2022云计算顶级威胁

云计算顶级威胁2022目录威胁1:身、凭，访和密管理特权号管的不足 9威胁2:不全的口API 14威胁3:配不当变更制的足 17威胁4:缺云安架构战略 21威胁5:不全的件开发 24威胁6:不全第方资源 27威胁7:系漏洞 31威胁8:云算数的意泄露 35威胁9:无务器容器工作载配不当和用 38威胁10:有织的罪、客和APT攻击 42威胁11:云储数泄露 455PAGEPAGE6概要7002022最新报告按调查结果重要程度着重介绍了前11类威胁（括号中的是2019年调查的排名）：(4)API(7)(2)(3)(8)APT(11)观察和依据（IoT）（OT）目标读者调查202211CSA2022（2019年EE111526并要求成员们说明每个问题对其组织的重要性以及他们对自己熟悉的组织的了解。191910110711调查结果 调查平均 威胁名排名 得分17.72992727.592701API37.42481847.40875957.27591267.21449377.14306687.11465997.097810107.088534攻击117.08563111（SaaS、PaaSIaaS或SPI）（CBK）v4.0CSASTRIDEPAGEPAGE9威胁1:不充分的身份、凭据，访问和密钥管理、特权账号管理威胁1:不充分的身份、凭据，访问和密钥管理、特权账号管理软件即服务(SaaS)平台即服务(PaaS)基础设施即服务(IaaS)云服务模型基础设施信息元数据应用程序架构客户共同安全责任（IAM）IAM系特权账户必须以准确、即时的方式冻结，避免人员在离职或角色更换后进入。这将减少数据泄漏或受损的可能性。除了取消某些特权账户外，账号角色和职责必须符合对信息“按需所知”的程度。享有特权的人员越多，越会增加数据管理不善或账户乱用的可能性。业务影响身份、凭据，访问和密钥管理、特权账号管理不足的负面影响可能包括：）PAGEPAGE10关键信息正确的IAM、凭据和密钥管理措施可能包括：CIEM[1]案例(2021)Twitch、CosmologyKozmetik、PeopleGIS、PremierReindeer和Twillo[2](202110月)AWSS3AWS和CDN[3](20191月7) CapitalOne银内部规使AWS云件，中借动态IAM角是关的违行为虽S3存桶不其他多漏那样露在联网，但EC2实有过IAM角可能罪魁首。[4]\hCSA云计算关键领域安全指南v4.0领域2:治理与企业风险管理领域4:合规和审计管理领域5:信息治理领域6:管理平面和业务连续性领域11:数据安全和加密领域12:身份、授权和访问管理领域14:相关技术\hCSA云控制矩阵v4.0AIS应用程序和接口安全AISAIS-01:应用程序和接口安全策略和规程AIS-02:应用程序安全基线需求AIS-03:应用程序安全指标CCC变更控制和配置管理CCCCCC-07:基线偏离检测CCC-08:例外管理DSP数据安全与隐私生命周期管理DSPDSP-03:数据清单DSP-04DSP-07DSP-17:敏感数据保护DSP-19:数据位置GRC治理、风险管理和合规GRCGRC-02:风险管理计划GRC-05:信息安全计划GRC-06:治理责任模式l

身份与访问管理IAMIAM-01IAMIAM-05IAM-08:用户访问评审LOG日志记录和监控LOGLOG-10:加密监控与报告LVS基础设施与虚拟化安全LVSIVS-03:网络层安全TVM威胁和漏洞管理TVMTVM-08:漏洞优先级Stride威胁分析 引用链接身份欺骗\hCIEM\hHome\h-\hCIEM\h-\hHOME\h()DataBreachestof2021\h\hSEGAEuropeThoroughlyScrutinizesitsCloudSecurity\h\hnBlog\h|\hLessonsLearnedfromSEGAEurope’srecent\hsecurity\h\h\h\h\h\h\h\h\h\h\hliclyOpen\h|\hEyerysTheCapitalOne-incidenthighlightstherolesandresponsibilitiesofcloudcustomers,providers\h/capital-one-aws-incident-highlights-\hroles-a 11nd-responsibilities-cloud-customers-providers篡改数据抵赖信息泄露拒绝服务权限提升PAGEPAGE12威胁2:不安全的接口和API软件即服务(SaaS)平台即服务(PaaS)基础设施即服务(IaaS)云服务模型元数据基础设施应用程序信息架构共同安全责任APIAPI1威胁2:不安全的接口和API软件即服务(SaaS)平台即服务(PaaS)基础设施即服务(IaaS)云服务模型元数据基础设施应用程序信息架构共同安全责任（）API的使APIAPI开发APIAPIAkamai2021300API53%APIAPIAPIAPI、APIAPIAPIAPI业务影响不安全的接口或API的风险因API的使用和相关数据以及检测和缓解漏洞的速度而异。