日前，以色列云數據安全公司Laminar發布了《2023年公有云數據安全態勢調查報告》，通過對近百位企業組織的安全管理和運維人員進行問卷調查和訪談，研究人員力求更深入了解當前公有云數據安全的風險態勢和挑戰。報告調研數據顯示，39%的受訪企業對現有的云上數據安全防護措施應用信心不足，越來越多的企業開始尋求云原生的安全解決方案，以獲得跨多云環境的統一數據保護視圖與策略，并實施符合縱深防御策略的安全控制。

報告關鍵發現

• 在過去12個月里，77%受訪企業的公有云上數據被未經授權人員非法訪問過，而去年同期的數據為51%；
• 與去年相比，影子數據正在成為保護公有云上數據安全的頭號挑戰（68%），其次是有效管理各種云存儲架構（65%），以及監控面向互聯網應用的各類云資源（52%）； 
• 97%的受訪企業已經設置了專門的數據安全人員或團隊來處理公有云上數據安全問題。這一比例同比2022年（58%）呈大幅上升趨勢；
• 越來越多的受訪企業增加了對公有云數據存儲的可見性，但其對影子數據的擔憂也顯著增加，93%的受訪者擔心影子數據，高于去年的82%。32%的受訪企業表示，他們無法確定是否在公有云的存儲空間里違規存放了不應公開的敏感數據； 
• 云應用的快速發展和數據的民主化，已經創造了一個新的數據資產攻擊面，或者說擴大了攻擊者訪問公司數據的入口點。39%的受訪企業對現有的云上數據安全防護措施應用信心不足，越來越多的企業開始尋求云原生的安全解決方案，以獲得跨多云環境的統一數據保護視圖與策略，并實施符合縱深防御策略的安全控制；
• 云上新的數據安全缺口正在快速出現，包括云應用配置錯誤或被棄用的云數據存儲，攻擊者們正在利用這些問題訪問云服務并竊取數據。據OWASP研究人員測試，90%的云應用程序都不同程度存在了安全配置錯誤的問題； 
• 調查數據顯示，“人為因素”仍然是導致企業公有云上數據泄露和安全攻擊的主要原因（占比82%），主要包括內部惡意人員、應用疏忽或操作錯誤等。每個人都會犯錯誤，因此企業需要借助完善的流程和先進的技術來加強防御。

公有云數據威脅Top 5

報告研究發現，目前公有云上最常見和最嚴重的數據安全風險包括未打補丁的云應用程序、為用戶過度授權、敏感信息違規存放等，這些風險在各種規模的企業組織中都很普遍，即使一些在云安全建設方面做了大量投入的組織也會如此。

01未打補丁的云應用服務

帶有已知漏洞和錯誤的云應用服務已經成為云環境的主要攻擊路徑。研究發現，36%的組織在其云環境中有未打補丁的web服務，這些服務暴露在互聯網上，很容易被攻擊者訪問，進而導致服務停機、潛在的遠程代碼執行，在某些情況下，還可能存在未經授權的遠程訪問。

02Git存儲庫中的敏感信息

研究發現，50%的受訪企業至少存在一個包含敏感數據的Git存儲庫。數據庫密碼、API密鑰、加密密鑰、散列鹽和秘密等敏感信息越來越容易被開發人員錯誤地推送到Git存儲庫中。由于它們是應用程序源代碼的一部分，攻擊者可以輕易地提取它們并危害組織系統。因此，企業必須全面檢測并立即從存儲庫和歷史記錄中刪除存放的敏感數據。

03將密鑰通常存儲在文件系統上

49%的受訪企業會將敏感的公有云應用密鑰存儲在虛擬機內的文件系統上，而任何擁有組織密鑰的人都可以訪問組織的所有云上資源，并執行組織可以執行的任何操作，例如啟動EC2實例、刪除S3對象等。當敏感的公有云應用密鑰存儲在文件系統中時，如果這些密鑰被惡意行為者獲取，他們就可以利用這些密鑰訪問敏感數據并進行惡意操作。值得注意的是，敏感的公有云密鑰安全研究人員在云攻擊路徑中發現的“導致惡意橫向移動的主要安全漏洞之一”。

04過度特權的云管理身份

研究發現，33%的組織為其公有云環境中超過10%的用戶身份授予了過度的管理權限。而向用戶授予特權要比限制權限容易得多，但這是一種危害云數據安全的錯誤做法。作為一條黃金法則，企業除非在極少數情況下，不應該定義任何具有完全管理權限的用戶角色，因為這違反了最小特權原則（PoLP），會大大增加云上數據安全的攻擊面，并增加了賬戶被完全接管的風險。

