多全球網絡安全領導企業Palo Alto Networks（派拓網絡）近日發布《Unit 42雲威脅報告，第7卷》。該報告通過對1,300多家企業開展調查研究，分析了所有的主要雲服務提供商（CSP）的21萬個雲賬戶、訂閱服務和項目中的工作負載，幫助安全領導者和從業者從多個視角了解雲安全。

研究發現，企業的上雲速度絲毫沒有放緩的跡象。到2025年
，該市場預計將從2021年的3,700億美元增長至8,300億美元。威脅者往往會利用雲中的常見問題發動入侵，例如配置錯誤、憑證弱、身份驗證不足、漏洞未修複、惡意OSS資源包等。

派拓網絡副總裁兼亞太及日本地區首席安全官Sean Duca表示：“雲(yun)技(ji)術(shu)的(de)發(fa)展(zhan)日(ri)趨(qu)成(cheng)熟(shu)。但(dan)隨(sui)著(zhe)雲(yun)使(shi)用(yong)量(liang)不(bu)斷(duan)上(shang)漲(zhang)
，威(wei)脅(xie)者(zhe)也(ye)變(bian)得(de)更(geng)加(jia)狡(jiao)猾(hua)和(he)強(qiang)大(da)
，他(ta)們(men)會(hui)利(li)用(yong)隱(yin)藏(zang)的(de)薄(bo)弱(ruo)環(huan)節(jie)和(he)漏(lou)洞(dong)實(shi)施(shi)攻(gong)擊(ji)。雲(yun)對(dui)象(xiang)存(cun)儲(chu)服(fu)務(wu)的(de)大(da)範(fan)圍(wei)采(cai)用(yong)加(jia)劇(ju)了(le)企(qi)業(ye)的(de)安(an)全(quan)緊(jin)張(zhang)態(tai)勢(shi)
，使(shi)攻(gong)擊(ji)者(zhe)能(neng)夠(gou)更(geng)快(kuai)、更輕易地入侵共享軟件供應鏈
，同時伏擊大量受害者。雲給威脅者提供了可乘之機——一旦管理不當，企業就會暴露於風險之中。因此，企業需要采取全麵的平台策略，在雲環境被入侵之前實時發現和消滅威脅。”

該報告的一些重要發現包括：

●多數安全警報是由於雲用戶重複發生常見錯誤而導致的。在多數企業的雲環境中，80%的警報由5%的安全規則觸發。企業的雲工作負載中存在一小部分風險行為
，比如不受限製的防火牆策略、暴露的數據庫和未堅決執行的多重身份驗證（MFA）等。優先修複這些問題可以幫助將安全投資的回報最大化。

●安全警報的解決時間過長。安全團隊平均需要145個小時（6天）解決一個警報，給潛在攻擊者留下了大量可乘之機。

●雲中的敏感數據麵臨風險。66%的存儲桶和63%的de公gong開kai存cun儲chu桶tong中zhong存cun在zai敏min感gan數shu據ju

，它ta們men容rong易yi遭zao受shou來lai自zi內nei外wai部bu的de威wei脅xie。如ru果guo對dui所suo存cun儲chu的de信xin息xi缺que乏fa洞dong察cha，那na麼me要yao想xiang防fang範fan敏min感gan數shu據ju意yi外wai泄xie露lu就jiu會hui變bian得de很hen困kun難nan。

●憑證泄露問題普遍存在，且在雲泄露中首當其衝。83%的企業的源碼控製管理係統中含有硬編碼憑證
，85%的企業的虛擬機用戶數據中含有硬編碼憑證。憑證訪問仍是雲威脅者的常用手段。

●未對雲用戶強製采用MFA。76%的企業未對控製台用戶強製采用MFA
，58%的企業未對根/管理員用戶強製采用MFA，導致控製台訪問容易遭到蠻力攻擊。

●針對軟件供應鏈的攻擊呈上升趨勢。僅2022年，被發現的影響科技巨頭和其他企業的惡意OSS資源包就超過7,300個。

●管理代碼依賴性的難度較大。51%的代碼庫依賴於100多個開源資料包
，而其中隻有23%由開發人員直接導入。非root資料包會帶來漏洞，使整個雲基礎設施麵臨風險隱患。

●未打補丁的漏洞是唾手可得的攻擊目標。63%的生產代碼庫和11%的公有雲主機存在嚴重或關鍵的未修補漏洞，這已經成為整個雲基礎設施的安全隱患。

針對雲基礎設施錯誤配置、APIheruanjiangongyingliandegongjishouduancengchubuqiong，qiyexuyaozuohaozhunbeiyiyingduiyunyuanshenggongjimiandechixukuoda。weilejiaqiangduizhexieweixiedeanquanfangyu，xingyejiangzhuanxiangyunyuanshengyingyongbaohupingtai（CNAPP），它可以為應用開發的整個過程提供全麵的防護能力。Gartner的數據證明了這一點——從2021到2022年，有關CNAPP的客戶谘詢驟增70%。