最常见的业务影响是API未保护敏感或私人数据而造成意外暴露。PAGEPAGE13关键信息以下是一些关键信息：APIAPI的增API案例最近的一些案例包括：(20214月28)[2](20215月5日)PelotonAPIPIIID[3](20214月22)（JohnDeere）100020%API[4]\hCSA云计算关键领域安全指南v4.0领域4:合规和审计管理领域5:信息治理领域6:管理平面和业务连续性7:8:领域10:应用安全领域11:数据安全和加密领域12:身份、授权和访问管理\hCSA云控制矩阵v4.0AIS应用程序和接口安全AISAIS-01AIS-04CEK密码学、加密与密钥管理CEKCEK-03:数据加密CEK-04:加密算法CCC变更控制和配置管理CCCCCC-01CCC-02CCC-05

数据安全与隐私生命周期管理DSPDSP-01:安全与隐私的策略和规程DSP-03:数据清单DSPDSP-04:数据分级分类DSP-05:数据流文档IVS基础设施与虚拟化安全IVSIVS-03:网络层安全IVS-04:操作系统加固与基线控制IVS-09:网络防御Stride威胁分析 引用链接身份欺骗\h4-48f6-\h854a-47d96c4a75feExperianAPIExposedCreditScoresofMostAmericans:\h\hcores-of-most-americans/LeakyAPISpilledRiders’PrivateData:\hLeakyJohnDeereAPI’s:SeriousFoodSupplyChainVulnerabilities:\hhttps://sick.codes/leaky-john-deere-apis-serious-foo\h篡改数据抵赖信息泄露拒绝服务权限提升PAGEPAGE16威胁3:配置不当和变更控制的不足软件即服务(SaaS)平台即服务(PaaS)基础设施即服务(IaaS)云服务模型基础设施信息元数据应用程序架构客户共同安全责任/12威胁3:配置不当和变更控制的不足软件即服务(SaaS)平台即服务(PaaS)基础设施即服务(IaaS)云服务模型基础设施信息元数据应用程序架构客户共同安全责任（IT）业务影响根据错误配置/不当变更的性质以及检测和缓解的速度，错误配置/不当变更控制的影响可能会很严重。云审计知识证书学习指南,中的影响分类如下：--PAGE关键信息以下是一些关键信息：案例最近的一些案例包括：(20223月9)ServiceNowACL（配ServiceNow70%2021年10月4日FacebookFacebookInstagramWhatsapp和Oculus[2](20211月7)AzureBlob（）100[3]\hCSA云计算关键领域安全指南v4.0领域4:合规和审计管理领域5:信息治理领域6:管理平面和业务连续性领域7:基础设施安全PAGEPAGE18领域8:虚拟化和容器领域10:应用安全领域11:数据安全和加密领域12:身份、授权和访问管理\hCSA云控制矩阵v4.0A&A审计与保障A&AA&A-02:独立评估A&A-03:基于风险的规划评估AIS应用程序和接口安全AISAIS-02:应用程序安全基线需求AIS-04:应用程序安全设计和安全开发AIS-05:自动化应用程序安全测试BCR业务连续性管理和运营韧性BCRBCR-02:风险评估和影响分析BCR-03:业务连续性策略BCR-08:备份CCC变更控制和配置管理CCCCCC-02CCC-04CCC-09CEK密码学、加密与密钥管理CEKCEK-03:数据加密CEK-05:加密变更管理DSPDSPDSP-07:设计和默认数据保护DSP-08:设计和默认数据隐私DSP-17:敏感数据保护

治理、风险管理和合规CRCGRC-02:风险管理计划GRC-05:信息安全计划CRCHRS人力资源HRSHRS-09IAM身份与访问管理IAMIAM-03:身份清单IAM-08:用户访问评审IVS基础设施与虚拟化安全IVSIVS-02:变更检测IVS-03:网络层安全IVS-04:操作系统加固与基线控制LOG日志记录和监控LOGLOG-03:安全监控与告警LOG-05:审计日志监控与响应LOG-12:访问控制日志SEF安全事件管理，电子发现及云举证SEFTVMSEF-03事件响应计划SEF-04事件响应测试SEF-06事态鉴别分类流程TVM威胁和漏洞管理TVM-07漏洞识别TVM-08漏洞优先级TVM-09漏洞管理报告Stride威胁分析 