近日，云安全公司Sysdig發(fā)布了《2023年全球云威脅報(bào)告》，研究了瞄準(zhǔn)垂直行業(yè)的針對(duì)性云攻擊，結(jié)果發(fā)現(xiàn)云攻擊者正在通過(guò)利用云服務(wù)和常見的錯(cuò)誤配置，以復(fù)雜的方式發(fā)展他們的技術(shù)和工具包。更重要的是，云中的攻擊移動(dòng)速度很快，偵察到威脅和造成嚴(yán)重破壞之間的間隔可能僅幾分鐘。

一、報(bào)告摘要

• 云自動(dòng)化的武器化：云攻擊發(fā)生得很快，偵察和發(fā)現(xiàn)的速度更快。這些技術(shù)的自動(dòng)化使攻擊者能夠立即發(fā)現(xiàn)目標(biāo)系統(tǒng)中的漏洞。數(shù)據(jù)顯示，機(jī)會(huì)主義攻擊平均在2分鐘內(nèi)就能找到公開暴露的憑據(jù)，而從憑證發(fā)現(xiàn)到攻擊啟動(dòng)往往只需21分鐘。很多時(shí)候，發(fā)現(xiàn)警報(bào)往往為時(shí)已晚；
• 10分鐘結(jié)束戰(zhàn)斗：云攻擊者行動(dòng)迅速，伺機(jī)而動(dòng)，往往只需10分鐘就能發(fā)動(dòng)攻擊，其中5分鐘是駐留時(shí)間。而根據(jù)Mandiant的數(shù)據(jù)，全球網(wǎng)絡(luò)攻擊平均“駐留時(shí)間”（攻擊者入侵網(wǎng)絡(luò)到入侵被檢測(cè)的時(shí)間）為16天；

• 90%的安全供應(yīng)鏈并不夠安全：另外10%的高級(jí)供應(yīng)鏈威脅對(duì)預(yù)防工具來(lái)說(shuō)是不可見的。規(guī)避技術(shù)使惡意代碼能夠隱藏，直到映像被部署。
• 攻擊者隱藏在云中：攻擊者正在濫用云服務(wù)和策略，以充分利用云原生環(huán)境的復(fù)雜性。使用源混淆（source obfuscation）使它們更難被跟蹤。新技術(shù)使得基于IoC的防御失效，將藍(lán)隊(duì)推向先進(jìn)的云威脅檢測(cè)；
• 65%的云攻擊針對(duì)電信和金融科技公司：電信和金融公司擁有成熟的高價(jià)值信息，提供了快速牟利的機(jī)會(huì)。

二、從零到管理：扭轉(zhuǎn)云的對(duì)抗力

確保安全配置是任何云安全程序的基礎(chǔ)。當(dāng)鎖定帳戶訪問(wèn)權(quán)限并減少攻擊面時(shí)，威脅參與者也會(huì)尋找新的漏洞來(lái)獲得初始訪問(wèn)權(quán)限。

由于身份和訪問(wèn)管理（IAM）是關(guān)鍵的云安全控制，攻擊者正專注于發(fā)展他們的技術(shù)，用于憑據(jù)訪問(wèn)、特權(quán)升級(jí)和橫向移動(dòng)。與此同時(shí)，防御者也在學(xué)習(xí)在“萬(wàn)物皆代碼”的世界中操作，在這個(gè)世界中，為適當(dāng)?shù)脑L問(wèn)和特權(quán)編寫代碼時(shí)出現(xiàn)的語(yǔ)法錯(cuò)誤可能成為通往成功的攔路石。

1.初始訪問(wèn)

事實(shí)證明，威脅行為者正在不斷利用易受攻擊的應(yīng)用程序，尋找云憑據(jù)，并將攻擊范圍擴(kuò)展至云。

S3桶和其他類似的對(duì)象存儲(chǔ)選項(xiàng)是存儲(chǔ)秘密和密鑰的流行云服務(wù)。而威脅行為者正使用Espiderfoot、Linode和S3 Browser等工具持續(xù)掃描存儲(chǔ)桶，以求找到有用的錯(cuò)誤配置。它們還會(huì)暴力破解實(shí)際組織可能使用的S3桶名，以期找到與目標(biāo)公司相關(guān)的有價(jià)值信息。當(dāng)相關(guān)資源被掃描或憑據(jù)泄露時(shí)，壞人和好人都會(huì)使用聊天機(jī)器人（Chatbot）來(lái)獲取通知。

