最新的Palo Alto Networks Unit 42云威脅報(bào)告發(fā)現(xiàn)，66%的云存儲(chǔ)桶中存在敏感數(shù)據(jù)，這些數(shù)據(jù)極易遭受勒索軟件攻擊。SANS研究所近日?qǐng)?bào)告稱，攻擊者可以通過濫用云提供商的存儲(chǔ)安全控制和默認(rèn)設(shè)置來實(shí)施此類攻擊。

“在過去的幾個(gè)月里，我親眼目睹了僅利用合法的云安全功能就可以執(zhí)行勒索軟件攻擊的兩種不同方法，”SANS認(rèn)證講師兼安全顧問Brandon Evans警告道。Halcyon披露了一次攻擊活動(dòng)，攻擊者利用了亞馬遜S3的原生加密機(jī)制SSE-C來加密每個(gè)目標(biāo)存儲(chǔ)桶。

幾個(gè)月前，安全顧問Chris Farris展示了攻擊者如何使用另一種AWS安全功能——帶有外部密鑰材料的KMS密鑰，并通過ChatGPT生成的簡(jiǎn)單腳本來執(zhí)行類似的攻擊。Brandon指出：“顯然，這一話題對(duì)威脅行為者和研究人員來說都至關(guān)重要?！?/p>

如何應(yīng)對(duì)云勒索軟件攻擊？

1. 了解云安全控制的功能與局限性

使用云服務(wù)并不會(huì)自動(dòng)確保數(shù)據(jù)安全。“大多數(shù)人首先使用的云服務(wù)是像OneDrive、Dropbox、iCloud等文件備份解決方案，”Brandon解釋道，“盡管這些服務(wù)通常默認(rèn)啟用了文件恢復(fù)功能，但亞馬遜S3、Azure存儲(chǔ)或谷歌云存儲(chǔ)并非如此。安全專業(yè)人員必須了解這些服務(wù)的工作原理，而不是假設(shè)云會(huì)自動(dòng)保護(hù)他們的數(shù)據(jù)。”

2. 禁止不受支持的云加密方法

AWS S3 SSE-C、AWS KMS外部密鑰材料以及類似的加密技術(shù)可能被濫用，因?yàn)楣粽邔?duì)密鑰擁有完全控制權(quán)。組織可以通過身份和訪問管理（IAM）策略強(qiáng)制規(guī)定S3使用的加密方法，例如使用AWS托管的密鑰材料的SSE-KMS。

3. 啟用備份、對(duì)象版本控制和對(duì)象鎖定

這些是云存儲(chǔ)的完整性和可用性控制措施。在三大云提供商中，默認(rèn)情況下這些功能均未啟用。如果正確使用，它們可以增加組織在遭受勒索軟件攻擊后恢復(fù)數(shù)據(jù)的機(jī)會(huì)。

4. 通過數(shù)據(jù)生命周期策略平衡安全與成本

這些安全功能都需要費(fèi)用。“云提供商不會(huì)免費(fèi)托管你的數(shù)據(jù)版本或備份。同時(shí)，你的組織也不會(huì)為數(shù)據(jù)安全提供無限預(yù)算，”Brandon說。三大云提供商都允許客戶定義生命周期策略，這些策略可以幫助組織在數(shù)據(jù)、版本和備份不再需要時(shí)自動(dòng)刪除。然而，需要注意的是，攻擊者也可以利用生命周期策略。在之前提到的攻擊活動(dòng)中，攻擊者就曾用其逼迫目標(biāo)快速支付贖金。