引用链接身份欺骗MajorSecurityMisconfigurationImpactingServiceNowInstancesDiscovered\h/press_release/2022-major-security-\hmisconfiguration-impacting-servicenow-and-other-saas-\hinstances-discovered/MajorSecurityMisconfigurationImpactingServiceNowandOtherSaaSInstancesDiscovered\h/resources/aolabs/appomni-discovers-\hsecurity-misconfiguration-impacting-servicenow/ServiceNowSharedSecurityModelandAccessControlInformation\h/kb?id=kb_article_\hview&sysparm_article=KB1095978ServiceNowreleasesguidanceonAccessControlListmisconfigurations\h/article/servicenow-releases-\hguidance-on-a\hce/UnderstandingHowFacebookDisappearedfromtheInternet\h/october-2021-facebook-outage/UpdateabouttheOctober4thoutage\h\hMoredetailsabouttheOctober4outage\h\hdetails/WhyFacebook,Instagram,andWhatsAppAllWentDownToday\h/story/why-facebook-instagram-\hwhatsapp-went-down-outage/Report:SoftwareCompaniesExposedtoHackinginMajorData\h\hcs-leak/Report:HotelReservationPlatformLeavesMillionsofPeopleExposedinMassiveDataBreach\h\hLeakyS3bucketonceagainatcentreofdatabreach\h\h3-bucket-once-again-at-centre-of-data-breach\h\hrport-employee-records-3tb-in-data/\h\hlexbooker-bucket-after-december-data-breach/篡改数据抵赖信息泄露拒绝服务权限提升PAGEPAGE19威胁4:缺乏云安全架构和战略软件即服务(SaaS)平台即服务(PaaS)基础设施即服务(IaaS)云服务模型基础设施信息元数据应用程序架构客户共同安全责任1,威胁4:缺乏云安全架构和战略软件即服务(SaaS)平台即服务(PaaS)基础设施即服务(IaaS)云服务模型基础设施信息元数据应用程序架构客户共同安全责任变革的快节奏和普遍化的、去中心化的、自助化的云基础设施管理方法阻碍了人们的技术和业务因素考量以及有意识的设计。然而，云要实现成功和安全，就不能忽视安全考虑和风险。行业违规案例表明，缺乏此类规划可能导致云环境和应用业务影响/关键信息以下是一些关键信息：1（”“”2CSP（）。3身份和访问管理，作为一个域，而不是一个特定的云服务。PAGEPAGE20案例最近的一些案例包括：(20211月)BonobosBonobos（70GB的SQL700）[1]2](20217月2日)KaseyaKaseya（VSA）（MSP）SaaS[3]\hCSA云计算关键领域安全指南v4.0领域1:云计算概念和架构领域2:治理与企业风险管理领域6:管理平面和业务连续性\hCSA云控制矩阵v4.0A&A审计与保障A&AAISA&A-03基于风险的规划评估A&A-04需求合规AIS应用程序和接口安全AIS-04应用程序安全设计和安全开发BCR业务连续性管理和运营韧性BCRBCR-02风险评估和影响分析BCR-03业务连续性策略BCR-04业务连续性规划BCR-08备份CEK密码学、加密与密钥管理CEKCEK-08云服务客户密钥管理能力CEK-07加密风险管理DCS数据中心安全DCSCS-01场外设备处置的策略和规程DSP数据安全与隐私生命周期管理DSPGRC-02:风险管理计划GRC-05:信息安全计划

