常見Cloud 漏洞與安全風險說明

Cloud 漏洞是安全盲點或入口點，可被惡意使用者利用。

在傳統環境中，漏洞多半出現在周邊層級 (例如防火牆)，相較之下，雲端漏洞可能來自多個領域，例如錯誤配置、存取控制、未定義的共用責任模式、影子 IT 等。

雲端環境本質上與多位使用者、合作夥伴、應用程式及供應商相互連結。

如此廣泛的攻擊面意味著雲端資產暴露於來自帳號劫持、惡意內部人員、帳號劫持、身分與憑證管理不善，以及不安全 API 的威脅。

威脅與弱點的明顯差異在於其迫切性。

如果弱點代表的是存在於等待被利用的弱點，那麼威脅就是惡意或負面事件，通常發生在當下，需要緊急介入。

接下來，這個弱點就是讓組織首次暴露於雲端安全威脅的原因。

舉例來說，雲端配置錯誤代表一種弱點，可能導致弱存取控制，最後導致網路攻擊的威脅。

簡而言之，弱點就是弱點，而威脅就是可能利用此弱點的潛在行動或事件。如果雲端是一扇上鎖的門時，弱點就是有弱點的鎖，而威脅就是有人強行打開它。

雲端基礎架構的核心是建構在不同的層級與元件上；漏洞可能存在於每個層級。

錯誤設定是不正確或過於允許的設定所造成的直接後果，會降低系統的安全性。它們可能發生在雲端容器 (例如設定錯誤的 S3 bucket)、防火牆或未修補程式的虛擬機器。

錯誤設定的範例包括：本應是私人存取權限卻是公開的讀寫存取權限、過時或未修補的權限，甚至缺乏加密設定。

由於人為錯誤、知識不足或自動化腳本撰寫不當，都可能造成配置錯誤，導致資料遺失或洩漏、遭受攻擊時聲譽受損，以及無法符合法規標準。

CapitalOne 在 2019 年就發生了這樣的事件，由於 Web 應用程式防火牆設定錯誤，導致包含超過 1 億名客戶敏感資料（包括社會安全號碼）的 S3 資料桶遭到未經授權的存取。CapitalOne 因為這次資料外洩事件，必須支付 8,000 萬美元的罰款。

顧名思義，雲端環境是快速移動、分散式的，而且通常不受安全團隊的完全控制，因此會發生某些缺乏可見性的情況。

發生這種情況，可能是因為供應商只提供基本的可視性工具，而更深入的監控則需要額外的費用，或是因為組織內部的團隊捉襟見肘，不具備真正監控基礎架構所需的適當雲端特定技能。

組織傾向於追求速度而非安全性也是一個因素。

然而，當可視性被視為一種成本，而非價值驅動因素時，敵人就能滲透雲端基礎架構，並在更長的時間內不被察覺。

由於雲端網路內有許多工具、儀表板和日誌，因此很難將發生的事情相互關聯並獲得可行的洞察力。

存取管理定義哪個使用者或應用程式可以存取雲端資產。

它涉及管理數位身分，以及控制雲端服務、應用程式和資料的存取。

需要設定一些界限和限制，以確保敏感資訊不會落入授權者手中。僅在美國，就有超過 7700 萬人受到帳戶接管的影響，在這種情況下，有些做法變得至關重要：

• 實施 MFA（多因素驗證）
• 強制執行最低權限存取原則 (僅在任務需要時才授予存取權限)
• 使用角色式存取控制，根據工作職能管理存取權限

否則，組織將面臨資料外洩、不遵守法規及營運中斷的風險。

攻擊者可以透過被騎劫的帳戶滲透系統，並利用不良的存取政策，他們可以移動到更高層級的資源或系統；目標是獲得更多的系統控制權，並可能造成重大損害。

在雲端基礎架構內，API 可讓不同的系統、服務或應用程式與雲端環境互動。

這表示 API 可以控制資料、基礎架構和功能的存取。

不安全的API 可能意味著它不需要有效的使用者或識別碼才能存取、它允許比需要更多的存取權限，或是它會記錄敏感的資料。

如果 API 設定錯誤或外洩，即使沒有完整的憑證，攻擊者也能存取資料（使用者資訊、財務、醫療記錄）。

2021 年的情況就是如此，Peloton 的API 存在漏洞，任何人都可以存取使用者帳戶資料，甚至是私人檔案。Pen Test Partners 發現此漏洞後，未經驗證的請求便可通過，暴露了年齡、性別、位置、體重、鍛鍊統計和生日等詳細資料。

存取如此複雜的資料庫可能會進一步升級為多媒體攻擊、身分竊取或社交工程攻擊。

影子 IT 是指在 IT 或安全部門不知情、未批准或未控制的情況下，在組織內使用軟體、硬體或其他 IT 系統。

不論是為了方便，或是出於惡意，員工都可能會尋找官方提供以外的工具，為組織帶來重大的網路安全風險。

實踐中的影子 IT 可以是這樣的：

• 員工將敏感的工程文件上傳至個人雲端儲存。
• 有人使用未經授權的遠端存取工具 (例如 AnyDesk) 來排除工業系統故障或存取關鍵基礎建設中的 SCADA 環境。
• 透過未經審核的平台（如 WhatsApp）而非企業標準進行視訊通話。

