2023年的8大云計(jì)算應(yīng)用程序威脅

　　采用動(dòng)態(tài)軟件開發(fā)生命周期(SDLC)和持續(xù)集成(CI)/持續(xù)部署(CD)管道的數(shù)字化業(yè)務(wù)戰(zhàn)略的企業(yè)正處在一個(gè)日益增長的云優(yōu)先世界中。但是，云計(jì)算帶來的安全問題越來越多，許多企業(yè)并沒有很好地解決這些問題。這就是為什么將云計(jì)算應(yīng)用程序安全性作為首要任務(wù)之一的原因。

　　如今有各種各樣的針對軟件供應(yīng)鏈的網(wǎng)絡(luò)攻擊，云優(yōu)先開發(fā)使網(wǎng)絡(luò)攻擊者更容易做到這一點(diǎn)，而應(yīng)用程序安全團(tuán)隊(duì)則更難檢測到：

　　●豐田公司在2022年成為是數(shù)據(jù)泄露的受害者，起因是一個(gè)代碼存儲(chǔ)庫的數(shù)據(jù)對外泄露，其中包括來自近30萬名客戶的個(gè)人身份信息(PII)。這是因?yàn)榘瑱C(jī)密的代碼被意外上傳到一個(gè)基于云計(jì)算的公共存儲(chǔ)庫。

　　●在豐田公司數(shù)據(jù)泄露的一個(gè)月前，CrowdStrike公司發(fā)現(xiàn)了一個(gè)廣泛的軟件供應(yīng)鏈攻擊在此前發(fā)布了一個(gè)包含惡意木馬軟件的應(yīng)用程序安裝程序。雖然受害者的總數(shù)未知，但該公司在全球擁有超過1.5萬名客戶。

　　●另一個(gè)隱藏在云計(jì)算資產(chǎn)中的難以檢測的軟件供應(yīng)鏈攻擊的例子是FishPig Magento 2。這是一個(gè)下載量超過20萬的插件，Rekoobe木馬攻擊它的電子商務(wù)商店。而強(qiáng)大的應(yīng)用程序安全性(包括云應(yīng)用程序安全性)是發(fā)現(xiàn)和消除此類威脅的必要條件。

　　●LastPass是世界上最大的密碼管理器之一，擁有2500萬用戶，在網(wǎng)絡(luò)攻擊者獲得了開發(fā)人員帳戶憑據(jù)并竊取了一些源代碼后，LastPass的數(shù)據(jù)對外泄露。網(wǎng)絡(luò)攻擊者還訪問了包含LastPass客戶數(shù)據(jù)的備份存儲(chǔ)。

　　2023年需要關(guān)注的8個(gè)最關(guān)鍵的云應(yīng)用風(fēng)險(xiǎn)

　　云計(jì)算安全威脅正在推動(dòng)企業(yè)開發(fā)云應(yīng)用程序安全計(jì)劃，以應(yīng)對這些新的威脅浪潮。但是，云計(jì)算和DevOps等創(chuàng)新對應(yīng)用程序安全性的影響，以及保護(hù)日益脆弱的軟件供應(yīng)鏈的需求，需要企業(yè)采用一種新的方法。

　　如果不優(yōu)先考慮云中的安全問題，就會(huì)發(fā)生許多現(xiàn)實(shí)生活中的例子。本文將討論2023年人們應(yīng)該注意的8個(gè)最危險(xiǎn)的云應(yīng)用程序安全威脅，并探討在2023年及以后幫助企業(yè)的云計(jì)算應(yīng)用程序免受威脅的策略。

　　1.脆弱或過時(shí)的組件

　　首先要注意的云安全風(fēng)險(xiǎn)是易受攻擊或過時(shí)的組件。這包括開源庫、第三方插件以及未打補(bǔ)丁或過時(shí)的軟件開發(fā)生命周期(SDLC)系統(tǒng)。如果維護(hù)不當(dāng)，這些組件可能會(huì)引入各種漏洞。因此，保持云計(jì)算應(yīng)用程序環(huán)境使用最新版本和補(bǔ)丁是很重要的，這樣可以減少相關(guān)風(fēng)險(xiǎn)。這需要對第三方組件有一定程度的了解。理解和解決與第三方系統(tǒng)相關(guān)的云安全問題(以及其他問題)的最佳方法之一是為盡可能多的外部組件維護(hù)軟件物料清單(SBOM)。

