2023年的8大云計算應(yīng)用程序威脅

　　采用動態(tài)軟件開發(fā)生命周期(SDLC)和持續(xù)集成(CI)/持續(xù)部署(CD)管道的數(shù)字化業(yè)務(wù)戰(zhàn)略的企業(yè)正處在一個日益增長的云優(yōu)先世界中。但是，云計算帶來的安全問題越來越多，許多企業(yè)并沒有很好地解決這些問題。這就是為什么將云計算應(yīng)用程序安全性作為首要任務(wù)之一的原因。

　　如今有各種各樣的針對軟件供應(yīng)鏈的網(wǎng)絡(luò)攻擊，云優(yōu)先開發(fā)使網(wǎng)絡(luò)攻擊者更容易做到這一點，而應(yīng)用程序安全團隊則更難檢測到：

　　●豐田公司在2022年成為是數(shù)據(jù)泄露的受害者，起因是一個代碼存儲庫的數(shù)據(jù)對外泄露，其中包括來自近30萬名客戶的個人身份信息(PII)。這是因為包含機密的代碼被意外上傳到一個基于云計算的公共存儲庫。

　　●在豐田公司數(shù)據(jù)泄露的一個月前，CrowdStrike公司發(fā)現(xiàn)了一個廣泛的軟件供應(yīng)鏈攻擊在此前發(fā)布了一個包含惡意木馬軟件的應(yīng)用程序安裝程序。雖然受害者的總數(shù)未知，但該公司在全球擁有超過1.5萬名客戶。

　　●另一個隱藏在云計算資產(chǎn)中的難以檢測的軟件供應(yīng)鏈攻擊的例子是FishPig Magento 2。這是一個下載量超過20萬的插件，Rekoobe木馬攻擊它的電子商務(wù)商店。而強大的應(yīng)用程序安全性(包括云應(yīng)用程序安全性)是發(fā)現(xiàn)和消除此類威脅的必要條件。

　　●LastPass是世界上最大的密碼管理器之一，擁有2500萬用戶，在網(wǎng)絡(luò)攻擊者獲得了開發(fā)人員帳戶憑據(jù)并竊取了一些源代碼后，LastPass的數(shù)據(jù)對外泄露。網(wǎng)絡(luò)攻擊者還訪問了包含LastPass客戶數(shù)據(jù)的備份存儲。

　　2023年需要關(guān)注的8個最關(guān)鍵的云應(yīng)用風險

　　云計算安全威脅正在推動企業(yè)開發(fā)云應(yīng)用程序安全計劃，以應(yīng)對這些新的威脅浪潮。但是，云計算和DevOps等創(chuàng)新對應(yīng)用程序安全性的影響，以及保護日益脆弱的軟件供應(yīng)鏈的需求，需要企業(yè)采用一種新的方法。

　　如果不優(yōu)先考慮云中的安全問題，就會發(fā)生許多現(xiàn)實生活中的例子。本文將討論2023年人們應(yīng)該注意的8個最危險的云應(yīng)用程序安全威脅，并探討在2023年及以后幫助企業(yè)的云計算應(yīng)用程序免受威脅的策略。

　　1.脆弱或過時的組件

　　首先要注意的云安全風險是易受攻擊或過時的組件。這包括開源庫、第三方插件以及未打補丁或過時的軟件開發(fā)生命周期(SDLC)系統(tǒng)。如果維護不當，這些組件可能會引入各種漏洞。因此，保持云計算應(yīng)用程序環(huán)境使用最新版本和補丁是很重要的，這樣可以減少相關(guān)風險。這需要對第三方組件有一定程度的了解。理解和解決與第三方系統(tǒng)相關(guān)的云安全問題(以及其他問題)的最佳方法之一是為盡可能多的外部組件維護軟件物料清單(SBOM)。

　　2.安全配置錯誤

　　安全錯誤配置是最常見的云計算安全威脅之一。這些可能以不適當?shù)纳矸蒡炞C或加密協(xié)議，或不正確的訪問控制設(shè)置的形式出現(xiàn)。為了減少與錯誤配置相關(guān)的云安全問題，定期審計和更新企業(yè)的云應(yīng)用程序開發(fā)環(huán)境以及SDLC系統(tǒng)和工具非常重要。未能做到這一點是泄露的更常見原因之一，對于在云中擁有敏感數(shù)據(jù)和開發(fā)管道的企業(yè)來說，這是一個主要風險。重要的是要實現(xiàn)強大的身份驗證和加密措施來防止數(shù)據(jù)泄露，以及在發(fā)生泄露時制定事件響應(yīng)計劃。

　　3.缺少安全控制和不安全的設(shè)計

　　缺少安全控制，包括靜態(tài)應(yīng)用程序安全測試(SAST)或軟件組合分析(SCA)平臺，以及不安全的產(chǎn)品設(shè)計也會帶來云安全風險。為了減少與安全控制缺失和不安全設(shè)計相關(guān)的風險，有一個全面的云安全策略非常重要，既要確保適當?shù)目刂频轿徊⒄_工作，又要建立和跟蹤整個SDLC的活動，這些活動可以對應(yīng)用程序安全產(chǎn)生積極主動的影響，以減少云計算威脅。這應(yīng)該包括適當?shù)倪^程，例如代碼審查和對開發(fā)人員行為的適當監(jiān)督。在理想情況下，這將促進最終將企業(yè)的開發(fā)人員轉(zhuǎn)變?yōu)榉e極的應(yīng)用程序安全倡導者的行為類型。