治理、风险管理和合规GRCGRC-08特殊利益团体GRC-02风险管理计划GRCIAM身份与访问管理IAMIAM-04职责分离IAM-05最小权限IAM-09特权访问角色的隔离IAM-01身份与访问管理的策略与规程IAM-06用户访问授权IPY互操作性与可移植性IPYIPY-01互操作性与可移植性的策略与规程IVS基础设施与虚拟化安全IVSIVS-03IVS-05IVS-08STA供应链管理，透明度和问责制STASTA-01共享安全责任模型的策略与规程STA-08供应链风险管理Stride威胁分析 引用链接身份欺骗IncidentOverview&Details\hIndependenceDay:REvilusessupplychainexploittoattackhundredsofbusinesses\h/en-us/2021/07/04/independence-\hday-revil-uses-supply-chain-exploit-to-attack-hundreds-of-\hbusinesses/DatabreachatBonoboshitsupto7million:Whattodo\hh-7-\hmillion篡改数据抵赖信息泄露拒绝服务权限提升PAGEPAGE22威胁5:不安全的软件开发软件即服务(SaaS)平台即服务(PaaS)基础设施即服务(IaaS)云服务模型元数据基础设施威胁5:不安全的软件开发软件即服务(SaaS)平台即服务(PaaS)基础设施即服务(IaaS)云服务模型元数据基础设施应用程序信息架构客户共同安全责任采用“云优先”的战略态势，可以让实体将维护和安全问题转移给云服务供应商（CSP）。委托CSP管理基础设施和/或平台层避免了开发人员浪费时间做无用功。提供密钥存储/管理和安全持续集成/持续部署（CI/CD）的服务允许开发人员将重点放在业务逻辑上。CSP将提供身份和访问管理（IAM）特性，为开发者提供审查工具和正确实施指导。让公司无需自己构建服务，从而释放了资源，可投资于更具影响力的业务优先项目。CSP的KubernetesCSPWeb/[2]业务影响不安全的软件开发的部分业务影响包括：PAGEPAGE23关键信息以下是一些关键信息：CSP案例最近的一些案例包括：(2021年12月9日Log4Shelllog4jRCE[3]。(2021年15) 众皆知MicrosoftExchange，经发的一列漏洞，如（ProxyOracle、ProxyShell），为远程代码执行和凭据盗窃提供了多种途径[4]。(2021年913日)iOS的Pegasus[5]。\hCSA云计算关键领域安全指南v4.0领域1:云计算概念和架构领域10:应用安全领域12:身份、授权和访问管理领域13:安全即服务\hCSA云控制矩阵v4.0AIS应用程序和接口安全AISAIS-02:应用程序安全基线需求AIS-04AIS-05CCC变更控制和配置管理CCCCCC-02:质量测试

威胁和漏洞管理TVMTVM-04:检测更新TVMIAM身份与访问管理IAMIAM-01:身份与访问管理的策略与规程IAM-04:职责分离IAM-05:最小权限IAM-14:强鉴别Stride威胁分析 引用链接身份欺骗Ialwayscallthemgluebugs,IthinkIgotthatfromyou!\hAnExplorationofJSONInteroperabilityVulnerabilities\h\hLog4Shell:RCE0-dayexploitfoundinlog4j2,apopularJavaloggingpackage\hhttps://www.lunasec.io/docs/blog/log4j-zero-\hday/ANewAttackSurfaceonMSExchangePart1-ProxyLogon!\h\hn-ms-exchange-part-1.htmlAdeepdiveintoanNSOzero-clickiMessageexploit:RemoteCodeExecution篡改数据抵赖信息泄露拒绝服务权限提升PAGEPAGE25威胁6:不安全的第三方资源软件即服务(SaaS)平台即服务(PaaS)基础设施即服务(IaaS)云服务模型基础设施信息元数据应用程序威胁6:不安全的第三方资源软件即服务(SaaS)平台即服务(PaaS)基础设施即服务(IaaS)云服务模型基础设施信息元数据应用程序架构客户共同安全责任因为有的产品或服务可能集合了他们使用的所有其他产品和服务，所以漏洞可以从供应链中的任何一点开始，并从“只”SaaS业务影响（11）。关键信息以下是一些关键信息：PAGEPAGE28SaaS案例最近的一些案例包括：(2020年12月日到20214月6日SolarwindsSolarwinds[1]2](2021年12月Log4shellJavaLog4j年11[3][4](2019年5月到20218)从2019年5月到20218（PII）330万[5][6]\hCSA云计算关键领域安全指南v4.0领域1:云计算概念和架构领域2:治理与企业风险管理领域7:基础设施安全领域10:应用安全领域12:身份、授权和访问管理\hCSA云控制矩阵v4.0BCR业务连续性管理和运营韧性BCRBCR-01:业务连续性管理策略和规程BCR-02:风险评估和影响分析BCR-03:业务连续性策略CCC变更控制和配置管理CCCCCC-02:质量测试CCC-04:未经授权的变更保护DCS数据中心安全DCSDCS-05:资产分级分类DCS-06:资产登记与跟踪DCS-07:受控接入点DSP数据安全与隐私生命周期管理DSPDSP-03:数据清单DSP-05:数据流文档IAMDSP-06:数据所有权和管理权DSP-08:设计和默认数据隐私DSP-10: 敏感数据传输IAM身份与访问管理IAM-05:最小权限IAM-10:特权访问角色的管理IAM-11:云服务客户对特权访问角色的批准IAM-14:强鉴别

