任何相关的APT组织及其TTP（Tactics、Techniques和Procedures，即战术、技术和过程）；

• 进行攻击性安全演习以模拟这些APT组织的TTP，并调整安全监控工具以进行检测。

不安全的云上数据存储

云存储数据发生泄露是涉及敏感、受保护或机密信息的严重安全事件。这些数据可能会被企业之外的个人发布、查看、窃取或使用。云存储数据是有针对性攻击的最主要目标之一，并且可能是由漏洞利用、配置错误、应用程序漏洞或糟糕的安全实践造成的。这类数据泄露可能涉及不打算公开发布的任何信息类型，例如个人健康信息、财务信息、个人身份信息、商业机密和知识产权等。

云存储数据泄露可能造成的业务影响有：

• 知识产权丢失，被用于其它产品开发、战略计划，甚至发动未来攻击；

• 失去客户、利益相关者、合作伙伴和员工的信任，可能会抑制商业行为、投资和购买，并降低员工在企业工作的意愿；

• 监管更严格，包括财务罚款或流程和业务变更等；

• 地缘政治因素会影响商业行为。

2021年6月，因发生重大用户数据泄露事件，Facebook在欧洲受到起诉，但该事件直到在暗网论坛上发现其有超过5.33亿个账户信息可供免费下载后才被曝光。

• 云存储需要配置良好的环境（SSPM、CSPM）；

• 应用CSP最佳实践指南、监控和检测功能，以检测和防止攻击及数据泄露；

• 需要对员工进行云存储使用安全意识培训，因为数据分散在不同的位置并由不同的角色控制；

• 在适当的情况下实施客户端加密；

• 对数据进行分类并记录事件响应中所采取的措施。