2023年的8大云計算應用程序威脅

　　采用動態軟件開發生命周期(SDLC)和持續集成(CI)/持續部署(CD)管道的數字化業務戰略的企業正處在一個日益增長的云優先世界中。但是，云計算帶來的安全問題越來越多，許多企業并沒有很好地解決這些問題。這就是為什么將云計算應用程序安全性作為首要任務之一的原因。

　　如今有各種各樣的針對軟件供應鏈的網絡攻擊，云優先開發使網絡攻擊者更容易做到這一點，而應用程序安全團隊則更難檢測到：

　　●豐田公司在2022年成為是數據泄露的受害者，起因是一個代碼存儲庫的數據對外泄露，其中包括來自近30萬名客戶的個人身份信息(PII)。這是因為包含機密的代碼被意外上傳到一個基于云計算的公共存儲庫。

　　●在豐田公司數據泄露的一個月前，CrowdStrike公司發現了一個廣泛的軟件供應鏈攻擊在此前發布了一個包含惡意木馬軟件的應用程序安裝程序。雖然受害者的總數未知，但該公司在全球擁有超過1.5萬名客戶。

　　●另一個隱藏在云計算資產中的難以檢測的軟件供應鏈攻擊的例子是FishPig Magento 2。這是一個下載量超過20萬的插件，Rekoobe木馬攻擊它的電子商務商店。而強大的應用程序安全性(包括云應用程序安全性)是發現和消除此類威脅的必要條件。

　　●LastPass是世界上最大的密碼管理器之一，擁有2500萬用戶，在網絡攻擊者獲得了開發人員帳戶憑據并竊取了一些源代碼后，LastPass的數據對外泄露。網絡攻擊者還訪問了包含LastPass客戶數據的備份存儲。

　　2023年需要關注的8個最關鍵的云應用風險

　　云計算安全威脅正在推動企業開發云應用程序安全計劃，以應對這些新的威脅浪潮。但是，云計算和DevOps等創新對應用程序安全性的影響，以及保護日益脆弱的軟件供應鏈的需求，需要企業采用一種新的方法。

　　如果不優先考慮云中的安全問題，就會發生許多現實生活中的例子。本文將討論2023年人們應該注意的8個最危險的云應用程序安全威脅，并探討在2023年及以后幫助企業的云計算應用程序免受威脅的策略。

　　1.脆弱或過時的組件

　　首先要注意的云安全風險是易受攻擊或過時的組件。這包括開源庫、第三方插件以及未打補丁或過時的軟件開發生命周期(SDLC)系統。如果維護不當，這些組件可能會引入各種漏洞。因此，保持云計算應用程序環境使用最新版本和補丁是很重要的，這樣可以減少相關風險。這需要對第三方組件有一定程度的了解。理解和解決與第三方系統相關的云安全問題(以及其他問題)的最佳方法之一是為盡可能多的外部組件維護軟件物料清單(SBOM)。

　　2.安全配置錯誤

　　安全錯誤配置是最常見的云計算安全威脅之一。這些可能以不適當的身份驗證或加密協議，或不正確的訪問控制設置的形式出現。為了減少與錯誤配置相關的云安全問題，定期審計和更新企業的云應用程序開發環境以及SDLC系統和工具非常重要。未能做到這一點是泄露的更常見原因之一，對于在云中擁有敏感數據和開發管道的企業來說，這是一個主要風險。重要的是要實現強大的身份驗證和加密措施來防止數據泄露，以及在發生泄露時制定事件響應計劃。

　　3.缺少安全控制和不安全的設計

　　缺少安全控制，包括靜態應用程序安全測試(SAST)或軟件組合分析(SCA)平臺，以及不安全的產品設計也會帶來云安全風險。為了減少與安全控制缺失和不安全設計相關的風險，有一個全面的云安全策略非常重要，既要確保適當的控制到位并正確工作，又要建立和跟蹤整個SDLC的活動，這些活動可以對應用程序安全產生積極主動的影響，以減少云計算威脅。這應該包括適當的過程，例如代碼審查和對開發人員行為的適當監督。在理想情況下，這將促進最終將企業的開發人員轉變為積極的應用程序安全倡導者的行為類型。