2.信息收集

云環(huán)境中的發(fā)現(xiàn)策略是攻擊者殺傷鏈中最被低估的步驟之一。防御者傾向于把注意力集中在其他攻擊戰(zhàn)術(shù)上（比如防御逃避），但忘記了大多數(shù)復(fù)雜的攻擊都是從廣泛的發(fā)現(xiàn)活動(dòng)開始的。

云環(huán)境中的發(fā)現(xiàn)活動(dòng)是高度自動(dòng)化的，幾乎在首次登錄后便會(huì)立即發(fā)生。查看許多攻擊活動(dòng)的云事件日志會(huì)發(fā)現(xiàn)，大多數(shù)API調(diào)用間隔為毫秒，這是使用自動(dòng)工具或腳本的明顯證據(jù)。

攻擊者還會(huì)每天或每小時(shí)持續(xù)執(zhí)行一些小的周期性發(fā)現(xiàn)活動(dòng)，以跟蹤潛在的受害帳戶并利用更改或錯(cuò)誤配置。這一階段的攻擊并不微妙。它的特點(diǎn)是對(duì)許多端點(diǎn)的查詢快速連續(xù)，如下表所示。這種類型的活動(dòng)表明攻擊者正在進(jìn)行信息收集，并且應(yīng)該觸發(fā)對(duì)帳戶的事件響應(yīng)分析。

3.數(shù)據(jù)收集

攻擊者對(duì)無(wú)服務(wù)器功能代碼和基礎(chǔ)設(shè)施即代碼（IaC）軟件（如CloudFormation和Terraform）尤為感興趣，因?yàn)檫@些文件通常包含憑據(jù)、秘密或其他敏感信息。這些資產(chǎn)可能在安全掃描中被忽視，因?yàn)樗鼈兿鄬?duì)模糊和新穎。防御者通常低估了只讀訪問(wèn)的力量，但是這可能正是攻擊者所需要的。

研究人員觀察到的一個(gè)例子是，攻擊者調(diào)用了幾個(gè)API（如GenerateCredentialReport和GetCredentialReport）以便自動(dòng)生成和下載包含帳戶中所有用戶及其相關(guān)狀態(tài)、密碼、訪問(wèn)密鑰和MFA設(shè)備的憑據(jù)報(bào)告。對(duì)于從AWS賬戶中提取關(guān)于其他用戶的有價(jià)值信息時(shí)，這些API特別方便。

收集過(guò)程通常是自動(dòng)化的。許多攻擊——從最初的訪問(wèn)到實(shí)際行動(dòng)——往往發(fā)生在10分鐘或更短的時(shí)間內(nèi)，但一些更復(fù)雜的攻擊將需要更長(zhǎng)的時(shí)間。

4.特權(quán)升級(jí)

眾所周知，人是網(wǎng)絡(luò)安全中最薄弱的環(huán)節(jié)，攻擊者也深知這一點(diǎn)，因此一直在尋找人為錯(cuò)誤。在云環(huán)境中，攻擊者可以利用十分微小的錯(cuò)誤來(lái)提升權(quán)限。在某些情況下，這些錯(cuò)誤無(wú)法被云原生或第三方云安全態(tài)勢(shì)管理（CSPM）安全評(píng)估工具檢測(cè)到。

想要記住云安全提供商（CSP）何時(shí)區(qū)分大小寫，何時(shí)不區(qū)分可能很困難。以AWS中的策略資源為例，其中有一些字段（如Action）不區(qū)分大小寫。而其他字段（比如Resource）則區(qū)分。在SCARLETEEL 2.0的操作中，攻擊者便是濫用了云環(huán)境中不一致的命名約定。下述代碼就是將該策略應(yīng)用于具有已定義用戶名的受限資源子集的示例。

