雲端資產平均有115個漏洞 部分漏洞已存在多年
隨著企業越來越依賴雲端服務,黑客亦將目光轉向這些未能妥善保護的環境。根據Orca Security最新的研究,企業雲端資產平均每個都有多達115個漏洞,當中有一半以上的企業更存在至少一個超過20年歷史的漏洞。這個現象令人憂慮,尤其是近年來,包括國家級網絡間諜組織在內的攻擊者,已經明顯將雲端基礎設施列為重點目標。
雲端基礎設施難以管理 AI應用加劇安全風險
企業在維護雲端基礎設施安全方面遇到極大困難,而追趕AI應用熱潮,更令安全問題雪上加霜。研究團隊分析了AWS、Azure、Google Cloud、Oracle Cloud及阿里雲等平台上數十億個生產資產,發現三分之一的雲端資產屬於「被忽略資產」——這些資源運行著已不再獲官方支援的作業系統,且超過180日未有進行修補。幾乎所有公司都至少有一項這類被忽略的資產,通常是虛擬機。
在AI競賽壓力下,企業往往為求快而忽略安全硬化。Orca發現,62%企業的雲端環境內至少有一個AI相關套件存在漏洞,而這些AI漏洞多數屬中等或以上嚴重級別,足以導致資料外洩或遠端程式碼執行等攻擊。
漏洞利用攻擊持續上升
根據Verizon 2025年《數據外洩調查報告》(DBIR),分析了來自139個國家共22,000宗安全事件(包括12,195宗確認資料外洩),發現漏洞利用已成為僅次於憑證濫用的第二大初始入侵途徑,首次超越釣魚攻擊。
由於現時許多企業採用混合架構,結合本地及雲端資產,無論哪一邊出現漏洞都極易成為黑客目標。Orca指出,超過三分之二的企業擁有至少一項公開對外,並可作橫向移動的雲端資產;而55%的企業則在多個雲供應商之間部署資產。
最脆弱的資產是網絡服務,82%的企業至少有一項網絡服務未有修補漏洞。更令人震驚的是,98%的企業有至少一項雲端資產漏洞已存在超過10年。Log4Shell及Spring4Shell這兩個2021及2022年曝光、廣泛被利用的重大漏洞,至今仍有接近六成企業受其影響,三分之一企業更有公開連接互聯網的資產暴露於Log4Shell這種可遠端執行程式碼的漏洞之下。
Orca報告強調:「這些發現明確反映出,企業必須加強修補管理,否則將成為高級威脅組織鎖定的『低垂果實』。」
以俄羅斯情報機構SVR支持的APT29為例,該組織長期利用漏洞取得初始入侵權限,並專攻雲端基礎設施,甚至針對科技公司發動供應鏈攻擊。
孤立風險可累積成重大安全災難
Orca同時警告,半數企業的資產暴露出可被利用以獲取敏感資料的攻擊路徑,23%企業更存在可導致廣泛權限濫用及主機被攻陷的路徑。這些攻擊路徑往往由多個看似孤立的風險組合而成,最終釀成嚴重入侵。
舉例來說,超過三分之一企業至少有一項資產創造了100條以上攻擊路徑,十分之一企業更有資產產生超過1,000條攻擊路徑。Orca數據中最「毒」的資產,單一資產竟涉及多達165,142條攻擊路徑。
數據外洩已成常態,三分之一企業有公開存取的儲存桶或資料庫內含敏感資料。Orca團隊指出:「在AI創新帶動下,數據需求不斷上升,黑客對敏感數據趨之若鶩,這反映企業必須更重視數據安全。」
身份認證成最大風險來源
雖然漏洞利用是第二大初始入侵途徑,但被濫用的身份認證仍高踞榜首。這些身份認證不僅包括用戶帳戶,還包括API金鑰、存取權杖、服務帳戶、雲端功能及其他由機器或服務使用的「非人類身份」(NHI)。
Orca指出:「NHI數量平均比人類身份多出50倍,但若未有妥善保護,會大幅增加雲端風險,尤其是當用戶賦予NHI過多權限時。」
77%使用AWS的企業至少有一個服務帳戶擁有跨兩個或以上帳戶的權限,12%企業更有超過50個實例綁定寬鬆權限的角色。當中不少角色創建後長期未用,近九成企業有IAM憑證超過90日未曾使用。
此外,超過八成敏感資源的存取憑證會透過源碼庫(如Git)洩露,逾半明文憑證即使從最新代碼中移除,仍殘留於Git歷史紀錄內。
黑客亦會利用基礎設施即代碼(IaC)範本(20%企業)、Lambda函數(77%企業)、源碼管理平台(如GitHub、GitLab)(57%企業)等配置錯誤進行攻擊。
Orca總結:「雲端安全已到臨界點。企業愈來愈依賴雲端推動創新與增長,多重趨勢正重塑安全團隊面對的挑戰及對策。」
編輯評論:雲端安全的「慢性病」與AI風險的雙重壓力
這份報告揭示了雲端安全領域的一個「慢性病」:企業長年累月積壓的舊漏洞、未修補的資產,以及對身份認證管理的疏忽,已經讓雲端環境成為黑客的「自助餐」。而AI浪潮進一步加劇這個困局——企業在追趕創新時,往往犧牲了安全基本功,導致AI相關漏洞大量湧現。
值得深思的是,很多企業仍以為雲端「自動安全」,忽視了資產生命周期管理和權限最小化原則;而「非人類身份」的爆炸式增長,代表著自動化與API時代的新型風險。就算你信任自己的IT團隊,源碼管理和自動化流程上的一個小疏忽,都足以讓攻擊者長驅直入。
香港和亞洲區企業近年積極擁抱雲端及AI,但本地不少中小企對資產管理和修補流程仍然停留在「手動」甚至「無人理」階段。這種「慢性病」一旦遇上AI這種「加速劑」,很容易在不經意間爆發出嚴重的數據外洩或勒索事件。
從策略層面看,單靠技術升級或購買新工具並不足夠,企業必須重新審視安全文化、資產可見性及自動化修補能力,並建立針對「非人類身份」的權限治理機制。雲端安全的「臨界點」已經到來,下一步是你選擇主動治療,還是等到「病發」才後悔莫及?
