威脅1:身份、憑據(jù)，訪問(wèn)和密鑰管理、特權(quán)賬號(hào)管理的不 威脅2:不安全的接口和 威脅3:配置不當(dāng)和變更控制的不 威脅4:缺乏云安全架構(gòu)和戰(zhàn) 威脅5:不安全的軟件開(kāi) 威脅6:不安全的第三方資 威脅7:系統(tǒng)漏 威脅8:云計(jì)算數(shù)據(jù)的意外泄 威脅9:無(wú)服務(wù)器和容器化工作負(fù)載的配置不當(dāng)和利 威脅10:有組織的犯罪、黑客和APT攻 威脅11:云存儲(chǔ)數(shù)據(jù)泄 有組織的犯罪、黑客和APTTwelve（EE，再 1、PPKv0AvTR(2021年)，出現(xiàn)了涉及Twitch、CosmologyKozmetik、PeopleGIS、Premier要的云配置管理錯(cuò)誤——AWSS3 IAM角色是關(guān)鍵的違規(guī)行為雖然S3存儲(chǔ)桶不像其他許多漏洞那樣暴露在互聯(lián)CSA2:4:5:6:11:12:14:CSA云控制矩陣AIS-01AIS-02:應(yīng)用程序安全基線需求AIS-03CCC-07CCC-08:例外管理DSP-03DSP-04DSP-07DSP-17:敏感數(shù)據(jù)保護(hù)DSP-19GRC-02:風(fēng)險(xiǎn)管理計(jì)劃GRC-05:信息安全計(jì)劃GRC-06

IAM-01IAM-03:身份清單IAM-05IAM-08LOG-10IVS-03TVM-08WorstAWSDataBreachestof2021SEGAEuropeThoroughlyScrutinizesitsCloudSecuritynBlog|LessonsLearnedfromSEGAEurope’srecentsecurityliclyOpen|EyerysTheCapitalOne-AWSincidenthighlightstherolesandresponsibilitiesofcloudcustomers,providers PP2API方面面臨著一項(xiàng)具有挑戰(zhàn)性的任務(wù)。Akamai2021的一份報(bào)告記錄了“在上一年(2242)Ex2](2021年5月5日)高檔互動(dòng)健身器材公司Peloton中斷了用戶身份驗(yàn)證和對(duì)象級(jí)(2021年4月22日)農(nóng)業(yè)機(jī)械、重型設(shè)備和草坪護(hù)理設(shè)備制造商約翰迪爾（JohnCSA4:5:6:7:8:10:11:12:CSAAIS-01AIS-04:應(yīng)用程序安全設(shè)計(jì)和安全開(kāi)發(fā)AIS-06:自動(dòng)化應(yīng)用程序安全部署CEK-03CEK-04CCC-01CCC-02:質(zhì)量測(cè)試CCC-05

DSP-01DSP-03:數(shù)據(jù)清單DSP-04DSP-05:數(shù)據(jù)流文檔IVS-03IVS-04IVS-09:網(wǎng)絡(luò)防御ExperianAPIExposedCreditScoresofMostAmericans:Peloton’sLeakyAPISpilledRiders’PrivateData: (2022年3月9日)據(jù)報(bào)道，由于客戶管理的ServiceNowACL（訪問(wèn)控制列表）配(2021年10月4日)Facebook擁有的應(yīng)用程序Facebook、Instagram、Whatsapp和(2021年1月7日)據(jù)報(bào)道，微軟錯(cuò)誤配置了其自己的AzureBlob（云）存儲(chǔ)桶，CSA4:5:6:7:8:10:11:12:A&A-02A&A-03AIS-02AIS-04AIS-05:自動(dòng)化應(yīng)用程序安全測(cè)試BCR-02BCR-03:業(yè)務(wù)連續(xù)性策略BCR-08CCC-02CCC-04CCC-09:變更恢復(fù)CEK-03CEK-05DSP-07DSP-08DSP-17:敏感數(shù)據(jù)保護(hù)

