2024年高严重程度云安全警报数量增加了两倍

2024年，云安全领域面临严峻挑战，最新数据显示影响客户的严重云安全事件发生率显著增加，增幅超过两倍。

年初至年末，安全公司跟踪到影响组织的云安全警报数量激增388%。这一增长并非源于低严重程度（全年增长10%）或中等严重程度（增长21%）的威胁，而是高严重程度事件的急剧增加，这类事件增长了整整235%。这一趋势表明，恶意行为者不仅更频繁地攻击云环境，而且攻击手段更加高效，成功绕过安全防护的可能性增大。

组织平均每天收到20多条与三类可疑活动相关的严重警报：无服务器令牌的远程命令行使用，平均每天发生24.68次。某个身份对多个云存储对象进行可疑下载，平均每天21.09次。云存储删除保护被禁用，平均每天20.19次。

这些行为若串联起来，可能构成全面的网络攻击。例如，勒索软件组织可能利用无服务器功能凭证在目标环境中轻松访问和横向移动，随后禁用备份和数据删除保护，最终通过下载所有数据实施勒索。

中等严重性警报中，最常见的情况是用户连续尝试执行不被允许的操作，这既可能是黑客的恶意行为，也可能是普通用户的误操作。此类事件每天发生约80次。

2024年还发现了其他一些显著的风险趋势：

可疑大型下载量增加305%：“不可能的旅行事件”增长116%，即用户在短时间内从两个遥远地点登录。预期地理区域之外发出的用于控制虚拟机的IAM API请求增加60%。

目前最常见的云警报中，仅有极少数是由云安全态势管理（CSPM）问题引起的。Palo Alto跟踪的10个高严重性云警报和10个中等严重性云警报中，几乎全部发生在运行时上下文中。

云安全的发展经历了从CSPM到实时运行时安全性的转变。他解释道：“CSPM是基于配置的，分析云环境后指出配置问题。而Wiz等工具的出现，通过提供漏洞背景信息，使安全分析更加精准。如今，云安全圈的焦点已转向应用程序实际运行时的实时情况。”