單位選擇云的最大原因之一是其安全性，但是云安全同時(shí)引入新安全問(wèn)題，同時(shí)一些舊安全也會(huì)因企業(yè)的安全認(rèn)知局限性，引入云環(huán)境。

雖然云計(jì)算及其多種形式（私有云、公共云、混合云或多云環(huán)境）在過(guò)去十年中隨著創(chuàng)新和增長(zhǎng)變得無(wú)處不在，但網(wǎng)絡(luò)犯罪分子密切關(guān)注遷移并引入他們自己的創(chuàng)新來(lái)利用這些平臺(tái)。大多數(shù)這些攻擊都是基于不良配置和人為錯(cuò)誤。新的 IBM Security X-Force 數(shù)據(jù)顯示，許多采用云的企業(yè)在基本安全最佳實(shí)踐方面落后，給他們的組織帶來(lái)了更多風(fēng)險(xiǎn)。

IBM 的2022 X-Force 云威脅態(tài)勢(shì)報(bào)告揭示了網(wǎng)絡(luò)犯罪分子用來(lái)破壞云環(huán)境的“破門”，揭示了漏洞利用這種久經(jīng)考驗(yàn)的感染方法仍然是實(shí)現(xiàn)云破壞的最常見(jiàn)方式。從 2021 年 7 月至 2022 年 6 月期間的 X-Force 威脅情報(bào)數(shù)據(jù)、數(shù)百次 X-Force Red 滲透測(cè)試、X-Force 事件響應(yīng) (IR) 參與和報(bào)告貢獻(xiàn)者Intezer提供的數(shù)據(jù)中收集見(jiàn)解，一些關(guān)鍵亮點(diǎn)源于該報(bào)告包括：

• 云漏洞呈上升趨勢(shì)——在過(guò)去六年中，新的云漏洞增加了六倍，X-Force 響應(yīng)的 26% 的云妥協(xié)是由攻擊者利用未修補(bǔ)的漏洞造成的，成為觀察到的最常見(jiàn)的切入點(diǎn)。 
• 更多的訪問(wèn)，更多的問(wèn)題——在 99% 的滲透測(cè)試中，X-Force Red 能夠通過(guò)用戶的額外特權(quán)和許可來(lái)破壞客戶端云環(huán)境。這種類型的訪問(wèn)可能允許攻擊者在受害環(huán)境中橫向移動(dòng)和移動(dòng)，從而增加攻擊事件中的影響級(jí)別。
• 云帳戶銷售在暗網(wǎng)市場(chǎng)取得進(jìn)展——X-Force 觀察到現(xiàn)在在暗網(wǎng)上做廣告的云帳戶增加了 200%，其中遠(yuǎn)程桌面協(xié)議和被盜憑據(jù)是非法市場(chǎng)上最受歡迎的云帳戶銷售。

未打補(bǔ)丁的軟件：云攻擊的第一大原因

隨著物聯(lián)網(wǎng)設(shè)備的興起推動(dòng)越來(lái)越多的連接到云環(huán)境，潛在的攻擊面變得越來(lái)越大，從而引入了許多企業(yè)正在經(jīng)歷的關(guān)鍵挑戰(zhàn)，例如適當(dāng)?shù)穆┒垂芾?。一個(gè)典型的例子——報(bào)告發(fā)現(xiàn)，超過(guò)四分之一的研究云事件是由于已知的、未修補(bǔ)的漏洞被利用而引起的。雖然Log4j 漏洞和 VMware Cloud Director 中的漏洞是 X-Force 參與中觀察到的兩個(gè)更常利用的漏洞，但觀察到的大多數(shù)被利用的漏洞主要影響應(yīng)用程序的本地版本，而不會(huì)影響云實(shí)例。

正如所懷疑的那樣，與云相關(guān)的漏洞正在以穩(wěn)定的速度增加，X-Force 觀察到僅去年一年新的云漏洞就增加了 28%。迄今為止，總共披露了 3,200 多個(gè)與云相關(guān)的漏洞，企業(yè)在滿足更新和修補(bǔ)越來(lái)越多的易受攻擊軟件的需求方面面臨著一場(chǎng)艱苦的戰(zhàn)斗。除了與云相關(guān)的漏洞數(shù)量不斷增加之外，它們的嚴(yán)重性也在不斷上升，這從能夠?yàn)楣粽咛峁┰L問(wèn)更敏感和關(guān)鍵數(shù)據(jù)以及進(jìn)行更具破壞性的攻擊的機(jī)會(huì)的漏洞的增加中顯而易見(jiàn)。

