根據云安全聯盟（Cloud Security Alliance）發布的《2024年云計算十大威脅報告》，過去與云服務提供商相關的安全問題的嚴重性正在逐漸降低。配置錯誤、身份與訪問管理（IAM）薄弱以及API風險等問題依然是當前云安全的重大隱患。

云安全威脅的三座大山

報告顯示，自2022年以來，云安全問題的嚴峻性并未減少，尤其是配置錯誤、IAM弱點、不安全的應用程序接口（API）這“三座大山”依然牢牢占據著云安全威脅榜單的前三名。

“同樣的問題一直位居榜首，可能令人誤以為是安全進展緩慢所致。但廣泛來看，這反映了各組織對這些漏洞的重視，以及他們在構建更安全、彈性云環境方面的努力。”云安全聯盟十大威脅工作組聯合主席Michael Roza表示。

2024年云安全十大威脅排名

根據最新報告，以下問題被列為2024年云安全的主要威脅：

1. 配置錯誤與變更控制不當
2. 身份與訪問管理（IAM）
3. 不安全的接口與API
4. 云安全策略選擇/實施不當
5. 不安全的第三方資源
6. 不安全的軟件開發
7. 云數據泄露
8. 系統漏洞
9. 云的可見性/可觀測性不足
10. 未認證的資源共享

值得注意的是，一些在2022年排名靠前的問題，如拒絕服務攻擊、共享技術漏洞和CSP數據丟失，在本次報告中排名較低，未進入前十。

云安全未來的四大關鍵趨勢

在新的云安全威脅背景下，報告還探討了云計算和云安全的四大關鍵趨勢：

• 攻擊復雜性增加：攻擊者將繼續發展更復雜的技術，包括利用人工智能（AI）來攻擊云環境中的漏洞，這將需要企業采取更積極的安全姿態，并加強持續監控和威脅狩獵能力。
• 供應鏈風險增加：隨著云生態系統的復雜性增加，供應鏈漏洞的攻擊面也將擴大，企業需要將安全措施擴展到其供應商和合作伙伴。
• 監管環境演變：預計監管機構將實施更嚴格的數據隱私和安全法規，要求企業調整其云安全實踐。
• 勒索軟件即服務（RaaS）崛起：RaaS將使技術欠缺的攻擊者更容易發起復雜的勒索軟件攻擊，這要求企業擁有強大的數據備份和恢復解決方案，并加強訪問控制。

云安全聯盟技術研究主管Sean Heide指出：“鑒于不斷變化的網絡安全環境，企業很難始終保持領先地位，降低財務和聲譽風險。通過關注這些行業內最為關切的威脅、漏洞和風險，企業可以更好地集中資源應對挑戰。”