研究發現，企業的上云速度絲毫沒有放緩的跡象。到2025年，該市場預計將從2021年的3,700億美元增長至8,300億美元。威脅者往往會利用云中的常見問題發動入侵，例如配置錯誤、憑證弱、身份驗證不足、漏洞未修復、惡意OSS資源包等。

  派拓網絡副總裁兼亞太及日本地區首席安全官Sean Duca表示：“云技術的發展日趨成熟。但隨著云使用量不斷上漲，威脅者也變得更加狡猾和強大，他們會利用隱藏的薄弱環節和漏洞實施攻擊。云對象存儲服務的大范圍采用加劇了企業的安全緊張態勢，使攻擊者能夠更快、更輕易地入侵共享軟件供應鏈，同時伏擊大量受害者。云給威脅者提供了可乘之機——一旦管理不當，企業就會暴露于風險之中。因此，企業需要采取全面的平臺策略，在云環境被入侵之前實時發現和消滅威脅。”

  該報告的一些重要發現包括：

  ●多數安全警報是由于云用戶重復發生常見錯誤而導致的。在多數企業的云環境中，80%的警報由5%的安全規則觸發。企業的云工作負載中存在一小部分風險行為，比如不受限制的防火墻策略、暴露的數據庫和未堅決執行的多重身份驗證（MFA）等。優先修復這些問題可以幫助將安全投資的回報最大化。

  ●安全警報的解決時間過長。安全團隊平均需要145個小時（6天）解決一個警報，給潛在攻擊者留下了大量可乘之機。

  ●云中的敏感數據面臨風險。66%的存儲桶和63%的公開存儲桶中存在敏感數據，它們容易遭受來自內外部的威脅。如果對所存儲的信息缺乏洞察，那么要想防范敏感數據意外泄露就會變得很困難。

  ●憑證泄露問題普遍存在，且在云泄露中首當其沖。83%的企業的源碼控制管理系統中含有硬編碼憑證，85%的企業的虛擬機用戶數據中含有硬編碼憑證。憑證訪問仍是云威脅者的常用手段。

  ●未對云用戶強制采用MFA。76%的企業未對控制臺用戶強制采用MFA，58%的企業未對根/管理員用戶強制采用MFA，導致控制臺訪問容易遭到蠻力攻擊。

  ●針對軟件供應鏈的攻擊呈上升趨勢。僅2022年，被發現的影響科技巨頭和其他企業的惡意OSS資源包就超過7,300個。

  ●管理代碼依賴性的難度較大。51%的代碼庫依賴于100多個開源資料包，而其中只有23%由開發人員直接導入。非root資料包會帶來漏洞，使整個云基礎設施面臨風險隱患。

  ●未打補丁的漏洞是唾手可得的攻擊目標。63%的生產代碼庫和11%的公有云主機存在嚴重或關鍵的未修補漏洞，這已經成為整個云基礎設施的安全隱患。

  針對云基礎設施錯誤配置、API和軟件供應鏈的攻擊手段層出不窮，企業需要做好準備以應對云原生攻擊面的持續擴大。為了加強對這些威脅的安全防御，行業將轉向云原生應用保護平臺（CNAPP），它可以為應用開發的整個過程提供全面的防護能力。Gartner的數據證明了這一點——從2021到2022年，有關CNAPP的客戶咨詢驟增70%。