2024年雲端安全十大威脅

根據雲端安全聯盟（Cloud Security Alliance）發布的《2024年雲端運算十大威脅報告》，過去與雲端服務供應商相關的安全問題的嚴重性正在逐漸降低。配置錯誤、身分與存取管理（IAM）薄弱以及API風險等問題仍是目前雲端安全的重大隱患。

雲端安全威脅的三座大山

報告顯示，自2022年以來，雲端安全問題的嚴峻性並未減少，尤其是配置錯誤、IAM弱點、不安全的應用程式介面（API）這「三座大山」仍牢牢佔據雲端安全威脅榜單的前三名。

「同樣的問題一直位居榜首，可能令人誤以為是安全進展緩慢所致。但廣泛來看，這反映了各組織對這些漏洞的重視，以及他們在建立更安全、彈性雲環境方面的努力。

2024年雲端安全十大威脅排名

根據最新報告，以下問題被列為2024年雲端安全的主要威脅：

1. 配置錯誤與變更控制不當
2. 身分與存取管理（IAM）
3. 不安全的介面與API
4. 雲端安全策略選擇/實施不當
5. 不安全的第三方資源
6. 不安全的軟體開發
7. 雲端資料外洩
8. 系統漏洞
9. 雲的可見度/可觀測性不足
10. 未認證的資源共享

值得注意的是，一些在2022年排名靠前的問題，如拒絕服務攻擊、共享技術漏洞和CSP資料遺失，在本次報告中排名較低，未進入前十名。

雲端安全未來的四大關鍵趨勢

在新的雲端安全威脅背景下，報告中也探討了雲端運算和雲端安全的四大關鍵趨勢：

• 攻擊複雜性增加：攻擊者將繼續發展更複雜的技術，包括利用人工智慧（AI）來攻擊雲端環境中的漏洞，這將需要企業採取更積極的安全姿態，並加強持續監控和威脅狩獵能力。
• 供應鏈風險增加：隨著雲端生態系統的複雜性增加，供應鏈漏洞的攻擊面也將擴大，企業需要將安全措施擴展到其供應商和合作夥伴。
• 監管環境演變：監管機構預計將實施更嚴格的資料隱私和安全法規，要求企業調整其雲端安全實踐。
• 勒索軟體即服務（RaaS）崛起：RaaS將使技術不足的攻擊者更容易發動複雜的勒索軟體攻擊，這要求企業擁有強大的資料備份和復原解決方案，並加強存取控制。

雲端安全聯盟技術研究主管Sean Heide指出：「鑑於不斷變化的網路安全環境，企業很難始終保持領先地位，降低財務和聲譽風險。透過關注這些行業內最為關切的威脅、漏洞和風險，企業可以更好地集中資源應對挑戰。