企业仍在将安全风险引入云环境

作者：铸盾安全 2023-03-20 00:05:15

云计算

云原生 虽然云计算及其多种形式（私有云、公共云、混合云或多云环境）在过去十年中随着创新和增长变得无处不在，但网络犯罪分子密切关注迁移并引入他们自己的创新来利用这些平台。大多数这些攻击都是基于不良配置和人为错误。新的 IBM Security X-Force 数据显示，许多采用云的企业在基本安全最佳实践方面落后，给他们的组织带来了更多风险。

单位选择云的最大原因之一是其安全性，但是云安全同时引入新安全问题，同时一些旧安全也会因企业的安全认知局限性，引入云环境。

虽然云计算及其多种形式（私有云、公共云、混合云或多云环境）在过去十年中随着创新和增长变得无处不在，但网络犯罪分子密切关注迁移并引入他们自己的创新来利用这些平台。大多数这些攻击都是基于不良配置和人为错误。新的 IBM Security X-Force 数据显示，许多采用云的企业在基本安全最佳实践方面落后，给他们的组织带来了更多风险。

IBM 的2022 X-Force 云威胁态势报告揭示了网络犯罪分子用来破坏云环境的“破门”，揭示了漏洞利用这种久经考验的感染方法仍然是实现云破坏的最常见方式。从 2021 年 7 月至 2022 年 6 月期间的 X-Force 威胁情报数据、数百次 X-Force Red 渗透测试、X-Force 事件响应 (IR) 参与和报告贡献者Intezer提供的数据中收集见解，一些关键亮点源于该报告包括：

• 云漏洞呈上升趋势——在过去六年中，新的云漏洞增加了六倍，X-Force 响应的 26% 的云妥协是由攻击者利用未修补的漏洞造成的，成为观察到的最常见的切入点。 
• 更多的访问，更多的问题——在 99% 的渗透测试中，X-Force Red 能够通过用户的额外特权和许可来破坏客户端云环境。这种类型的访问可能允许攻击者在受害环境中横向移动和移动，从而增加攻击事件中的影响级别。
• 云帐户销售在暗网市场取得进展——X-Force 观察到现在在暗网上做广告的云帐户增加了 200%，其中远程桌面协议和被盗凭据是非法市场上最受欢迎的云帐户销售。

未打补丁的软件：云攻击的第一大原因

随着物联网设备的兴起推动越来越多的连接到云环境，潜在的攻击面变得越来越大，从而引入了许多企业正在经历的关键挑战，例如适当的漏洞管理。一个典型的例子——报告发现，超过四分之一的研究云事件是由于已知的、未修补的漏洞被利用而引起的。虽然Log4j 漏洞和 VMware Cloud Director 中的漏洞是 X-Force 参与中观察到的两个更常利用的漏洞，但观察到的大多数被利用的漏洞主要影响应用程序的本地版本，而不会影响云实例。

正如所怀疑的那样，与云相关的漏洞正在以稳定的速度增加，X-Force 观察到仅去年一年新的云漏洞就增加了 28%。迄今为止，总共披露了 3,200 多个与云相关的漏洞，企业在满足更新和修补越来越多的易受攻击软件的需求方面面临着一场艰苦的战斗。除了与云相关的漏洞数量不断增加之外，它们的严重性也在不断上升，这从能够为攻击者提供访问更敏感和关键数据以及进行更具破坏性的攻击的机会的漏洞的增加中显而易见。

这些持续存在的挑战表明，企业需要对其环境进行压力测试，不仅要识别环境中的弱点，如未修补的、可利用的漏洞，还要根据其严重程度对它们进行优先级排序，以确保最有效地缓解风险。

过多的云权限助长不良行为者的横向移动

该报告还揭示了云环境中另一个令人担忧的趋势——访问控制不佳，X-Force Red 进行的 99% 的渗透测试都是由于用户的过多特权和许可而成功的。企业允许用户以不必要的级别访问其网络中的各种应用程序，无意中为攻击者创造了一个垫脚石，以便更深入地进入受害者的云环境。

这一趋势强调企业需要转向零信任策略，进一步降低过度信任用户行为带来的风险。零信任策略使企业能够制定适当的政策和控制措施来审查与网络的连接，无论是应用程序还是用户，并反复验证其合法性。此外，随着组织发展其业务模型以快速创新并轻松适应，他们必须正确保护其混合、多云环境。其核心是实现架构现代化：并非所有数据都需要相同级别的控制和监督，因此确定正确的工作负载并出于正确的原因放在正确的位置非常重要。这不仅可以帮助企业有效地管理他们的数据，还可以让他们在适当的安全技术和资源的支持下围绕数据进行有效的安全控制。

暗网市场更倾向于云账户销售

随着云的兴起，在暗网上出售的云帐户也随之增加，X-Force 证实，仅去年一年就增长了 200%。具体来说，X-Force 在暗网市场上发现了超过 100,000 个云帐户广告，其中一些帐户类型比其他帐户类型更受欢迎。确定的云帐户销售额中有 76% 是远程桌面协议 (RDP) 访问帐户，比前一年略有上升。受损的云凭证也被出售，占 X-Force 分析的市场广告中的云帐户的 19%。

此类访问的现行价格非常低，这使得普通投标人可以轻松获得这些帐户。RDP 访问和泄露凭证的平均价格分别为 7.98 美元和 11.74 美元。受损凭据的售价高出 47% 可能是由于它们易于使用，以及发布的广告凭据通常包含多组登录数据，可能来自与云凭据一起被盗的其他服务，从而产生更高的价格网络罪犯的投资回报率。

随着越来越多的受损云帐户在这些非法市场中弹出供恶意行为者利用，组织必须通过敦促用户定期更新密码以及实施多因素身份验证 (MFA) 来实施更严格的密码策略，这一点很重要。企业还应该利用身份和访问管理工具来减少对用户名和密码组合的依赖，并打击威胁行为者凭证盗窃。