GRC-02GRC-05HRS-09:人員角色和職責(zé)HRS-11IAM-03IAM-08IVS-02:變更檢測(cè)IVS-03IVS-04LOG-03LOG-05LOG-12:訪問(wèn)控制日志SEF-03事件響應(yīng)計(jì)劃SEF-04事件響應(yīng)測(cè)試SEF-06TVM-07漏洞識(shí)別TVM-08TVM-09MajorSecurityMisconfigurationImpactingServiceNowInstances/MajorSecurityMisconfigurationImpactingServiceNowandOtherSaaSInstancesSharedSecurityModelandAccessControlInformationarticle=KB1095978ServiceNowreleasesguidanceonAccessControlListmisconfigurationseabouttheOctober4thoutageMoredetailsabouttheOctober4outagedetails/WhyFacebook,Instagram,andWhatsAppAllWentReport:HotelReservationPlatformLeavesMillionsofPeopleExposedinMassiveDataBreachLeakyAWSS3bucketonceagainatcentreofdatabreach 2預(yù)先決定可以包括現(xiàn)有的供應(yīng)商鎖定、在需要本地?cái)?shù)據(jù)駐留的特定地區(qū)進(jìn)行擴(kuò)張的業(yè)務(wù)意圖、公司范(2021年1月)沃爾瑪旗下的美國(guó)服裝店Bonobos遭遇了大規(guī)模數(shù)據(jù)泄露，泄露的完整數(shù)據(jù)庫(kù)（70GB的SQL數(shù)據(jù)庫(kù)，包含700萬(wàn)條用戶記錄），包括消費(fèi)者的制影響或降低類似違規(guī)現(xiàn)象的可能性。[1][2](227)KyKyM3]CSA1:2:6:CSAA&A-03A&A-04需求合規(guī)AIS-04BCR-02BCR-03業(yè)務(wù)連續(xù)性策略BCR-04BCR-08備份CEK-08CEK-07加密風(fēng)險(xiǎn)管理CS-01GRC-02GRC-05

GRC-08GRC-02IAM-04IAM-05IAM-09IAM-01IAM-06用戶訪問(wèn)授權(quán)IPY-01IVS-03IVS-05IVS-08網(wǎng)絡(luò)架構(gòu)文檔IVS-06分區(qū)與隔離STA-01STA-08供應(yīng)鏈風(fēng)險(xiǎn)管理IncidentOverview&TechnicalDetails 軟件即服務(wù)(SaaS)2) )CSA1:10:12:13:CSA云控制矩陣AIS-02AIS-04AIS-05:自動(dòng)化應(yīng)用程序安全測(cè)試CCC-02

TVM-04IAM-01IAM-04:職責(zé)分離IAM-05IAM-14:強(qiáng)鑒別Ialwayscallthemgluebugs,IthinkIgotthatfromyou! (2020年12月13日到2021年4月6日)Solarwinds是一家總部位于美國(guó)的網(wǎng)絡(luò)監(jiān)控絡(luò)和服務(wù)器。[1][2](2021年12月)Log4shell是廣受歡迎的開(kāi)源Java日志框架Log4j中發(fā)現(xiàn)的一個(gè)零日和垃圾郵件。[3][4](2019年5月到2021年8月)從2019年5月到20218月，大眾汽車的北美子公司遭客戶。[5][6]CSA1:2:7:10:12:CSABCR-01BCR-02:風(fēng)險(xiǎn)評(píng)估和影響分析BCR-03CCC-02CCC-04DCS-05:資產(chǎn)分級(jí)分類DCS-06DCS-07:受控接入點(diǎn)DSP-03:數(shù)據(jù)清單DSP-05DSP-06:數(shù)據(jù)所有權(quán)和管理權(quán)DSP-08:設(shè)計(jì)和默認(rèn)數(shù)據(jù)隱私DSP-10:敏感數(shù)據(jù)傳輸IAM-05IAM-10IAM-11IAM-14:強(qiáng)鑒別

IPY-01IPY-02:應(yīng)用程序接口可用性IPY-03IPY-04:數(shù)據(jù)可移植性的合同義務(wù)SEF-01SEF-03:事件響應(yīng)計(jì)劃STA-01STA-02:共享安全責(zé)任模型供應(yīng)鏈STA-03STA-04STA-05:共享安全責(zé)任模型文檔評(píng)審STA-06STA-07STA-08:供應(yīng)鏈風(fēng)險(xiǎn)管理STA-09STA-10:供應(yīng)鏈協(xié)議評(píng)審STA-11STA-12STA-13:供應(yīng)鏈治理評(píng)審STA-14SolarwindsthesupplychainhackUsingMicrosoftfortheSolarwindshackMorethan1.2mattacksusinglog4jVolkswagenandAudicustomer’sdataleakageTwothirdofbreachesaresupplychainattacks 告》[2]指出，第三方軟件中的漏洞導(dǎo)致了研究對(duì)象中14%的數(shù)據(jù)泄露，而云的日志記錄工具Log4j2.0beta9至2.14.1版本系統(tǒng)的使用。鑒于Java在云系統(tǒng)中(2021年8月)云安全公司W(wǎng)iz的安全研究人員透露，他們可以訪問(wèn)數(shù)千名MicrosoftAzure客戶的數(shù)據(jù)。Azure的CosmosDB中存在安全漏洞，研究人員將(2021年9月)微軟的研究人員觀察到一個(gè)與俄羅斯政府有聯(lián)系的網(wǎng)絡(luò)間諜組織部署了一個(gè)后門，利用ActiveDirectoryFederation竊取配置數(shù)據(jù)庫(kù)和安全令牌。CozyBear和NOBELIUM）。[2](2021年)根據(jù)軟件廠商Ivanti的《2021勒索軟件聚焦年終報(bào)告》，與勒索軟件CSA7:10:11:12:CSAAIS-01AIS-02:應(yīng)用程序安全基線需求AIS-06CEK-03CEK-04IAM-02IAM-14:強(qiáng)鑒別IAM-15IAM-16