互操作性与可移植性IPYIPY-01:互操作性与可移植性的策略与规程IPY-02:应用程序接口可用性IPYIPY-03:互操作性与可移植性管理的安全保护IPY-04:数据可移植性的合同义务SEF安全事件管理，电子发现及云举证SEFSEF-01:安全事件管理的策略与规程SEF-03:事件响应计划STA供应链管理，透明度和问责制STASTA-01:共享安全责任模型的策略与规程STA-02:共享安全责任模型供应链STA-03:共享安全责任模型指南STA-04:共享安全责任模型控制所有权STA-05:共享安全责任模型文档评审STA-06STA-07STA-09STA-10STA-11:内部合规评测STA-12:供应链服务协议合规STA-13:供应链治理评审STA-14:供应链数据安全评估Stride威胁分析 引用链接身份欺骗1.2.3.Solarwindsthesupplychainhack\h\h篡改数据-supply-chain-attack/UsingMicrosoftfortheSolarwindshack\h\hFLog4Jhack\h/inside-the-log4j2-vulnerability-抵赖信息泄露拒绝服务4.5.6.\hcve-2021-44228/Morethan1.2mattacksusinglog4j\h\h权限提升1VolkswagenandAudicustomer’sdataleakage\h/news/security/audi-\hvolkswagen-data-breach-affects-33-million-customers/Twothirdofbreachesaresupplychainattacks\h/articles/2020/7/2/\hhackers-putting-global-supply-chain-at-riskPAGEPAGE29系统漏洞威胁7:软件即服务系统漏洞威胁7:软件即服务(SaaS)平台即服务(PaaS)基础设施即服务(IaaS)云服务模型基础设施信息元数据应用程序架构客户共同安全责任主要有以下4类系统漏洞：-JavaLog4j业务影响IBM202114%20%15%。PAGEPAGE30（）29%（124），通知占6%（27），事后分27%（114）38%（159）2k101k5000万至65004.01关键信息以下是一些关键信息：IAM案例最近的一些案例包括：(202112月9Log4Shell（CVE-2021-45046）JavaLog4j2.0beta9至2.14.1JavaCISAFBINSALog4Shell[1](20218月)WizAzureAzure的CosmosDB[2](20219月)ActiveDirectoryFederation又名CozyBear和NOBELIUM）[2](2021)Ivanti的《202120202332021的28829%[3]\hCSA云计算关键领域安全指南v4.0领域7:基础设施安全领域10:应用安全领域11:数据安全和加密领域12:身份、授权和访问管理\hCSA云控制矩阵v4.0AIS应用程序和接口安全AISAIS-01AIS-02AIS-06:自动化应用程序安全部署CEK密码学、加密与密钥管理CEKCEK-03:数据加密CEK-04:加密算法IAM身份与访问管理IAMIAM-02:强密码的策略与规程IAM-14:强鉴别IAM-15:密码管理IAM-16:授权机制

基础设施与虚拟化安全IVSIVS-04:操作系统加固与基线控制IVSTVM威胁和漏洞管理TVMTVM-01TVM-04:检测更新TVM-05:外部库漏洞TVM-06:渗透测试TVM-07:漏洞识别TVM-08:漏洞优先级TVM-09:漏洞管理报告Stride威胁分析 引用链接身份欺骗Log4Shell0-dayVulnerability:AllNeedtoKnow\h/blog/log4shell-0-day-vulnerability-all-you-need-to-know/Microsoft’sverybadyearforsecurity:Atimeline\hyear-for-security-a-timeline.htmlRansomwareSpotlightYearEnd2021Report(Ivanti)\hear-end-2021-report附加链接：2021marksanotherrecordyearforsecurityvulnerabilities\h\h-year-for-security-vulnerabilities/CostofDataBreachReport(IBM)\hCybersecurityvulnerabilitiesandtheirbusinessimpact\h\hurity-vulnerabilities-and-their-business-impact\h/uscert/ncas/alerts/aa21-356aTheInternetisonFire\h/story/log4j-flaw-hacking-\hinternet/Ransomwareattacksareincreasinglyexploitingsecurityvulnerabilties\h/article/ransomware-attacks-\hare-increasingly-exploiting-security-vulnerabilities/RoutinelyExploitedVulnerabilities\hWhatarethedifferenttypesofvulnerabilities?\h篡改数据抵赖信息泄露拒绝服务权限提升PAGEPAGE33威胁8:云计算数据的意外泄露软件即服务(SaaS)平台即服务(PaaS)基础设施即服务(IaaS)云服务模型威胁8:云计算数据的意外泄露软件即服务(SaaS)平台即服务(PaaS)基础设施即服务(IaaS)云服务模型元数据基础设施应用程序信息架构客户共同安全责任55%[1]Elasticsearch[2]业务影响云的易用性，特别是可以灵活设置托管数据库和存储对象的速度，使其非常受欢迎。424关键信息为了避免无意的数据泄露，建议云客户可以做到以下几点：查看PaaSPAGEPAGE34、KubernetesIAM案例最近的一些案例包括：2021年1月VIPGames23M62300ID[4]。2021年4月Reverb5.6MElasticsearch560[5]。2021年9月TheTelegraph10TB数据的10TB[6]。2022年1月Securita1MAWS3TB[7]。2022年2月FlexBooker19M数据——12FlexBookerbucket。[8]\hCSA云计算关键领域安全指南v4.0领域5:信息治理领域7:基础设施安全领域12:身份、授权和访问管理\hCSA云控制矩阵v4.0AIS应用程序和接口安全AISAIS-02:应用程序安全基线需求AIS-04:应用程序安全设计和安全开发IAM身份与访问管理IAMIAM-01:身份与访问管理的策略与规程IAM-03:身份清单BCRBCRBCR-05:文档记录

数据安全与隐私生命周期管理DSPDSP-03:数据清单DSPDSP-08:设计和默认数据保护GRC治理、风险管理和合规GRCGRC-01:治理计划的策略和规程GRC-02:风险管理计划IVS基础设施与虚拟化安全IVSIVS-01IVS-06Stride威胁分析引用链接1.2022CloudSecurityThreatsreport身份欺骗\hhttps://www.wiz.io/ty/2022-cloud-security-threats-report2.UnsecuredElasticsearchserverbreachedineighthoursflat篡改数据\h/news/252484365/Unsecured-\hElasticSearch-server-breached-in-eight-hours-flat抵赖3.Howmuchdoesadatabreachcost?\h/security/data-breach信息泄露4.Acloudmisconfigurationexposed23Mrecordsofover60Kuserscontainingemails,usernames,socialnetworkID,andplayerdataon拒绝服务thewe\h/daily-swig/online-gaming-platform-vip-\hgames-exposes-23-million-data-records-on-misconfigured-server权限提升5.Elasticsearchstoring5.6Mcustomerrecordswasexposedontheweb\h/blog/hotforsecurity/etsy-owned-\hmusical-instrument-marketplace-reverb-suffers-data-breach6.UKnewspaperTheTelegraphexposed10TBdatabasewithsubscriberdata\hhttps://securityaffairs.co/wordpress/123020/data-breach/the-\htelegraph-data-leak.html7.UnauthenticatedAWSserverexposed3TBinairportemployeerecords\h/article/unsecured-aws