　　2.安全配置錯(cuò)誤

　　安全錯(cuò)誤配置是最常見的云計(jì)算安全威脅之一。這些可能以不適當(dāng)?shù)纳矸蒡?yàn)證或加密協(xié)議，或不正確的訪問控制設(shè)置的形式出現(xiàn)。為了減少與錯(cuò)誤配置相關(guān)的云安全問題，定期審計(jì)和更新企業(yè)的云應(yīng)用程序開發(fā)環(huán)境以及SDLC系統(tǒng)和工具非常重要。未能做到這一點(diǎn)是泄露的更常見原因之一，對于在云中擁有敏感數(shù)據(jù)和開發(fā)管道的企業(yè)來說，這是一個(gè)主要風(fēng)險(xiǎn)。重要的是要實(shí)現(xiàn)強(qiáng)大的身份驗(yàn)證和加密措施來防止數(shù)據(jù)泄露，以及在發(fā)生泄露時(shí)制定事件響應(yīng)計(jì)劃。

　　3.缺少安全控制和不安全的設(shè)計(jì)

　　缺少安全控制，包括靜態(tài)應(yīng)用程序安全測試(SAST)或軟件組合分析(SCA)平臺，以及不安全的產(chǎn)品設(shè)計(jì)也會(huì)帶來云安全風(fēng)險(xiǎn)。為了減少與安全控制缺失和不安全設(shè)計(jì)相關(guān)的風(fēng)險(xiǎn)，有一個(gè)全面的云安全策略非常重要，既要確保適當(dāng)?shù)目刂频轿徊⒄_工作，又要建立和跟蹤整個(gè)SDLC的活動(dòng)，這些活動(dòng)可以對應(yīng)用程序安全產(chǎn)生積極主動(dòng)的影響，以減少云計(jì)算威脅。這應(yīng)該包括適當(dāng)?shù)倪^程，例如代碼審查和對開發(fā)人員行為的適當(dāng)監(jiān)督。在理想情況下，這將促進(jìn)最終將企業(yè)的開發(fā)人員轉(zhuǎn)變?yōu)榉e極的應(yīng)用程序安全倡導(dǎo)者的行為類型。

　　4.識別/身份驗(yàn)證失敗和缺少多因素身份驗(yàn)證

　　識別/身份驗(yàn)證失敗和缺少多因素身份驗(yàn)證是對云安全的重大威脅。這些問題可以通過引入健壯的身份和訪問管理系統(tǒng)，以及跨SDLC系統(tǒng)和工具實(shí)現(xiàn)和強(qiáng)制所有云計(jì)算應(yīng)用程序用戶的雙因素身份驗(yàn)證來解決。除了防止未經(jīng)授權(quán)的訪問，這些步驟還可以幫助減輕內(nèi)部威脅，例如惡意內(nèi)部人員或云應(yīng)用程序用戶的疏忽行為，這也可能是主要的云安全風(fēng)險(xiǎn)。重要的是要有適當(dāng)?shù)牧鞒虂砝斫夂涂刂朴脩羯矸蒡?yàn)證和訪問，以便能夠快速檢測和響應(yīng)來自云應(yīng)用程序用戶的任何可疑訪問和活動(dòng)。

　　5.軟件和數(shù)據(jù)完整性故障

　　軟件和數(shù)據(jù)完整性故障可能是云安全風(fēng)險(xiǎn)的主要來源。當(dāng)云提供商認(rèn)為云系統(tǒng)應(yīng)該是什么樣子，而實(shí)際是什么樣子時(shí)，就會(huì)發(fā)生軟件和數(shù)據(jù)完整性故障。換句話說，云計(jì)算提供商期望發(fā)生一件事，但實(shí)際上發(fā)生了另一件事。這可能是由于軟件編碼錯(cuò)誤或?qū)υ朴?jì)算系統(tǒng)的惡意攻擊。這些故障可能危及云安全，導(dǎo)致對機(jī)密數(shù)據(jù)和服務(wù)的未經(jīng)授權(quán)訪問。此類事件可能導(dǎo)致數(shù)據(jù)損壞、數(shù)據(jù)泄漏，甚至業(yè)務(wù)完全中斷。重要的是要有一個(gè)足夠的備份系統(tǒng)，以便從可能發(fā)生的任何數(shù)據(jù)或軟件損壞中恢復(fù)。此外，引入額外的加密層和身份驗(yàn)證措施可以幫助降低與完整性失敗相關(guān)的風(fēng)險(xiǎn)。

　　6.無保護(hù)的工件存儲(chǔ)

　　未受保護(hù)的SDLC工件存儲(chǔ)可能是一個(gè)主要的云安全風(fēng)險(xiǎn)，因?yàn)樗赡苁蛊髽I(yè)的云應(yīng)用程序容易受到攻擊。未受保護(hù)的工件存儲(chǔ)為網(wǎng)絡(luò)攻擊者提供了訪問敏感數(shù)據(jù)的多種機(jī)會(huì)，并可能破壞云計(jì)算基礎(chǔ)設(shè)施。通過存儲(chǔ)不受保護(hù)的工件，企業(yè)面臨惡意行為者獲取源代碼、密碼、密鑰和存儲(chǔ)在基于云計(jì)算的存儲(chǔ)庫中的其他機(jī)密信息的風(fēng)險(xiǎn)。此外，這些未受保護(hù)的工件可能包含可能被網(wǎng)絡(luò)攻擊者利用的漏洞。使用安全的云存儲(chǔ)解決方案并將所有軟件工件存儲(chǔ)在安全的位置，以減少與未受保護(hù)的工件存儲(chǔ)相關(guān)的風(fēng)險(xiǎn)，這一點(diǎn)非常重要。

　　7.不受控制的特權(quán)訪問

　　不受控制的特權(quán)訪問是另一個(gè)安全風(fēng)險(xiǎn)，因?yàn)樗赡苁蛊髽I(yè)的云應(yīng)用程序容易受到惡意行為者的攻擊。獲得對云計(jì)算環(huán)境的特權(quán)訪問權(quán)的惡意行為者通過盜竊或破壞對云計(jì)算數(shù)據(jù)構(gòu)成嚴(yán)重的安全威脅，如果沒有適當(dāng)?shù)目刂?，這些惡意行為者可能很難被發(fā)現(xiàn)。為了降低這種風(fēng)險(xiǎn)，使用健壯的訪問控制措施并確保所有特權(quán)用戶都具有適當(dāng)?shù)陌踩珯?quán)限是很重要的。這包括努力對特權(quán)用戶帳戶實(shí)施多因素身份驗(yàn)證，并將特權(quán)訪問權(quán)限限制為僅給那些需要特權(quán)的人。實(shí)現(xiàn)強(qiáng)大的安全控制，如加密和雙因素身份驗(yàn)證，以及定期審計(jì)和更新云應(yīng)用程序環(huán)境，是保護(hù)企業(yè)免受這些威脅的重要步驟。

　　8.脆弱的持續(xù)集成(CI)/持續(xù)部署(CD)管道

　　易受攻擊的持續(xù)集成(CI)/持續(xù)部署(CD)管道可能會(huì)向SDLC引入漏洞和風(fēng)險(xiǎn)，從而導(dǎo)致代價(jià)高昂的數(shù)據(jù)泄露、軟件和數(shù)據(jù)完整性故障、業(yè)務(wù)中斷和其他惡意活動(dòng)。它們可能包括一系列惡意代碼注入攻擊，這些網(wǎng)絡(luò)攻擊可以將包含后門或其他潛在漏洞的軟件交付給最終用戶。代碼簽名等技術(shù)可以防止代碼注入缺陷沿持續(xù)集成(CI)/持續(xù)部署(CD)管道傳播，并阻止生產(chǎn)部署。通過實(shí)施強(qiáng)大的身份驗(yàn)證措施、云計(jì)算訪問控制策略和云存儲(chǔ)安全解決方案來保護(hù)持續(xù)集成(CI)/持續(xù)部署(CD)管道也很重要。此外，引入額外的加密層和雙因素身份驗(yàn)證將有助于降低與易受攻擊的CI/CD管道相關(guān)的風(fēng)險(xiǎn)。通過了解與易受攻擊的CI/CD管道相關(guān)的云安全風(fēng)險(xiǎn)，并采取必要的步驟來防范這些風(fēng)險(xiǎn)，企業(yè)可以幫助保護(hù)云應(yīng)用程序環(huán)境，并確保其免受攻擊。

　　如何保護(hù)云計(jì)算應(yīng)用程序代碼

　　云計(jì)算應(yīng)用環(huán)境在不斷發(fā)展，云安全風(fēng)險(xiǎn)也在不斷增加。云計(jì)算和應(yīng)用程序安全程序必須隨著這些威脅而發(fā)展，這就是了解當(dāng)前的云安全威脅和防范它們的策略非常重要的原因。首先要準(zhǔn)確地評估企業(yè)運(yùn)營的環(huán)境面臨的云安全風(fēng)險(xiǎn)，并建立風(fēng)險(xiǎn)管理策略，其中包括適當(dāng)?shù)墓ぞ吆土鞒虂頊p輕這些風(fēng)險(xiǎn)。

　　通過了解以上概述的8種云安全威脅，企業(yè)可以采取主動(dòng)措施，確保其云應(yīng)用程序的安全性和彈性。本文概述了一些策略，以減少它們對云環(huán)境的潛在影響。通過遵循一些常見的最佳實(shí)踐，企業(yè)可以確保在未來幾年擁有安全的云計(jì)算應(yīng)用程序環(huán)境。