2024年不容忽视的六大多云安全威胁

随着我们进入新的一年，了解可能影响多云环境的威胁只是第一步。下一步是制定更灵活、更全面的安全战略。随着攻击者变得越来越具创新精神，企业也需要加快步伐，做同样的事情。随着人工智能和量子计算的发展，我们需要为云可能发生的变化和相应的适应做好准备。

考虑到云基础设施的可靠性、灵活性和成本优势，在过去的几年里，一些企业已经陆续转向了多云环境。不幸的是，这种转变带来了一系列新的安全威胁。如果您所在企业正在多云环境中运行，那么在2024年您一定注意要这几大安全威胁。

1、数据泄露事件增多

2024年，基于云的威胁的频率和成熟度预计将进一步增加。

根据谷歌《2024年网络安全预测报告》指出，攻击者将花费更多时间试图找到云基础设施的弱点，特别是在公共云和混合云环境之间的交叉领域。

组织要为可能增加的攻击做好准备，为此，强烈建议您评估当前使用的暴露管理工具。主动进行风险管理需要成为组织内日常操作的一个组成部分，从而实现更快的响应。您甚至可能需要思考是否转向提供更全面保护策略的云服务提供商。

2、专注于人工智能平台

根据麦肯锡全球调查显示，目前有三分之一的企业在日常工作中使用生成式人工智能。Azure OpenAI和Google Cloud Vertex
AI等基于云的AI平台的采用也有所增加。

这意味着针对人工智能平台的攻击也有所增加，我们预计在2024年将看到更多此类攻击。模型数据中毒是一种经常被使用的策略。它是向系统提供不正确或不适当的数据以影响其训练的过程。这可能会导致不必要的计算和额外的操作成本。

任何暴露在互联网上的设备也可能提供对模型代码的未经授权的访问，这可能导致算法被盗，甚至允许远程代码执行。

如果您目前正在将AI与可识别信息、支付信息或开发密钥和令牌等数据一起使用，则需要采取额外的预防措施来防止敏感数据暴露。

为了降低这些风险，建议您必须遵守最小特权原则（PoLP）并彻底加密数据。

此外，持续监控平台的活动也很重要。这将确保您能及早发现可疑行为。最后，您要确保对员工进行了有关潜在威胁和安全最佳实践的培训。

3、高级网络钓鱼策略

组织内的人员将始终是最大的安全威胁之一，这就是为什么网络钓鱼仍然是与多云环境相关的最常见攻击类型之一。

根据Tenable发布的《云安全状况调查报告》显示，与云访问相关的威胁是云数据泄露的主要原因。在所有参与者中，83%的人表示，在过去18个月里，他们经历的云数据泄露至少有一次与云访问有关。

大约50%的参与者报告称，至少25%的数据泄露与云访问有关。而且，这一数字正随着公司规模的增加而增加。对于员工超过2万人的企业，与云访问相关的数据泄露比例达到了38%。这种相关性是有意义的，因为员工数量越多，他们使用的云资源越多，需要管理的身份和访问权限数量也就越多，因此更容易暴露在相关风险之下。

人工智能是这些攻击仍然常见且比以前有效得多的主要原因之一。人工智能技术更容易创造可信的信息和电子邮件。成功的网络钓鱼攻击可能导致凭据泄露和绕过身份验证过程，从而使未经授权的用户能够访问您最敏感的数据。

想要限制网络钓鱼诈骗的影响，组织应该从强大的身份和访问管理（IAM）以及多因素身份验证入手。除此之外，培训员工加强网络钓鱼意识也可以降低数据泄露风险。

4、供应链软件漏洞

这是多云环境最容易受到攻击的另一个领域。无数的网络攻击者瞄准了第三方供应链软件提供商。

在2022年至2023年期间，美国超过61%的公司受到了这类攻击的影响。其中，Okta和CircleCI是最具代表性的两家公司。

通过利用指向敏感数据的第三方链接，攻击者可以获得令牌和凭据。这使他们能够控制关键系统和访问客户数据。更重要的是，如果您的客户安装了相同的软件包，那么与恶意代码相关的攻击可能影响的不仅仅是您的公司。

幸运的是，您可以采取一些步骤来防止您的供应链软件成为安全风险。

除了加密API密钥、令牌和客户数据外，您还需要定期轮换任何密钥和令牌。这样做可以减少攻击者访问云存储数据的机会。

此外，您还应该遵循最小特权原则并进行自动安全扫描。

最后，在考虑云服务提供商和其他第三方供应商时，确保进行了尽职调查。尽可能多地了解他们的安全实践和风险管理协议，以减少安全漏洞的可能性。

5、多云复杂性漏洞利用

迁移到云意味着管理员需要跟踪多个移动部件，在多云环境中操作时更是如此。随着越来越多的组织采用这种基础设施，出现管理错误的机会增加，安全风险也随之增加。每个云提供商都有不同的配置和安全策略，这使得在实现和管理期间更容易犯错误。

想要克服此风险并确保攻击者无法利用任何漏洞，组织可以采用包含CNAPP或CSPM解决方案的安全策略。该解决方案为企业提供了多云环境的单一视图，从而减少了不断配置、更新和管理多个仪表板的需要。

6、量子计算的进展

一开始，为了防止利用量子计算破解密码的攻击，RSA等加密算法得以广泛应用。

然而，量子计算已经变得更加先进，这使得网络犯罪分子更容易同时进行无数次计算来泄露密码。像RSA这样的算法可能很快就会过时，因此组织需要做好相应的准备。

实现抗量子加密算法是克服这个迫在眉睫的问题的唯一方法之一。

调整策略以防止多云安全威胁

随着我们进入新的一年，了解可能影响多云环境的威胁只是第一步。下一步是制定更灵活、更全面的安全战略。

随着攻击者变得越来越具创新精神，企业也需要加快步伐，做同样的事情。随着人工智能和量子计算的发展，我们需要为云可能发生的变化和相应的适应做好准备。

加密最敏感的数据，轮换API密钥和令牌，并对第三方供应商和云服务提供商进行严格的尽职调查，这些都可以使您的组织领先一步。

---

关于黑客&网络安全学习指南

学好 网络安全不论是就业还是做副业赚钱都不错，但要学会 网络安全 还是要有一个学习规划。最后给大家分享一份全套的 网络安全学习资料，给那些想学习网络安全的小伙伴们一点帮助！

内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础等教程，带你从零基础系统性的学好网络安全。

1.学习路线图

攻击和防守要学的东西也不少，具体要学的东西我都写在了上面的路线图，如果你能学完它们，你去就业和接私活完全没有问题。

2.网络安全视频教程600集和配套电子书
观看零基础学习视频，看视频学习是最快捷也是最有效果的方式，跟着视频中老师的思路，从基础到深入，还是很容易入门的。

温馨提示：篇幅有限，已打包文件夹，获取方式在：CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享

3.技术文档
技术文档也是我自己整理的，包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点，电子书也有200多本，由于内容的敏感性，我就不一一展示了。

4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等，感兴趣的同学不容错过。

还有我视频里讲的案例源码和对应的工具包，需要的话也可以拿走。

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取：CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享

最后就是我这几年整理的网安方面的面试题，如果你是要找网安方面的工作，它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的，如果大家有好的题目或者好的见解欢迎分享。

参考解析：深信服官网、奇安信官网、Freebuf、csdn等

内容特点：条理清晰，含图像化表示更加易懂。

内容概要：包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取：CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享