IVS-04TVM-01TVM-02:惡意軟件防護(hù)的策略和規(guī)程TVM-03:漏洞修復(fù)措施安排TVM-04:檢測(cè)更新TVM-05TVM-06:滲透測(cè)試TVM-07:漏洞識(shí)別TVM-08TVM-09Log4Shell0-dayVulnerability:AllYouNeedtoKnowMicrosoft’sverybadyearforsecurity:AtimelineRansomwareSpotlightYearEnd2021Report(Ivanti)2021marksanotherrecordyearforsecurityvulnerabilitiesCostofDataBreachReport(IBM)CybersecurityvulnerabilitiesandtheirbusinessimpactRansomwareattacksareincreasinglyexploitingsecurityTopRoutinelyExploitedVulnerabilitiesWhatarethedifferenttypesofvulnerabilities? （CDN2021年1月VIPGames23M數(shù)據(jù)——云錯(cuò)誤配置暴露了超過(guò)6萬(wàn)用戶的2300萬(wàn)2021年4月Reverb5.6M數(shù)據(jù)——Elasticsearch存儲(chǔ)的560萬(wàn)條客戶記錄在網(wǎng)上2021年9月TheTelegraph10TB數(shù)據(jù)——英國(guó)報(bào)紙《電訊報(bào)》披露了一個(gè)包含2022年1月Securita1M數(shù)據(jù)——未經(jīng)驗(yàn)證的AWS服務(wù)器暴露了3TB的機(jī)場(chǎng)員2022年2月FlexBooker19M數(shù)據(jù)——12CSA5:7:12:CSAAIS-02AIS-04IAM-01IAM-03:身份清單BCR-05

DSP-03DSP-08GRC-01GRC-02:風(fēng)險(xiǎn)管理計(jì)劃IVS-01IVS-03:網(wǎng)絡(luò)層安全I(xiàn)VS-061.2022CloudSecurityThreatsreport2.UnsecuredElasticsearchserverbreachedineighthoursflatHowmuchdoesadatabreachcost?Acloudmisconfigurationexposed23Mrecordsofover60KusersUKnewspaperTheTelegraphexposed10TBdatabasewithsubscriberdata)CVE-2022-0811（CRI-O容器逃逸漏洞）[3]、CVE-2022-0185（Linux內(nèi)核緩沖區(qū)(2022年2月)Cado實(shí)驗(yàn)室的研究人員發(fā)現(xiàn)了直接針對(duì)第一個(gè)AWSLambda的已Denonia是一個(gè)用來(lái)挖掘Monero加密貨幣的Lambda函數(shù)，通過(guò)使用DNSoverCSA1:2:4:5:6:7:8:9:10:11:12:CSAA&A-02A&A-03A&A-04:需求合規(guī)A&A-05A&A-06:修復(fù)措施

CEK-03CEK-05AIS-02AIS-03:應(yīng)用程序安全指標(biāo)AIS-04AIS-05:自動(dòng)化應(yīng)用程序安全測(cè)試AIS-06BCR-02BCR-03:業(yè)務(wù)連續(xù)性策略CCC-02CCC-04CCC-09:變更恢復(fù)LOG-03LOG-05LOG-12:訪問(wèn)控制日志SEF-03事件響應(yīng)計(jì)劃SEF-04事件響應(yīng)測(cè)試SEF-06

DSP-07DSP-08DSP-17:敏感數(shù)據(jù)保護(hù)IAM-03IAM-05IAM-09IAM-10IAM-14:強(qiáng)鑒別IVS-02IVS-03:網(wǎng)絡(luò)層安全I(xiàn)VS-04IVS-05:生產(chǎn)與非生產(chǎn)環(huán)境IVS-07TVM-07漏洞識(shí)別TVM-08TVM-09AzureEscape T1”5 PTTP(2022年1月21日LAPSUS$CSA9:13:CSATVM-01TVM-02:惡意軟件防護(hù)的策略和規(guī)程TVM-03:漏洞修復(fù)措施安排TVM-04:檢測(cè)更新TVM-05TVM-06:滲透測(cè)試TVM-07:漏洞識(shí)別TVM-08TVM-09TVM-10

LOG-03LOG-05ChineseAPTGroupTargetingG