在關鍵基礎建設或高安全性環境中，影子 IT 可能會造成危險的盲點 - 開啟資料洩漏、惡意軟體入侵或不遵守法規的途徑。

由於所涉及的使用者或系統的可信賴性質，惡意、疏忽或受損的內部人員可能較難偵測。

這些人所造成的潛在損害可能會導致資料外洩、服務中斷、違反法規及財務損失。

零時差漏洞是一種先前未知的安全漏洞，在發現時還沒有可用的修補程式，而且可以在廠商發現之前就被利用。

在雲端環境中，這包括雲端平台 API、容器協調系統、SaaS 應用程式或雲端託管工作負載中的漏洞。

雲端的動態、互連和多租戶性質，讓瑕疵快速擴散並影響許多資源，而使用者對基礎架構缺乏必要的可見性，無法快速偵測。

此外，修補雲端系統可能需要時間，這也增加了零時差的風險。

根據這份報告，從 2023 年開始，預防雲端配置錯誤已成為半數以上公司的首要考量，展現其可能後果的嚴重性。

雲端弱點最具破壞性的後果之一，就是敏感資料外洩或遺失。

企業通常依賴雲端儲存解決方案來保存客戶記錄、專屬資訊或作業資料。

因此，資料外洩可能意味著個人身分、財務資訊、智慧財產，甚至商業機密遭到竊取。

除了即時的影響之外，這類事件也可能導致長期的聲譽受損和客戶信任崩潰。

受影響的個人可能會放棄服務，而合作夥伴可能會重新考慮業務關係。

即使漏洞很快就被控制住，調查、修復、客戶通知和潛在訴訟的成本也可能高達數百萬美元，這還不包括生產力損失和品牌損害的機會成本。

大多數行業都受到嚴格的法規遵循架構 (例如 GDPR、HIPAA、PCI DSS 或 CCPA) 所規範，這些架構決定資料必須如何儲存、存取及保護。

當漏洞導致未經授權存取敏感資料或對敏感資料控制不足時，公司就有被發現違反這些法律的風險。監管機構可能會處以巨額罰金、提起法律訴訟或強制執行營運限制。

舉例來說，在歐盟等司法管轄區，GDPR 下的罰款可高達全球年營收的 4%，即使是單一事件也會變成高風險事件。

Cloud 漏洞已存在一段相當長的時間，因此組織可以開發出完整的方法來降低漏洞風險。

Cloud 基礎架構是高度動態的，因為會定期部署新服務並新增整合。

每項變更都有可能造成配置錯誤或暴露，因此弱點評估是一項持續性的工作。

即使組織找出弱點並開始修補，有些系統在更新版本後仍無法正常運作。

在這種情況下，必須保留某些弱點以維持作業的連續性，因此必須加以管理。

安全團隊需要結構化的方法來記錄這些例外情況、評估相關風險，並應用適當的控制策略，例如將弱點與網路隔離。

CSPM 涉及掃描基礎結構，以找出錯誤配置、違反政策和過度放任的存取控制。

CSPM 並非專注於軟體缺陷，而是處理可能導致資料曝光或合規失敗的架構和組態風險 (配置錯誤的 S3 儲存桶、未加密的儲存或 IAM 傳輸)。

CSPM 提供對雲端環境的即時可見性、針對合規性架構（如 CIS、PCI 或 GDPR）的自動檢查，以及錯誤配置警示。

CNAPP 平台可加強雲端安全性，統一多層防護，Cloud 安全勢態管理Cloud 工作負載防護平台 (CWPP) 和弱點管理結合為單一框架。

它們能深入洞察整個應用程式生命週期，從基礎架構配置到工作負載行為和執行時威脅。

CNAPP 可直接在虛擬機、容器和無伺服器環境中嵌入主機偵測、行為監控和弱點掃描，從而與其他安全工具整合。

在內部部署環境中，漏洞最有可能出現在邊界層級；即組織內部安全網路與外部（通常是不受信任的）網路之間的邊界。

內部部署的安全缺口可能意味著軟體過時、伺服器配置錯誤、硬體故障，甚至是實體安全漏洞。

然而，在雲端環境中，防火牆和網路不再形成穩定的邊界，因為身分已成為第一個也是最重要的安全邊界。

即使基本的安全原則仍然適用，雲端仍會帶來新的動態，尤其是關於責任、可見性和資產的不穩定性。

Cloud 環境多半會受到動態、API的威脅，相較之下，內部部署環境的危險則來自已知的風險，例如未經授權的實體存取、內部攻擊或周邊漏洞。

主要的差異包括：錯誤配置是造成攻擊的主要原因、短暫資源 (容器、無伺服器功能) 的存在 (通常會避開傳統掃描工具)，以及以身分為基礎的攻擊變得更頻繁、更受攻擊者喜愛。

此外，雲端中的安全責任也會轉移，這主要是由於前面討論過的共用責任模式。

在此架構中，組織負責保護資料、應用程式、組態和身分的安全，包括所有與檔案處理有關的邏輯：

• 驗證和淨化上傳的檔案。
• 在物件或儲存桶層級設定存取權限。
• 加密傳輸中和靜止中的資料。
• 在雲端儲存互動上實施監控與威脅偵測。

最後，為了跟上雲端發展的速度與複雜性，安全領導者必須瞭解威脅的語言與演變本質。

跨 DevOps、安全和領導團隊的共同詞彙是協調防禦的基礎，所有團隊成員都應圍繞關鍵的產業詞彙進行協調，例如：