-server-exposed-\hairport-employee-records-3tb-in-data/8.AmazonstepsintocloseexposedFlexBookerbucketafterDecemberdatabreach\h/article/amazon-steps-in-to-close-exposed-\hflexbooker-bucket-after-december-data-breach/PAGEPAGE36无服务器和容器化工作负载的配置不当和利用威胁9:软件即服务(SaaS)平台即服务(PaaS)基础设施即服务(IaaS)云服务模型元数据无服务器和容器化工作负载的配置不当和利用威胁9:软件即服务(SaaS)平台即服务(PaaS)基础设施即服务(IaaS)云服务模型元数据基础设施应用程序信息架构客户共同安全责任CSPCSPCSP”NetskopeIAM4%AWSAdministratorAWSLambdaAWSPAGEPAGE37业务影响关键信息以下是一些关键信息：（CSPM）（CIEM）（CWPP）案例最近的一些案例包括：截至DoW（DoS）DoSDoWDoWDoS[2](2021)CVE-2022-0811（CRI-O）[3]CVE-2022-0185（Linux[5]AzurescapeAzure(20222月)CadoAWSLambdaDenoniaDenonia。DenoniaMoneroLambdaDNSoverLambda[6]\hCSA云计算关键领域安全指南v4.0领域1:云计算概念和架构领域2:治理与企业风险管理领域4:合规和审计管理领域5:信息治理领域6:管理平面和业务连续性7:8:领域9:事件响应领域10:应用安全领域11:数据安全和加密领域12:身份、授权和访问管理\hCSA云控制矩阵v4.0A&A审计与保障A&AA&A-02A&A-03A&A-04A&A-05A&A-06

密码学、加密与密钥管理CEKCEK-03:数据加密CEKCEK-05:加密变更管理AIS应用程序和接口安全AISAIS-02:应用程序安全基线需求AIS-03:应用程序安全指标AIS-04AIS-05AIS-06BCR业务连续性管理和运营韧性BCRBCR-02:风险评估和影响分析BCR-03:业务连续性策略CCC变更控制和配置管理CCCCCC-02CCC-04CCC-09LOG日志记录和监控LOGLOG-03:安全监控与告警LOG-05:审计日志监控与响应LOG-12:访问控制日志SEFSEFSEF-03事件响应计划SEF-04事件响应测试SEF-06事态鉴别分类流程

数据安全与隐私生命周期管理DSPDSP-07:设计和默认数据保护DSP-08:设计和默认数据隐私DSP-17:敏感数据保护DSPIAM身份与访问管理IAMIAM-03:身份清单IAM-05:最小权限IAM-09:特权访问角色的隔离IAM-10:特权访问角色的管理IAM-14:强鉴别IVS基础设施与虚拟化安全IVSIVS-02:容量与资源规划IVS-03:网络层安全IVS-04:操作系统加固与基线控制IVS-05:生产与非生产环境IVS-07:迁移到云环境TVM威胁与漏洞管理TVMTVM-07漏洞识别TVM-08漏洞优先级TVM-09漏洞管理报告Stride威胁分析 引用链接身份欺骗A-real-world-look-at-aws-best-practices-iam-policies\h\h-iam-policies\h\hS221421262100079X\h\hbilityLinux-kernel-container-escape-in-kubernetes\h\hn-kubernetesAzureEscape\h\hFirst-malware-targeting-aws-lambda\h/2022/04/first-malware-targeting-\haws-lambda.html 39篡改数据抵赖信息泄露拒绝服务权限提升PAGEPAGE40威胁10:有组织的犯罪、黑客和APT攻击软件即服务(SaaS)平台即服务(PaaS)基础设施即服务(IaaS)云服务模型基础设施信息元数据应用程序架构客户共同安全责任[1]“”威胁10:有组织的犯罪、黑客和APT攻击软件即服务(SaaS)平台即服务(PaaS)基础设施即服务(IaaS)云服务模型基础设施信息元数据应用程序架构客户共同安全责任APTAPT组织APTAPTTTPAPT。业务影响APT），而另APT关键信息以下是一些关键信息：PAGEPAGE42APTTTP。PTT案例最近的案例包括：(20221月21)LAPSUS$[4]\hCSA云计算关键领域安全指南v4.0领域9:事件响应领域13:安全即服务\hCSA云控制矩阵v4.0TVM应用程序和接口安全TVMTVM-01TVM-02TVM-04:检测更新TVM-05:外部库漏洞TVM-06:渗透测试TVM-07:漏洞识别TVM-08:漏洞优先级TVM-09: