美國網(wǎng)絡(luò)安全公司OrcaSecurity發(fā)布了《2022年公有云安全研究報(bào)告》（以下簡稱“《報(bào)告》”）,，《報(bào)告》對公有云現(xiàn)狀以及如何解決云漏洞發(fā)表了獨(dú)到見解,。

　　公有云安全現(xiàn)狀：

　　01,、攻擊路徑非常短：攻擊者平均攻擊路徑只需3個(gè)步驟,，這意味著攻擊者只需在云環(huán)境中找到三個(gè)可連接可利用的漏洞就可以泄露數(shù)據(jù)對企業(yè)進(jìn)行勒索,。

　　02,、漏洞是主要的初始攻擊媒介：78% 的已識(shí)別攻擊路徑使用已知漏洞作為初始訪問攻擊媒介,，這表示企業(yè)需要更加重視漏洞修補(bǔ),。

　　03,、存儲(chǔ)資產(chǎn)通常處于不安全狀態(tài)：攻擊者可以公開訪問大多數(shù)云環(huán)境的 S3 存儲(chǔ)桶和 Azure Blob 存儲(chǔ)資產(chǎn),，這是一種高度可利用的錯(cuò)誤配置，也是眾多數(shù)據(jù)泄露的原因,。

　　04,、沒有遵循基本的安全實(shí)踐：許多基本的安全措施，如多重身份驗(yàn)證（MFA）,，加密,，強(qiáng)密碼和端口安全性，仍然沒有相應(yīng)地應(yīng)用,。

　　05,、云原生服務(wù)被忽視：盡管云原生服務(wù)很容易啟動(dòng)，但其仍然需要維護(hù)和適當(dāng)?shù)呐渲茫?0%的企業(yè)擁有可公開訪問的Kubernetes API服務(wù)器。

　　《報(bào)告》顯示,，企業(yè)仍有許多工作要做,，從未打補(bǔ)丁的漏洞到過于寬松的身份驗(yàn)證，再到存儲(chǔ)資產(chǎn)容易暴露,。然而,，企業(yè)無法修復(fù)其環(huán)境中的所有風(fēng)險(xiǎn)，所以,，企業(yè)應(yīng)該戰(zhàn)略性地工作,，以確保總是首先修補(bǔ)危及企業(yè)關(guān)鍵資產(chǎn)的風(fēng)險(xiǎn),。

　　近日,，阿里云也發(fā)布了《云上數(shù)字政府之?dāng)?shù)據(jù)安全建設(shè)指南》（簡稱“《指南》”），《指南》給出了數(shù)據(jù)安全從規(guī)劃到建設(shè)到評估再到運(yùn)營的方法論,，為政企數(shù)據(jù)安全建設(shè)提供了參考借鑒,。《指南》包括數(shù)據(jù)安全風(fēng)險(xiǎn)大圖,、“規(guī)劃-建設(shè)-評估-運(yùn)營”螺旋上升式建設(shè)框架,、數(shù)據(jù)安全能力建設(shè)雷達(dá)圖、五大典型業(yè)務(wù)場景建設(shè)方案,、三大案例直觀呈現(xiàn)最佳實(shí)踐等以解決政企單位云上安全,。

　　云安全廠商知道創(chuàng)宇創(chuàng)始人兼CEO趙偉提出：讓安全能力長在云上，其構(gòu)造出一套“云安全治理平臺(tái)”,，建立小型多層次,、獨(dú)立、專有的安全云,。知道創(chuàng)宇表示,，云安全治理需要“以小云護(hù)主云，云云協(xié)同”,。從應(yīng)用安全防護(hù)層,、內(nèi)容安全治理層、業(yè)務(wù)安全防護(hù)層,、全球威脅情報(bào)協(xié)同治理層四個(gè)層級保護(hù)主云安全,，以實(shí)現(xiàn)統(tǒng)一安全管理、安全防護(hù),、風(fēng)險(xiǎn)監(jiān)測,、安全合規(guī)和態(tài)勢感知。

　　Orca Security首席執(zhí)行官Avi Shua也表示：“公共云的安全性不僅取決于提供安全云基礎(chǔ)設(shè)施的云平臺(tái),，還取決于企業(yè)在云中的工作負(fù)載,、配置和身份狀態(tài),，企業(yè)需要選擇符合自身的云安全問題解決方案?！?/p>

　　更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<