{
“Sid”: “VisualEditor2”,
“Effect”: “Deny”,
“Action”: [
“iam:CreateAccessKey”
],
“Resource”: [
“arn:aws:iam::078657857355:role/*”,
“arn:aws:iam::078657857355:user/*admin*”
]
}

在這次攻擊中，受害者對(duì)所有管理員帳戶使用了特定的命名約定：“adminJane”、“adminJohn”等等。雖然，根據(jù)采用的慣例正確地創(chuàng)建了將特定操作限制為管理員用戶名的策略，但其中一個(gè)帳戶無(wú)意中命名不一致。它轉(zhuǎn)而使用大寫的“A”來(lái)表示“Admin”，比如“AdminJoe”。攻擊者能夠繞過(guò)這個(gè)限制性策略并為AdminJoe創(chuàng)建訪問(wèn)密鑰，因?yàn)樵撁Q不屬于標(biāo)準(zhǔn)命名約定。

5.橫向移動(dòng)

云環(huán)境中的橫向移動(dòng)通常與攻擊者從一個(gè)用戶的帳戶移動(dòng)到另一個(gè)用戶的帳戶有關(guān)。然而，研究人員已經(jīng)目睹了攻擊者從企業(yè)云帳戶橫向移動(dòng)到計(jì)算基礎(chǔ)設(shè)施。如果云中的服務(wù)器與之相連，這種類型的攻擊可以讓攻擊者轉(zhuǎn)向本地服務(wù)器。

在這起事件中，攻擊者利用一個(gè)名為SendSSHPublicKey的API來(lái)訪問(wèn)EC2實(shí)例，如下圖所示。使用此API，攻擊者將自身提供的SecureShell（SSH）公鑰推送到指定的EC2實(shí)例，然后允許任何擁有相應(yīng)私鑰的人通過(guò)SSH直接連接到系統(tǒng)。一旦進(jìn)入，攻擊者就可以控制設(shè)備，然后進(jìn)行下一步操作。

這種類型的橫向移動(dòng)可能會(huì)給防守者帶來(lái)問(wèn)題，因?yàn)樗ǔＩ婕翱缭綑z測(cè)邊界。例如，一旦攻擊者從AWS轉(zhuǎn)移到EC2，CloudTrail將不會(huì)提供有關(guān)攻擊者正在做什么的任何信息。當(dāng)攻擊者從一個(gè)計(jì)算實(shí)例轉(zhuǎn)移到云端時(shí)，情況也是如此。防御者需要在運(yùn)行時(shí)監(jiān)控他們的云控制平面API（如CloudTrail）和他們的EC2工作負(fù)載，以便了解攻擊的全部范圍。

在獲得對(duì)云賬戶的控制權(quán)后，損失可能是一筆巨額賬單、數(shù)據(jù)被盜或被破壞，或者第三方（比如受害組織的客戶）受到損害等等。在涉及多種環(huán)境的情況下，時(shí)間至關(guān)重要。威脅檢測(cè)需要是實(shí)時(shí)的，不能在云或操作系統(tǒng)等邊界上停止。響應(yīng)云環(huán)境中的事件需要對(duì)運(yùn)行時(shí)工作負(fù)載和云的可見性。

6.攻擊者的目標(biāo)

通過(guò)加密挖礦劫持資源仍然是最常見和最有利可圖的威脅行為者目標(biāo)之一。在接管賬戶后，威脅行為者會(huì)迅速將資產(chǎn)貨幣化。攻擊者已經(jīng)創(chuàng)建了許多高性能、昂貴的實(shí)例（例如，c5.metal或r5a.4xlarge）。在一個(gè)案例中，攻擊者試圖啟動(dòng)40個(gè)實(shí)例。

攻擊者還會(huì)瞄準(zhǔn)防御者難以察覺的現(xiàn)有資源。這里的動(dòng)機(jī)并不純粹是利潤(rùn)驅(qū)動(dòng)的。攻擊者可以直接連接到EC2實(shí)例，并將其作為跳板對(duì)下一個(gè)目標(biāo)發(fā)起攻擊，如上圖所示。