　　4.識別/身份驗證失敗和缺少多因素身份驗證

　　識別/身份驗證失敗和缺少多因素身份驗證是對云安全的重大威脅。這些問題可以通過引入健壯的身份和訪問管理系統，以及跨SDLC系統和工具實現和強制所有云計算應用程序用戶的雙因素身份驗證來解決。除了防止未經授權的訪問，這些步驟還可以幫助減輕內部威脅，例如惡意內部人員或云應用程序用戶的疏忽行為，這也可能是主要的云安全風險。重要的是要有適當的流程來理解和控制用戶身份驗證和訪問，以便能夠快速檢測和響應來自云應用程序用戶的任何可疑訪問和活動。

　　5.軟件和數據完整性故障

　　軟件和數據完整性故障可能是云安全風險的主要來源。當云提供商認為云系統應該是什么樣子，而實際是什么樣子時，就會發生軟件和數據完整性故障。換句話說，云計算提供商期望發生一件事，但實際上發生了另一件事。這可能是由于軟件編碼錯誤或對云計算系統的惡意攻擊。這些故障可能危及云安全，導致對機密數據和服務的未經授權訪問。此類事件可能導致數據損壞、數據泄漏，甚至業務完全中斷。重要的是要有一個足夠的備份系統，以便從可能發生的任何數據或軟件損壞中恢復。此外，引入額外的加密層和身份驗證措施可以幫助降低與完整性失敗相關的風險。

　　6.無保護的工件存儲

　　未受保護的SDLC工件存儲可能是一個主要的云安全風險，因為它可能使企業的云應用程序容易受到攻擊。未受保護的工件存儲為網絡攻擊者提供了訪問敏感數據的多種機會，并可能破壞云計算基礎設施。通過存儲不受保護的工件，企業面臨惡意行為者獲取源代碼、密碼、密鑰和存儲在基于云計算的存儲庫中的其他機密信息的風險。此外，這些未受保護的工件可能包含可能被網絡攻擊者利用的漏洞。使用安全的云存儲解決方案并將所有軟件工件存儲在安全的位置，以減少與未受保護的工件存儲相關的風險，這一點非常重要。

　　7.不受控制的特權訪問

　　不受控制的特權訪問是另一個安全風險，因為它可能使企業的云應用程序容易受到惡意行為者的攻擊。獲得對云計算環境的特權訪問權的惡意行為者通過盜竊或破壞對云計算數據構成嚴重的安全威脅，如果沒有適當的控制，這些惡意行為者可能很難被發現。為了降低這種風險，使用健壯的訪問控制措施并確保所有特權用戶都具有適當的安全權限是很重要的。這包括努力對特權用戶帳戶實施多因素身份驗證，并將特權訪問權限限制為僅給那些需要特權的人。實現強大的安全控制，如加密和雙因素身份驗證，以及定期審計和更新云應用程序環境，是保護企業免受這些威脅的重要步驟。

　　8.脆弱的持續集成(CI)/持續部署(CD)管道

　　易受攻擊的持續集成(CI)/持續部署(CD)管道可能會向SDLC引入漏洞和風險，從而導致代價高昂的數據泄露、軟件和數據完整性故障、業務中斷和其他惡意活動。它們可能包括一系列惡意代碼注入攻擊，這些網絡攻擊可以將包含后門或其他潛在漏洞的軟件交付給最終用戶。代碼簽名等技術可以防止代碼注入缺陷沿持續集成(CI)/持續部署(CD)管道傳播，并阻止生產部署。通過實施強大的身份驗證措施、云計算訪問控制策略和云存儲安全解決方案來保護持續集成(CI)/持續部署(CD)管道也很重要。此外，引入額外的加密層和雙因素身份驗證將有助于降低與易受攻擊的CI/CD管道相關的風險。通過了解與易受攻擊的CI/CD管道相關的云安全風險，并采取必要的步驟來防范這些風險，企業可以幫助保護云應用程序環境，并確保其免受攻擊。

　　如何保護云計算應用程序代碼

　　云計算應用環境在不斷發展，云安全風險也在不斷增加。云計算和應用程序安全程序必須隨著這些威脅而發展，這就是了解當前的云安全威脅和防范它們的策略非常重要的原因。首先要準確地評估企業運營的環境面臨的云安全風險，并建立風險管理策略，其中包括適當的工具和流程來減輕這些風險。

　　通過了解以上概述的8種云安全威脅，企業可以采取主動措施，確保其云應用程序的安全性和彈性。本文概述了一些策略，以減少它們對云環境的潛在影響。通過遵循一些常見的最佳實踐，企業可以確保在未來幾年擁有安全的云計算應用程序環境。