2025年云计算核心威胁深度剖析报告

关于顶级威胁工作组 云计算改变了企业和政府，以前所未有的速度创造了新的安全挑战。云服务模型的发展比以往任何时候都更有效地提供支持业务的技术。从传统的客户端/服务器转向云服务模型，改变了技术部门对计算技术和应用程序的思考、设计和交付方式。 云迁移相关的安全问题仍在浮现。云安全联盟（CSA）主要威胁工作组旨在向组织提供关于云安全风险、威胁和漏洞的最新、由专家提供信息理解，以便就云计算、服务和软件做出明智的风险管理和技术决策。 案例研究项目起源 自2010年以来，CSA云计算的顶级威胁一项调查驱动的报告填补了重要空白，提供了对最新云威胁、风险和漏洞的行业见解。然而，安全专业人士认识到，报告中列出的顶级云担忧只是更大图景的一部分。云专家、调查应答者和行业参与者的集体担忧和反思未能反映现实世界的影响和损失。这项于2019年黑帽美国会议宣布的主要威胁工作组发布了名为“深度解析”的双年云事故案例研究文档，作为云风险评估的配套文件。 深度探索试图阐述云计算最重大和紧迫的问题。这项工作通过反思现实世界中的攻击和漏洞来补充关于顶级威胁的持续研究。主要威胁工作组描述了更多与技术细节相关的架构、合规性、风险等方面的内容。我们希望这些数据以及对近期云安全事件的分析能够帮助云防御者、供应商、当局和用户针对主要的云风险采取有意义的行动。深入探索应该能够增强对现实场景中使云系统和服务的安全性得到提升的关键考虑因素的信心和赞赏。 目标受众 云和安全从业者或爱好者将受益于这份出版物，了解最新的实际状况。案例研究的时效性使云安全威胁和挑战保持相关，并展示了特定行业参与者的影响和改进。深入的入侵分析将使合规、风险和技术人员具备以安全为导向的业务考虑因素。最后，包括关键要点、趋势观察和业务影响等战略见解，将帮助高层管理人员进行云韧性规划和调整云投资。 你会发现什么 此文档使用 csa2024云计算主要威胁调查分析为了反映现实世界的云安全事件，本文采用调查分析来识别主要威胁，指导识别八近期高调的真实世界云攻击和入侵事件。每个入侵案例都以(1)威胁模型和(2)简洁且易于参考的详细叙述方式呈现。威胁模型格式提供了恶意行为者的攻击风格概要，范围涵盖威胁、漏洞到控制措施和缓解措施。 云安全联盟顶级威胁研究的永久和官方位置：https://cloudsecurityalliance.org/research/working-groups/top-threats/ © 2025 云计算安全联盟 – 版权所有。您可根据以下条件下载、存储、在您的计算机上显示、查看、打印并链接到 Cloud Security Alliance（https://cloudsecurityalliance.org）：(a) 草稿仅供您个人信息、非商业用途使用；(b) 草稿不得以任何方式修改或更改；(c) 草稿不得重新分发；(d) 商标、版权或其他声明不得删除。根据美国版权法案的合理使用条款，您可以将草稿的某些部分引用为 Cloud Security Alliance 所有权。 我们鼓励安全实践者和技术领导者使用安全事件案例研究以及相关见解来开展他们自己的内部分析、比较和讨论。读者应该借鉴威胁、控制和考虑因素方面的相似之处来改进准备工作，并获得更快的响应。长篇叙述提供了额外的背景信息，例如事件是如何发生的以及应该如何减轻事件的影响。参考文献为额外的调查研究提供了机会。我们在没有公开讨论的细节（例如影响或减轻措施）的地方，详细阐述了预期的结果和可能性。 CSA 主要威胁工作组祝您未来成功 执行摘要 观测 上表反映了我们对真实世界云泄露的分析，并根据它们在我们的案例研究中出现的频率来对安全威胁进行分类。这些威胁根据其观察到的发生频率被分为三个等级。下一节以结构化的格式呈现这些发现，有助于说明在所审查的泄露案例中哪些威胁最常见。 摘要 第一级 - 最频繁（4至7次出现）-跨事件最常观察到的安全威胁。• IAM — 弱访问控制、缺少多因素认证（MFA）以及权限提升导致未经授权的访问。•配置错误和变更控制不足——安全设置不当的云环境导致数据暴露时间过长。•不安全的软件开发 - 软件开发、交付和部署实践薄弱，引入了攻击者利用的安全漏洞。 这云计算顶级威胁深度解析分析八近期行业云安全泄露案例。我们得出可行的见解，以惠及云用户、构建者和防御者。在下一部分中，我们分享适用的云控制矩阵（CCM版本4.1）控制措施和关键领会见解，为读者提供针对每个案例的威胁模型。与每个适用的2024年云计算的主要威胁将每个案例与年度挂钩主要威胁行业调查。 在本文中，我们分析了并发送了这些违规案例的威胁模式雪花客户数据泄露(2024),澳大利亚足球(2024),CrowdStrike(2024),丰田(2023), Darkbeam (2023),重装 & 堡垒(2023),FTX(2022年)，且微软(2024). 二级 - 显著（3次出场）–这些威胁出现在多个案例中，代表重要的安全问题。•不安全的接口和API——在多个事件中，公开暴露或安全性薄弱的API被用作攻击向量。•云安全策略选择/实施不足 – 缺乏明确云安全策略的组织面临治理和风险管理挑战。•系统漏洞——未修复的软件和过时的配置导致了安全漏洞。 我们的分析产生了关于目前经常观察到存在的差距的观察结果、身份和访问管理以及供应链风险对云安全日益增长的影响、针对云服务的威胁行为者的特征变化，以及最重要的是，云用户、构建者和防御者可以实施的要点以进一步提高弹性。 三级 - 较少出现 (1次或2次) – 观察到的威胁频率较低，但仍然相关。•有限的云可见性/可观察性 – 由于云配置中的人为错误导致敏感数据的无意泄露。 •未经身份验证的资源共享——公开可访问的云资源（例如，机密或敏感数据）增加了未经授权访问的风险。•不安全的第三方资源——供应链风险强化了主动进行供应商安全评估和持续监控的必要性。