7.緩解措施

像AWS這樣的CSP和像GitHub這樣的存儲(chǔ)庫(kù)已經(jīng)注意到泄露的秘密攻擊向量，并共同努力提供緩解措施。例如，AWS將掃描GitHub以查找任何AWS憑據(jù)，一旦有所發(fā)現(xiàn)，將向用戶附加隔離策略以限制潛在的損害。GitHub也開始檢查一些秘密格式的提交，并可以自動(dòng)拒絕它們。這些解決方案有幫助，但我們永遠(yuǎn)不能低估用戶為了方便而繞過(guò)保護(hù)措施的可能性。

為此，建議遵頊以下建議：

• 采用機(jī)密管理系統(tǒng)（Secrets management system）以減少憑據(jù)泄露的可能性。通過(guò)將密鑰和憑據(jù)保存在集中的位置，并提供一個(gè)API來(lái)動(dòng)態(tài)檢索密鑰，這樣密鑰和憑據(jù)就不會(huì)無(wú)意中留在文件中。
• CSP為用戶和資源的身份驗(yàn)證和授權(quán)模型提供了很大的靈活性。一個(gè)好的CSPM解決方案將提供可見性和解決方案選項(xiàng)，以及合規(guī)性，以加強(qiáng)云帳戶安全性。
• 運(yùn)行時(shí)威脅檢測(cè)必須應(yīng)用于云日志以及在計(jì)算資源中發(fā)生的活動(dòng)。為了檢測(cè)復(fù)雜的攻擊，威脅檢測(cè)需要有一個(gè)完整的視圖，具有跨多個(gè)環(huán)境跟蹤威脅的能力。

三、攻擊者隱藏在云層中

以云為目標(biāo)的攻擊者正在不斷改進(jìn)他們的技術(shù)，以更隱蔽和聰明的方式繞過(guò)保護(hù)機(jī)制。網(wǎng)絡(luò)軍備競(jìng)賽仍在繼續(xù)，越來(lái)越多的安全組織正在啟動(dòng)云安全運(yùn)營(yíng)計(jì)劃。而CSP提供的過(guò)多服務(wù)無(wú)疑為攻擊者提供了許多不同的方式在云中開展攻擊。

1.防御逃避的VPC

在研究S3桶訪問(wèn)時(shí)，Sysdig TRT識(shí)別了來(lái)自與內(nèi)部基礎(chǔ)設(shè)施無(wú)關(guān)的私有IP地址的源IP地址。Hunters之前的研究表明，攻擊者可以使用AWS虛擬私有云（VPC）來(lái)偽造他們的IP地址。這種技術(shù)不再僅僅是一個(gè)研究課題；攻擊者目前正在使用它。到目前為止，研究人員還未在野看到這種混淆方法，不過(guò)，我們必須考慮到這種可能性。

受害者的CloudTrail日志包含偽造的IP，因此模糊了攻擊者的真實(shí)位置。這允許攻擊者繞過(guò)依賴于源IP地址的安全措施。當(dāng)偽造的IP地址與內(nèi)部網(wǎng)絡(luò)中使用的IP地址一致時(shí)，分析也會(huì)變得更加困難。

攻擊者可以在自己的AWS環(huán)境中創(chuàng)建具有任意私有IP CIDR塊的VPC，然后使用屬于該CIDR塊的IP地址創(chuàng)建EC2實(shí)例。為了欺騙它們的源IP，攻擊者只需要配置EC2實(shí)例，使用VPC端點(diǎn)連接到端點(diǎn)服務(wù)。這樣，在調(diào)用服務(wù)端點(diǎn)時(shí)，請(qǐng)求將來(lái)自VPC。

值得注意的是，屬于另一個(gè)AWS帳戶的用戶可以從他們的VPC發(fā)出類似的請(qǐng)求，而無(wú)需對(duì)受害者的帳戶進(jìn)行任何初始訪問(wèn)。這種先進(jìn)的技術(shù)可以用來(lái)繞過(guò)依賴源IP地址的安全措施，并匿名化處理任何對(duì)可公開訪問(wèn)的服務(wù)端點(diǎn)的請(qǐng)求。

2.用于特權(quán)升級(jí)的AWS CloudFormation

與CSP的交互主要通過(guò)API進(jìn)行，這需要Secrets。而實(shí)際上Secrets很容易被放錯(cuò)地方，正如我們?cè)赟CARLETEEL中看到的Terraform狀態(tài)文件。令牌或API密鑰最終出現(xiàn)在S3存儲(chǔ)桶或第三方存儲(chǔ)庫(kù)中是很常見的。

