?美國網絡安全服務商OrcaSecurity公司日前發布的《2022年公有云安全狀況報告》報告的一個主要發現是，平均攻擊路徑距離企業的關鍵數據資產只有三步之遙，這意味著網絡攻擊者只需在云計算環境中找到三個相關且可利用的弱點，即可竊取數據或進行勒索。
　　該報告由OrcaResearchPod編制，包括分析從2022年1月1日至7月1日由Orca云安全平臺掃描的AWS、Azure和谷歌云平臺上的數十億個云計算資產中捕獲的工作負載和配置數據。報告確定仍然存在一些關鍵安全漏洞，并就企業可以采取哪些步驟來減少網絡攻擊面和改善云安全狀況提供了建議。

　　OrcaSecurity公司首席執行官AviShua表示：“公有云的安全性不僅取決于提供安全云基礎設施的云平臺，而且在很大程度上取決于企業在云中的工作負載、配置和身份狀態。我們最新的公有云安全狀況報告表明，在這個領域還有很多工作要做，從未修補的漏洞和過度寬松的身份到開放的存儲資產。然而，重要的是要記住，企業永遠無法消除其環境中的所有風險。他們根本沒有人手來做這件事。這時，企業應該戰略性地開展工作，并確保始終首先消除危及企業最關鍵資產的風險。”

　　公有云安全現狀

　　企業關鍵的數據資產觸手可及：平均攻擊路徑只需要三個步驟即可以獲得企業的數據資產，這意味著網絡攻擊者只需在云計算環境中找到三個相關且可利用的弱點，即可竊取數據或勒索贖金。

　　漏洞是首要的初始攻擊向量：78%的已存在的識別攻擊路徑使用已知漏洞(CVE)作為初始訪問攻擊向量，這凸顯了企業需要更優先地進行漏洞修補。

　　存儲資產通常處于不安全狀態：在大多數云平臺環境中都可以找到公開訪問的S3Bucket和Azureblob存儲資產，這是一種高度可利用的錯誤配置，也是許多數據泄露的原因。

　　未遵循基本安全實踐：例如多因素身份驗證、加密、強密碼和端口安全性等許多基本安全措施仍未得到一致應用。

　　云原生服務被忽視：盡管云原生服務很容易啟動，但它們仍然需要維護和正確配置：58%的企業擁有運行時不受支持的無服務器功能，70%的企業擁有的KubernetesAPI服務器可公開訪問。