•APT——威胁行为者利用凭证盗窃、权限提升和横向移动。 云主要威胁覆盖 In the2024年云计算的主要威胁调查，我们调查了超过500名云计算行业安全问题的专家。我们的受访者确定了他们云环境中的11个重要安全问题（按调查中显示的关注程度排序）： 下表比较了2024年云计算的主要威胁一项根据这份 Deep Dive 2024-2025 报告发现进行的调查。调查栏根据识别每个问题为首要关注点的受访者数量对云安全问题进行排名。这项调查作为选择在 Deep Dive 中探讨哪些问题的输入。 与调查栏目不同，深度分析栏目展示了在分析选定的安全事件时，每个问题出现的频率。虽然调查反映了感知的重要性，但深度分析反映了每个问题在事件中出现的频率。由于许多事件涉及多个促成问题，深度分析中的顺序与原始调查排名不同。 今年涉及的违规案件中，最突出的云安全担忧表现为： 致谢 关键要点 所概述的漏洞、威胁和安全弱点2024年云计算的主要威胁已在真实世界的漏洞中实现，暴露了攻击者持续利用的反复失败模式和配置错误。通过分析这些事件，我们已经确定了组织可以今天的采用的可行动的教训，以增强云安全性和降低漏洞风险。 顶级威胁工作组联合主席 评论家 赛维·维什nu·瓦德汉·马查帕蒂·拉克希米·拉姆亚·古迪梅拉·阿南塔·文卡塔·兰格尔·罗德里格斯·巴维亚·贾因·萨希尔·帕玛尔·哈里·宛·希瓦·帕蒂·达尔尼莎·纳拉斯帕普蒂·维什nu·马查帕蒂·摩根·金·拉吉夫·德万 Jon-Michael C. 布鲁克 Alexander 石 Getsin 哈格里夫斯 Michael 洛扎 云安全必须考虑人为错误和持续威胁•云架构和安全策略必须假设误配置和人为错误会发生，因为威胁行为者试图利用它们。 •持续改进需要持续审计、安全自动化、安全意识活动，以及整合从过往事件中吸取的教训。 身份与访问安全控制至关重要•强化的iam实践,包括mfa、最小权限访问控制,以及特权访问管理(pam)必须得到严格执行。 主要作者 •过度权限、弱身份验证和糟糕的访问控制策略通常在漏洞中启用横向移动和权限提升。 约翰·迈克尔·布鲁克 隆达尔·布鲁克斯 亚历山大·斯通 格斯因拉乌拉·肯纳 迈克尔·莫根施滕摩根·罗扎 谢尔·斯泰恩 马克·萨尔凯维奇 •云安全中的共同责任必须得到执行 CSA员工 云服务提供商和用户必须共同努力，通过实施配置管理、访问控制和安全监控来保护他们的环境。供应商应当推广安全默认设置，强制执行强配置，并主动检测云服务中的滥用行为。 亚历克斯·卡卢扎 克莱尔·莱纳特 斯蒂芬·吕姆普 塞思·史密斯 •持续监控和实时检测至关重要 自动监控、异常检测和集中式日志记录对于快速识别错误配置、未经授权的访问和恶意活动是必要的。由于缺乏可见性和警报/通知，许多云泄露在很长时间内未被检测到。 贡献者 辛加·阿姆比卡帕蒂·萨拉·法恩斯沃斯·乌迪特·维克拉马苏里亚·瓦特萨尔·古普塔·萨蒂什·霍拉·阿坎ша·查特鲁维迪·萨克希·米塔尔·潘卡杰·库马尔·帕特里克·圣·图利阿斯·萨希尔·迪尔 特别感谢 供应链安全必须加强•攻击者针对供应链、开源组件和第三方集成的弱点，以入侵云环境。 •组织必须评估供应商安全，执行严格的安全要求，并持续监控依赖项以防潜在威胁。 The主要威胁工作组表示感谢肖恩·海德六年支持,通过此项目及多个先前出版物。 主动云治理降低长期风险•治理薄弱，缺乏持续的错误配置审查以及合规性监控，使安全漏洞持续存在数年。 •组织必须执行云安全策略，维护安全配置基线，并开展定期治理审查，以确保及时修复安全风险，符合GDPR和HIPAA等法规的要求。 目录 事件响应和恢复必须是云特定的•传统的应急响应计划未能考虑到云的复杂性，导致检测和缓解延迟。 •组织必须强制执行云安全策略，维护安全的配置基线，并定期进行治理审查，以确保按照数据保护和行业特定法规（例如 GDPR 和 HIPAA）及时修复安全风险。 前言......................................................................................................................................................3 执行摘要.......................................................................................................................................4 致谢......................................................................................................................................7 面对顶尖威胁....................................................................................................................................8 案例研究...............................................................................................................................................10雪flake | 2024...........................................................................................................