在另一次復(fù)雜的攻擊中，攻擊者的目標(biāo)是AWS CloudFormation，即AWS的基礎(chǔ)設(shè)施代碼服務(wù)（IaC）。CloudFormation允許用戶通過(guò)將基礎(chǔ)設(shè)施視為代碼來(lái)建模、配置和管理AWS及第三方資源。CloudFormation不僅用于創(chuàng)建和管理資源。它還能夠在傳統(tǒng)機(jī)制之外操縱角色和策略。這使得它成為攻擊者濫用的理想特性。

盡管CloudFormation已經(jīng)存在了十多年，但很少有關(guān)于它被用于公開攻擊的報(bào)道。直至2022年1月，一個(gè)名為“BreakingFormation”的相關(guān)漏洞曝光。研究人員發(fā)現(xiàn)，該攻擊分為以下權(quán)限升級(jí)步驟：

(1) 使用有效的AWS憑證，攻擊者獲得了對(duì)AWS云帳戶的初始訪問(wèn)權(quán)限，并開始收集信息。

(2) 攻擊者能夠找到不同的特權(quán)升級(jí)路徑，并通過(guò)AssumeRole和加入不同的IAM用戶組來(lái)橫向移動(dòng)。

(3) 一旦攻擊者被分配了角色，他們就可以訪問(wèn)權(quán)限，這允許他們：

• 使用假設(shè)角色訪問(wèn)額外的特權(quán)，以便完全控制AWS Lambda。
• 將受損的IAM用戶添加到一個(gè)新組中，并獲得CloudFormation服務(wù)的使用權(quán)限，該服務(wù)可以被濫用來(lái)創(chuàng)建資源或進(jìn)行進(jìn)一步的特權(quán)升級(jí)。
• 使用新的訪問(wèn)權(quán)限進(jìn)行更深入的信息收集活動(dòng)。

在此案例中，攻擊者使用著名的虛擬專用網(wǎng)絡(luò)（VPN）服務(wù)CyberGhost來(lái)隱藏源IP，并使用AssumeRole API來(lái)獲得額外的權(quán)限，進(jìn)一步通過(guò)殺傷鏈向主要目標(biāo)發(fā)起攻擊。

有了新的額外功能，攻擊者重新啟動(dòng)了云帳戶內(nèi)的枚舉，尋找新的、有趣的信息。攻擊者加入的新組在CloudFormation中具有特權(quán)。攻擊者隨后調(diào)用API CreateStack，并試圖添加一個(gè)名為“EvilTemplate”的CloudFormation模板。CloudFormation被配置為允許攻擊者訪問(wèn)它并嘗試運(yùn)行惡意模板，但為了防止管理員訪問(wèn)，它被賦予了有限的特權(quán)。

3.緩解建議

隨著云中的攻擊變得越來(lái)越復(fù)雜，僅僅依靠CSP提供的本地警報(bào)已經(jīng)遠(yuǎn)遠(yuǎn)不夠。這些警報(bào)通常數(shù)量很少，更新也很差。使用完整的云威脅檢測(cè)系統(tǒng)（包括運(yùn)行時(shí)分析），可以檢測(cè)高級(jí)威脅，并提供足夠的可見性，以便在成功攻擊發(fā)生時(shí)進(jìn)行事件響應(yīng)。

過(guò)多的和不正確的權(quán)限配置是導(dǎo)致許多涉及云的安全事件的原因。為了采用最小特權(quán)模型，建議實(shí)現(xiàn)一個(gè)云基礎(chǔ)設(shè)施和授權(quán)（CIEM）系統(tǒng)，以更好地理解和解決權(quán)限問(wèn)題。

我們無(wú)法保護(hù)自己不了解的事物。考慮到資源的動(dòng)態(tài)性，在云環(huán)境中尤為如此。涵蓋所有云資產(chǎn)的清單（包括Lambda函數(shù)和策略）以及相應(yīng)的安全狀態(tài)將確保沒有未受保護(hù)的資產(chǎn)被部署，并允許組織更快速地識(shí)別系統(tǒng)環(huán)境。

