活動背景
SecurityWeek 於 2025 年 7 月 16 日舉辦「Cloud & Data Security Summit 2025」線上雲安全峰會,以「雲端暴露攻擊面」(exposed attack surfaces)為主軸,深入探討公有雲基礎設施與 API 所產生的新型弱點與威脅。該峰會匯集多位雲安全研究者、CISO、技術領袖與資安業者,重點在於提升攻防實務,分享策略與實作經驗。
此議題因應企業大幅採用雲服務及加速數位化轉型背景而生,隨著混合雲與多雲架構成為主流,攻擊者能透過更多節點與 API 介面撬動複雜環境,因此加強識別與控管「攻擊面」成為資安管理中最關鍵的一環。
主要焦點
峰會安排多場重點議程,以下為關鍵主題:
- DevSecOps:從程式碼到雲端安全整合:由 Microsoft Azure 安全團隊的 Siri Varma Vegiraju 主講,深入探討如何將安全納入 CI/CD 開發流程中,強化雲端原生應用的安全性,降低上線後的漏洞風險。包括安全掃描、Infra‑as‑Code 驗證與自動化合規檢查等實作要點。
- DSPM 視覺與保護資料:Snegha Ramnarayanan(Wiz)介紹 DSPM(Data Security Posture Management)如何辨識雲儲存與資料庫的敏感資料暴露,並主動通知與防護,加強資料治理與合規性。
- AI 應用開發與資料安全:針對 AI 應用開發過程中的安全風險(如模型投毒、資料洩漏、pipeline 弱點),Palo Alto Networks 的 Yotam Ben‑Ezra 分享最新攻擊趨勢與防禦策略,包含資料完整性護盾與模型健全性驗證方法。
- AI 驅動之身分詐騙:Ping Identity 團隊(Maya Ogranovitch Scott 與 Adam Preis)揭示駭客如何以生成式 AI 自動化深度假冒(deepfake)與 spear‑phishing,並提出身分驗證的強韌防護架構及即時阻擋技術。
- 雲端身分安全與實時防禦:Okta 的 Alexandria Hodgson 探討雲端服務帳號(service account)與內部身分如何成為主要攻擊目標,分析實時事件回應與梳理身分存取異常的最佳作法。
議題脈絡
- 暴露攻擊面:定義與當前態勢:根據 Wikipedia,攻擊面定義為可能被攻擊者利用、需保護之所有輸入點,包括代碼、API、使用者介面、存取設定等Wikipedia。雲端環境中這些攻擊面多以動態方式快速擴增(auto‑scaling、serverless、IaC),而跨平台架構更增複雜性。
- AI 新攻擊浪潮:從 Fraud-as-a-Service 延伸出的 AI 生成詐騙郵件與深度假冒身份,已成下一代攻擊核心SecurityWeek。此類攻擊具有大規模、自動化、個人化特點,使傳統資安防禦工具(基於 signature 或 heuristic)面臨重大挑戰。
- IoT、GPU 雲與容器弱點:與此話題相關,Wiz 公司揭露 Nvidia 容器工具的「NVIDIAScape」cve‑2025‑23266 漏洞,展現出容器逃逸與共用硬體基礎架構中存在嚴重安全風險SecurityWeek+1SecurityWeek+1。這亦顯示 AI 雲服務中厚重依賴 GPU 而導致的新攻擊面。
防禦策略與建議框架
1. 全面 ASM(攻擊面管理)與 DSPM
持續掃描雲端資產與 API,並自動建構與更新攻擊面地圖;
識別暴露的資料源,設定更嚴控的 IAM 與網路範圍;
像讀 Wiz DSPM,一旦發現敏感資料可即時封鎖。
2. DevSecOps流程內建
3. AI 安全防護
4. IDENTITY 安全升級
5. 威脅情報整合與即時反應
- 集成雲與容器漏洞、惡意網域、攻擊情資;
- 使用 CASB、SIEM 與 CSPM 提供統一監控;
- 建立 Playbook,快速針對攻擊事件採取回應行動。
結語
「Cloud & Data Security Summit 2025」突顯出雲端安全正從傳統邊界防禦轉型為全生態系統管理,包含程式碼層、資料層、身份層與 AI 模型層。企業應將 ASM、DSPM 與 AI 安全視為重大投資方向。借鑑峰會所揭示的案例與最佳實務,建議組織從三階段推進:
現狀評估與攻擊面地圖建立;
開發/部署流程注入自動化安全檢測;
跨安全模組整合:身分、資料、AI 與容器安全。
資料來源:https://www.securityweek.com/virtual-event-preview-cloud-data-security-summit-2025-tackling-exposed-attack-surfaces-in-the-cloud/