2024年雲端安全十大威脅

2024.08.13

根據雲端安全聯盟(Cloud Security Alliance)發布的《2024年雲端運算十大威脅報告》,過去與雲端服務供應商相關的安全問題的嚴重性正在逐漸降低。配置錯誤、身分與存取管理(IAM)薄弱以及API風險等問題仍是目前雲端安全的重大隱患。

雲端安全威脅的三座大山

報告顯示,自2022年以來,雲端安全問題的嚴峻性並未減少,尤其是配置錯誤、IAM弱點、不安全的應用程式介面(API)這「三座大山」仍牢牢佔據雲端安全威脅榜單的前三名。

「同樣的問題一直位居榜首,可能令人誤以為是安全進展緩慢所致。但廣泛來看,這反映了各組織對這些漏洞的重視,以及他們在建立更安全、彈性雲環境方面的努力。

2024年雲端安全十大威脅排名

根據最新報告,以下問題被列為2024年雲端安全的主要威脅:

  1. 配置錯誤與變更控制不當
  2. 身分與存取管理(IAM)
  3. 不安全的介面與API
  4. 雲端安全策略選擇/實施不當
  5. 不安全的第三方資源
  6. 不安全的軟體開發
  7. 雲端資料外洩
  8. 系統漏洞
  9. 雲的可見度/可觀測性不足
  10. 未認證的資源共享

值得注意的是,一些在2022年排名靠前的問題,如拒絕服務攻擊、共享技術漏洞和CSP資料遺失,在本次報告中排名較低,未進入前十名。

雲端安全未來的四大關鍵趨勢

在新的雲端安全威脅背景下,報告中也探討了雲端運算和雲端安全的四大關鍵趨勢:

  • 攻擊複雜性增加:攻擊者將繼續發展更複雜的技術,包括利用人工智慧(AI)來攻擊雲端環境中的漏洞,這將需要企業採取更積極的安全姿態,並加強持續監控和威脅狩獵能力。
  • 供應鏈風險增加:隨著雲端生態系統的複雜性增加,供應鏈漏洞的攻擊面也將擴大,企業需要將安全措施擴展到其供應商和合作夥伴。
  • 監管環境演變:監管機構預計將實施更嚴格的資料隱私和安全法規,要求企業調整其雲端安全實踐。
  • 勒索軟體即服務(RaaS)崛起:RaaS將使技術不足的攻擊者更容易發動複雜的勒索軟體攻擊,這要求企業擁有強大的資料備份和復原解決方案,並加強存取控制。

雲端安全聯盟技術研究主管Sean Heide指出:「鑑於不斷變化的網路安全環境,企業很難始終保持領先地位,降低財務和聲譽風險。透過關注這些行業內最為關切的威脅、漏洞和風險,企業可以更好地集中資源應對挑戰。