专家对关键云安全风险发出警报

过去十年，云计算的加速采用开启了新的业务敏捷性、可扩展性和成本效率水平。然而，安全性一直难以跟上云创新的快速步伐。错误配置、易受攻击的服务、高级恶意软件和庞大的规模都给云安全带来了漏洞。

Qualys 的一份新报告重点介绍了组织在采用云计算模型时面临的关键安全问题。2023 年 Qualys TotalCloud Security Insights 报告提供了数据支持的见解，涉及云环境中的主要漏洞、持续威胁和补救挑战。

云配置错误猖獗

云配置错误猖獗

报告称，云配置的复杂性日益增加，而许多组织缺乏跟上这一步伐的专业知识。结果是配置错误的控制导致数据暴露。该报告将错误配置与 MITRE ATT&CK 策略进行了映射，结果显示侦察等早期攻击阶段的通过率较高，而后期更危险的策略的失败率更高。

研究显示，亚马逊网络服务 (AWS)、微软 Azure 和谷歌云平台 (GCP) 的安全配置基准测试失败率高达 34-60%，如下图所示：

Keeper Security 产品主管 Zane Bond 与 SecureWorld News 讨论了这些发现：

SecureWorld News

“如今，对云基础设施的大多数成功攻击都源于同一个原因：配置错误。

亚马逊网络服务 (AWS)、谷歌云平台 (GCP) 和 Azure 不断升级和改进其安全建议。但是，这些组件并非总是得到正确实施或监控。

外部云资产面临持续威胁

外部云资产面临持续威胁

令人震惊的是，数据显示，这些面向互联网的资产上约 51% 的漏洞仍未得到修补。最大的外部威胁包括已知的关键漏洞和零日漏洞：