這些持續(xù)存在的挑戰(zhàn)表明，企業(yè)需要對(duì)其環(huán)境進(jìn)行壓力測(cè)試，不僅要識(shí)別環(huán)境中的弱點(diǎn)，如未修補(bǔ)的、可利用的漏洞，還要根據(jù)其嚴(yán)重程度對(duì)它們進(jìn)行優(yōu)先級(jí)排序，以確保最有效地緩解風(fēng)險(xiǎn)。

過(guò)多的云權(quán)限助長(zhǎng)不良行為者的橫向移動(dòng)

該報(bào)告還揭示了云環(huán)境中另一個(gè)令人擔(dān)憂的趨勢(shì)——訪問(wèn)控制不佳，X-Force Red 進(jìn)行的 99% 的滲透測(cè)試都是由于用戶的過(guò)多特權(quán)和許可而成功的。企業(yè)允許用戶以不必要的級(jí)別訪問(wèn)其網(wǎng)絡(luò)中的各種應(yīng)用程序，無(wú)意中為攻擊者創(chuàng)造了一個(gè)墊腳石，以便更深入地進(jìn)入受害者的云環(huán)境。

這一趨勢(shì)強(qiáng)調(diào)企業(yè)需要轉(zhuǎn)向零信任策略，進(jìn)一步降低過(guò)度信任用戶行為帶來(lái)的風(fēng)險(xiǎn)。零信任策略使企業(yè)能夠制定適當(dāng)?shù)恼吆涂刂拼胧﹣?lái)審查與網(wǎng)絡(luò)的連接，無(wú)論是應(yīng)用程序還是用戶，并反復(fù)驗(yàn)證其合法性。此外，隨著組織發(fā)展其業(yè)務(wù)模型以快速創(chuàng)新并輕松適應(yīng)，他們必須正確保護(hù)其混合、多云環(huán)境。其核心是實(shí)現(xiàn)架構(gòu)現(xiàn)代化：并非所有數(shù)據(jù)都需要相同級(jí)別的控制和監(jiān)督，因此確定正確的工作負(fù)載并出于正確的原因放在正確的位置非常重要。這不僅可以幫助企業(yè)有效地管理他們的數(shù)據(jù)，還可以讓他們?cè)谶m當(dāng)?shù)陌踩夹g(shù)和資源的支持下圍繞數(shù)據(jù)進(jìn)行有效的安全控制。

暗網(wǎng)市場(chǎng)更傾向于云賬戶銷售

隨著云的興起，在暗網(wǎng)上出售的云帳戶也隨之增加，X-Force 證實(shí)，僅去年一年就增長(zhǎng)了 200%。具體來(lái)說(shuō)，X-Force 在暗網(wǎng)市場(chǎng)上發(fā)現(xiàn)了超過(guò) 100,000 個(gè)云帳戶廣告，其中一些帳戶類型比其他帳戶類型更受歡迎。確定的云帳戶銷售額中有 76% 是遠(yuǎn)程桌面協(xié)議 (RDP) 訪問(wèn)帳戶，比前一年略有上升。受損的云憑證也被出售，占 X-Force 分析的市場(chǎng)廣告中的云帳戶的 19%。

此類訪問(wèn)的現(xiàn)行價(jià)格非常低，這使得普通投標(biāo)人可以輕松獲得這些帳戶。RDP 訪問(wèn)和泄露憑證的平均價(jià)格分別為 7.98 美元和 11.74 美元。受損憑據(jù)的售價(jià)高出 47% 可能是由于它們易于使用，以及發(fā)布的廣告憑據(jù)通常包含多組登錄數(shù)據(jù)，可能來(lái)自與云憑據(jù)一起被盜的其他服務(wù)，從而產(chǎn)生更高的價(jià)格網(wǎng)絡(luò)罪犯的投資回報(bào)率。

隨著越來(lái)越多的受損云帳戶在這些非法市場(chǎng)中彈出供惡意行為者利用，組織必須通過(guò)敦促用戶定期更新密碼以及實(shí)施多因素身份驗(yàn)證 (MFA) 來(lái)實(shí)施更嚴(yán)格的密碼策略，這一點(diǎn)很重要。企業(yè)還應(yīng)該利用身份和訪問(wèn)管理工具來(lái)減少對(duì)用戶名和密碼組合的依賴，并打擊威脅行為者憑證盜竊。