2024年云计算顶级威胁.pdf

3

序言

随着云计算的快速普及，云安全已成为企业数字化转型过程中不可忽视的核心问题。

云环境的开放性、多样性和复杂性，给企业带来了前所未有的安全挑战，而其中的威胁

正不断演变。为了帮助企业更好地理解并应对这些威胁，云安全联盟（CSA）大中华区

发布了《2024年云计算顶级威胁》。本报告基于500多位全球专家的调研与分析，深入

剖析了当今企业面临的云安全风险，并为应对这些挑战提供了切实可行的策略建议。

2024年，云计算领域的安全威胁格局将发生显著变化。我们看到，传统威胁正在逐

渐被边缘化，新的风险，如配置错误、身份与访问管理的薄弱、不安全的API接口，以

及缺乏系统性的云安全策略，正成为核心安全问题。而随着生成式人工智能（如ChatGPT）

的广泛应用，企业在享受技术创新带来效率提升的同时，也面临着更复杂的安全挑战。

AI技术的双刃剑效应，不仅加速了网络攻击的自动化和复杂化，也为云安全防护带来了

前所未有的机遇。如何在这个动态的环境中，平衡AI技术的应用并最大化其积极效应，

成为企业安全策略中至关重要的一环。

展望未来，全球云安全将继续面临愈发复杂的供应链风险、监管环境的不断演变,

以及新型攻击手段的层出不穷。企业需要具备前瞻性思维，采用创新的安全架构和技术，

尤其是在零信任模型、自动化安全管理、云原生安全工具等方面加大投入，确保其在日

益变化的环境中具备强大的应变能力。同时，安全技能的差距也将继续成为企业面临的

长期挑战，推动全员持续教育与技能提升是增强组织整体安全韧性的关键。

李雨航YaleLi

CSA大中华区主席兼研究院长

6

目录

摘要8

调查10

威胁1：配置错误与变更控制不足13

威胁2：身份与访问管理19

威胁3：不安全的接口与APIs25

威胁4：云安全策略缺失31

威胁5：不安全的第三方资源36

威胁6：不安全的软件开发41

威胁7：意外的数据泄露46

威胁8：系统漏洞51

威胁9：云可见性/可观测性不足55

威胁10：未验证的资源共享61

威胁11：高级持续性威胁（APT）65

结论和未来展望69

7

摘要

《顶级威胁》报告旨在提高人们对云计算威胁、漏洞和风险的认识。在本次报告中，

我们对500多位云计算行业的专家进行了调查，深入探讨了云计算领域的安全问题。受

访者识别出今年他们的云环境中存在的11个重要安全问题。顶级威胁工作组利用调查

结果及其专业知识编制了《2024年云计算顶级威胁》报告。

必威体育精装版报告重点介绍了2024年的顶级威胁。报告中还显示了2024年和2022年威胁

的排名对比。

8

观察

调查分析显示，由云服务提供商(CSP)负责的传统云安全问题在排名中的持续下降。

此前报告中提到的拒绝服务攻击、共享技术的漏洞以及云服务提供商CSP数据丢失等问

题，如今因评级较低而未被纳入本报告。这些问题的消失显示出对云计算的信任感增加；

基础设施即服务(IaaS)环境中的老旧云安全问题不再那么令人担忧。此外，我们观察到

“数据泄露”问题不再占据云计算顶级威胁的主导地位。

随着云商业模式和安全策略的演变，本报告提高了对以下关键安全