《CSA GCR云安全联盟：2024年云计算顶级威胁报告（71页）.pdf》由会员分享，可在线阅读，更多相关《CSA GCR云安全联盟：2024年云计算顶级威胁报告（71页）.pdf（71页珍藏版）》请在三个皮匠报告上搜索。

1、2024 云安全联盟大中华区版权所有12024 云安全联盟大中华区版权所有22024 云安全联盟大中华区保留所有权利。你可以在你的电脑上下载.储存.展示.查看及打印，或者访问云安全联盟大中华区官网（https:/www.c-）。须遵守以下：（a）本文只可作个人.信息获取.非商业用途；（b）本文内容不得篡改；（c）本文不得转发；（d）该商标.版权或其他声明不得删除。在遵循 中华人民共和国著作权法相关条款情况下合理使用本文内容，使用时请注明引用于云安全联盟大中华区。2024 云安全联盟大中华区版权所有32024 云安全联盟大中华区版权所有4致谢致谢2024 年云计算顶级威胁（Top Threats

2、 to Cloud Computing 2024）由 CSA 云安全联盟顶级威胁研究工作组专家编写，并由 CSA 大中华区组组织专家完成翻译并审校。翻译组成员：翻译组成员：陆琪刘连杰刘刚赵晨曦卜宋博肖文棣审校组成员：审校组成员：郭鹏程党超辉卜宋博研究协调员：研究协调员：闭俊林易利杰贡献单位：贡献单位：爱立信（广州）有限公司天翼安全科技有限公司天翼云科技有限公司中国移动香港有限公司晨星资讯（深圳）有限公司（以上排名不分先后）2024 云安全联盟大中华区版权所有5英文版本编写专家英文版本编写专家主要作者：主要作者：Jon-Michael Brook Alex GetsinVic Hargrave

3、Michael Roza贡献者：贡献者：Jon-Michael Brook Randall Brooks Alex GetsinVic Hargrave Laura KennerMichael Morgenstern Stephen Pieraldi Michael Roza审校者：审校者：Vishnu GutthaYuvaraj MadheswaranNishith SinhaCSA 全球员工：全球员工：Sean HeideClaire LehnertStephen Lumpe在此感谢以上专家。如译文有不妥当之处，敬请读者联系 CSA GCR 秘书处给予改正！联系邮箱 researchc-；

4、云安全联盟 CSA 公众号。2024 云安全联盟大中华区版权所有6序言序言随着云计算的快速普及，云安全已成为企业数字化转型过程中不可忽视的核心问题。云环境的开放性、多样性和复杂性，给企业带来了前所未有的安全挑战，而其中的威胁正不断演变。为了帮助企业更好地理解并应对这些威胁，云安全联盟（CSA）大中华区发布了2024 年云计算顶级威胁。本报告基于 500 多位全球专家的调研与分析，深入剖析了当今企业面临的云安全风险，并为应对这些挑战提供了切实可行的策略建议。2024 年，云计算领域的安全威胁格局将发生显著变化。我们看到，传统威胁正在逐渐被边缘化，新的风险，如配置错误、身份与访问管理的薄弱、不安全

5、的 API 接口，以及缺乏系统性的云安全策略，正成为核心安全问题。而随着生成式人工智能（如 ChatGPT）的广泛应用，企业在享受技术创新带来效率提升的同时，也面临着更复杂的安全挑战。AI 技术的双刃剑效应，不仅加速了网络攻击的自动化和复杂化，也为云安全防护带来了前所未有的机遇。如何在这个动态的环境中，平衡 AI 技术的应用并最大化其积极效应，成为企业安全策略中至关重要的一环。展望未来，全球云安全将继续面临愈发复杂的供应链风险、监管环境的不断演变,以及新型攻击手段的层出不穷。企业需要具备前瞻性思维，采用创新的安全架构和技术，尤其是在零信任模型、自动化安全管理、云原生安全工具等方面加大投入，确保

6、其在日益变化的环境中具备强大的应变能力。同时，安全技能的差距也将继续成为企业面临的长期挑战，推动全员持续教育与技能提升是增强组织整体安全韧性的关键。李雨航 Yale LiCSA 大中华区主席兼研究院长2024 云安全联盟大中华区版权所有7目录目录摘要.8调查.10威胁 1：配置错误与变更控制不足.13威胁 2：身份与访问管理.19威胁 3：不安全的接口与 APIs.25威胁 4：云安全策略缺失.31威胁 5：不安全的第三方资源.36威胁 6：不安全的软件开发.41威胁 7：意外的数据泄露.46威胁 8：系统漏洞.51威胁 9：云可见性/可观测性不足.55威胁 10：未验证的资源共享.61威胁