05共享權限的云應用

70%的受訪組織存在多個云應用系統共享相同的IAM角色，而86%的云上應用被發現共享了IAM角色。公有云服務商AWS建議企業，要為每個云應用功能創建單獨的身份角色，以確保最小特權原則。通過為每個功能賦予一個專用IAM角色，組織可以讓云上應用與IAM角色建議1：1的對應關系。這可以保護數據免受未經授權的訪問，并允許組織遵守各種安全性和遵從性標準。

云數據威脅的變化

公有云數據利用和創新的速度正在增加組織的安全攻擊面。以前，安全團隊會部署內部安全系統實施邊界控制?，F在，他們必須保護高度分布式的云數據，這些數據跨參與者、基礎設施和應用程序，并且非常動態，經常被創建、移動、修改、分析和刪除。雖然傳統的攻擊面是“由外向內”的活動決定的，但新的云數據風險環境是“由內向外”創造的，一些看似合法的內部人員正在創造新的數據風險。

報告研究發現，由于云技術的變化速度和敏捷性刺激了數據的激增，影子數據及其創造的創新攻擊面也正在增加。而且，鑒于變化的速度極快，這些挑戰還會不斷增加，這意味著更多的數據工作負載將以更快的速度在云中擴散，使安全性難以跟上。研究人員將此情況稱為“安全執行缺口”。

由于這種安全缺口將不斷擴大，甚至呈指數級增長。企業安全團隊將需要一個更加靈活的云原生數據安全解決方案，它可以隨著數據量的增加而擴展，并實時監控和管理各種云上數據，包括跨多云存儲平臺、分析管道中的數據，甚至在云存儲回收站中的數據。

報告數據還顯示，公有云上的影子數據風險也出現了一些新的變化和挑戰： 

• 將復制數據違規存放于測試環境中：大多數組織會在開發或測試環境中維護業務數據庫的部分副本。開發人員可能會對數據進行快照，但未能正確地刪除或保護復制的數據，甚至在使用完忘記進行安全性處理；
• 對備份的數據缺乏管理：在每個企業都至少會有一個備份的數據存儲，它提供了生產數據的精確副本，可以在發生異常情況時進行恢復。但是，與生產數據庫相比，這些備份數據存儲的監控和維護情況往往較差； 
• 在應用遷移后的遺留數據未被刪除：在將本地數據庫遷移到現代云數據存儲后，團隊可能會忘記刪除本地遺留的數據；
• 數據維護日志可能被惡意利用：開發人員和日志框架會列出敏感數據，但這些文件很容易暴露，因為它們缺乏適當的訪問控制和加密； 
• 數據存儲在分析管道中：許多組織將數據存儲在Snowflake或云服務商創建的分析管道中，以便他們可以按需使用和分析。這些可能是應用程序/業務所有者看不到的。

【影子數據正在成為保護云數據的頭號挑戰】

積極應對云數據泄露

報告研究發現，目前很多企業還處于授權業務團隊創建自己的大數據分析和數據網格解決方案的早期階段。數據已經無處不在，業務團隊需要使用不同的SaaS應用程序訪問公有云中的業務數據，因此，企業DevOps團隊也需要創建多個版本的云數據訪問策略，而數據團隊需要創建統一的數據湖以支持基于多云環境的數據分析。

隨著數據泄漏率的上升，企業在改進網絡安全工具和應用實踐方面的壓力將會越來越大。很多企業開始意識到，他們需要合適的工具來跨其多云環境創建完整的數據可觀察性、監視和控制。云原生系統能夠在不斷增長的云基礎設施中實現敏捷的數據安全，而傳統的本地化安全方案并不適合在云上的擴展和遷移。 

幾乎所有（92%）的受訪者表示，云上數據泄露事件的增加提高了企業管理層對先進網絡安全防護平臺的關注和購買支持，這一比例遠高于2022年的50%。而有39%的受訪企業表示，他們對現有的數據安全解決方案能夠應對云數據挑戰只有“一定程度”的信心或“不太有信心”，這一比例高于2022年的24%。這一數據也表明，安全專業人員越來越意識到，需要云原生解決方案來應對日益嚴重的數據安全問題。

除了云原生技術，很多受訪企業還表示，他們需要新一代DSPM（數據安全態勢管理）解決方案來加強云上的數據安全防護。DSPM的主要功能包含數據安全策略實施、數據風險評估、數據分類、數據泄漏保護、數據訪問監控、數據發現、數據風險補救、數據風險排序、數據所有者標識、數據合規性報告、數據流映射、數據沿襲識別。組織可以根據以上指標來選擇合適的解決方案，看看它們是否能夠全面處理目前的公有云數據安全需求。

參考鏈接：

https://laminarsecurity.com/wp-content/uploads/2023/03/laminar-state-of-public-cloud-data-security-report-2023.pdf

https://orca.security/resources/blog/the-top-5-cloud-security-risks-of-2023/