　　4.識別/身份驗證失敗和缺少多因素身份驗證

　　識別/身份驗證失敗和缺少多因素身份驗證是對云安全的重大威脅。這些問題可以通過引入健壯的身份和訪問管理系統(tǒng)，以及跨SDLC系統(tǒng)和工具實現(xiàn)和強制所有云計算應(yīng)用程序用戶的雙因素身份驗證來解決。除了防止未經(jīng)授權(quán)的訪問，這些步驟還可以幫助減輕內(nèi)部威脅，例如惡意內(nèi)部人員或云應(yīng)用程序用戶的疏忽行為，這也可能是主要的云安全風險。重要的是要有適當?shù)牧鞒虂砝斫夂涂刂朴脩羯矸蒡炞C和訪問，以便能夠快速檢測和響應(yīng)來自云應(yīng)用程序用戶的任何可疑訪問和活動。

　　5.軟件和數(shù)據(jù)完整性故障

　　軟件和數(shù)據(jù)完整性故障可能是云安全風險的主要來源。當云提供商認為云系統(tǒng)應(yīng)該是什么樣子，而實際是什么樣子時，就會發(fā)生軟件和數(shù)據(jù)完整性故障。換句話說，云計算提供商期望發(fā)生一件事，但實際上發(fā)生了另一件事。這可能是由于軟件編碼錯誤或?qū)υ朴嬎阆到y(tǒng)的惡意攻擊。這些故障可能危及云安全，導致對機密數(shù)據(jù)和服務(wù)的未經(jīng)授權(quán)訪問。此類事件可能導致數(shù)據(jù)損壞、數(shù)據(jù)泄漏，甚至業(yè)務(wù)完全中斷。重要的是要有一個足夠的備份系統(tǒng)，以便從可能發(fā)生的任何數(shù)據(jù)或軟件損壞中恢復。此外，引入額外的加密層和身份驗證措施可以幫助降低與完整性失敗相關(guān)的風險。

　　6.無保護的工件存儲

　　未受保護的SDLC工件存儲可能是一個主要的云安全風險，因為它可能使企業(yè)的云應(yīng)用程序容易受到攻擊。未受保護的工件存儲為網(wǎng)絡(luò)攻擊者提供了訪問敏感數(shù)據(jù)的多種機會，并可能破壞云計算基礎(chǔ)設(shè)施。通過存儲不受保護的工件，企業(yè)面臨惡意行為者獲取源代碼、密碼、密鑰和存儲在基于云計算的存儲庫中的其他機密信息的風險。此外，這些未受保護的工件可能包含可能被網(wǎng)絡(luò)攻擊者利用的漏洞。使用安全的云存儲解決方案并將所有軟件工件存儲在安全的位置，以減少與未受保護的工件存儲相關(guān)的風險，這一點非常重要。

　　7.不受控制的特權(quán)訪問

　　不受控制的特權(quán)訪問是另一個安全風險，因為它可能使企業(yè)的云應(yīng)用程序容易受到惡意行為者的攻擊。獲得對云計算環(huán)境的特權(quán)訪問權(quán)的惡意行為者通過盜竊或破壞對云計算數(shù)據(jù)構(gòu)成嚴重的安全威脅，如果沒有適當?shù)目刂?，這些惡意行為者可能很難被發(fā)現(xiàn)。為了降低這種風險，使用健壯的訪問控制措施并確保所有特權(quán)用戶都具有適當?shù)陌踩珯?quán)限是很重要的。這包括努力對特權(quán)用戶帳戶實施多因素身份驗證，并將特權(quán)訪問權(quán)限限制為僅給那些需要特權(quán)的人。實現(xiàn)強大的安全控制，如加密和雙因素身份驗證，以及定期審計和更新云應(yīng)用程序環(huán)境，是保護企業(yè)免受這些威脅的重要步驟。

　　8.脆弱的持續(xù)集成(CI)/持續(xù)部署(CD)管道

　　易受攻擊的持續(xù)集成(CI)/持續(xù)部署(CD)管道可能會向SDLC引入漏洞和風險，從而導致代價高昂的數(shù)據(jù)泄露、軟件和數(shù)據(jù)完整性故障、業(yè)務(wù)中斷和其他惡意活動。它們可能包括一系列惡意代碼注入攻擊，這些網(wǎng)絡(luò)攻擊可以將包含后門或其他潛在漏洞的軟件交付給最終用戶。代碼簽名等技術(shù)可以防止代碼注入缺陷沿持續(xù)集成(CI)/持續(xù)部署(CD)管道傳播，并阻止生產(chǎn)部署。通過實施強大的身份驗證措施、云計算訪問控制策略和云存儲安全解決方案來保護持續(xù)集成(CI)/持續(xù)部署(CD)管道也很重要。此外，引入額外的加密層和雙因素身份驗證將有助于降低與易受攻擊的CI/CD管道相關(guān)的風險。通過了解與易受攻擊的CI/CD管道相關(guān)的云安全風險，并采取必要的步驟來防范這些風險，企業(yè)可以幫助保護云應(yīng)用程序環(huán)境，并確保其免受攻擊。

　　如何保護云計算應(yīng)用程序代碼

　　云計算應(yīng)用環(huán)境在不斷發(fā)展，云安全風險也在不斷增加。云計算和應(yīng)用程序安全程序必須隨著這些威脅而發(fā)展，這就是了解當前的云安全威脅和防范它們的策略非常重要的原因。首先要準確地評估企業(yè)運營的環(huán)境面臨的云安全風險，并建立風險管理策略，其中包括適當?shù)墓ぞ吆土鞒虂頊p輕這些風險。

　　通過了解以上概述的8種云安全威脅，企業(yè)可以采取主動措施，確保其云應(yīng)用程序的安全性和彈性。本文概述了一些策略，以減少它們對云環(huán)境的潛在影響。通過遵循一些常見的最佳實踐，企業(yè)可以確保在未來幾年擁有安全的云計算應(yīng)用程序環(huán)境。