四、90%安全供應(yīng)鏈并不夠安全

軟件供應(yīng)鏈攻擊仍然是一種流行的攻擊媒介，3CX桌面軟件事件是2023年最引人注目的事件之一。在此事件中，3CX受到軟件供應(yīng)鏈攻擊的威脅，致使攻擊者可以獲得對(duì)其系統(tǒng)的初始訪問(wèn)權(quán)限。

開源項(xiàng)目經(jīng)常引起攻擊者的強(qiáng)烈興趣，因?yàn)樗鼈儽粋€(gè)人和公司廣泛使用。今年，研究人員將分析范圍擴(kuò)展至各種存儲(chǔ)庫(kù)，以了解攻擊者究竟對(duì)什么感興趣。

1.云攻擊者瞄準(zhǔn)工件存儲(chǔ)庫(kù)（Artifact Repositories）

在研究過(guò)程中，Sysdig TRT將有效的云憑據(jù)分發(fā)到十多個(gè)注冊(cè)中心、包存儲(chǔ)庫(kù)和公開的版本控制系統(tǒng)存儲(chǔ)庫(kù)中。研究人員監(jiān)控的大多數(shù)活動(dòng)來(lái)自公共包存儲(chǔ)庫(kù)和數(shù)據(jù)站點(diǎn)，如Pastebin、Python包索引（PyPI）、Go和helm，如下表所示。

結(jié)果顯示，PyPI存儲(chǔ)庫(kù)受到了攻擊者的更多關(guān)注，究其原因可能是最近的供應(yīng)鏈攻擊和Python在AI中的普遍應(yīng)用。在ChatGPT發(fā)布后，人工智能的受歡迎程度不斷飆升，攻擊者知道絕大多數(shù)人工智能開發(fā)者和用戶都沒有很好的安全意識(shí)。

另一個(gè)值得注意的目標(biāo)是GitHub中的Helm charts。盡管GitHub在最近的攻擊后加強(qiáng)了安全措施，但威脅者并沒有放過(guò)這項(xiàng)服務(wù)。Helm是配置Kubernetes集群最流行的工具，目前大多數(shù)企業(yè)都是這樣部署容器的。Helm charts不僅可以包含有用的信息（比如憑據(jù)），而且獲得對(duì)Helm charts的訪問(wèn)權(quán)限可以使攻擊者危及整個(gè)Kubernetes集群。

2.靜態(tài)分析遠(yuǎn)遠(yuǎn)不夠

隨著容器的不斷普及，它們成為了惡意代碼的理想交付工具。容器本質(zhì)上是一個(gè)用于交付應(yīng)用程序的包，其中內(nèi)置了應(yīng)用程序所需的一切。目前，許多組織關(guān)注容器中的漏洞，并試圖通過(guò)確保不部署易受攻擊的容器來(lái)降低風(fēng)險(xiǎn)。一些漏洞管理解決方案還包含防病毒功能，它將靜態(tài)掃描容器的內(nèi)容。這些靜態(tài)漏洞管理方法只是容器安全的關(guān)鍵部分；它們還不足以確保容器是安全的。

為了說(shuō)明為什么靜態(tài)分析和運(yùn)行時(shí)分析的結(jié)合至關(guān)重要，我們?cè)谶\(yùn)行時(shí)分析了超過(guò)1.3萬(wàn)個(gè)Docker Hub映像，以尋找高級(jí)威脅。Sysdig TRT將靜態(tài)分析數(shù)據(jù)與運(yùn)行時(shí)分析相結(jié)合，發(fā)現(xiàn)超過(guò)10%的惡意映像完全無(wú)法被任何靜態(tài)分析工具或漏洞掃描儀檢測(cè)到，因?yàn)橄冗M(jìn)的規(guī)避技術(shù)使攻擊者能夠隱藏惡意代碼。

3.緩解建議

在軟件開發(fā)過(guò)程中采用“左移”。這個(gè)概念試圖在開發(fā)過(guò)程中盡可能早地植入安全檢查。像GitHub Actions這樣的工具可以在每次開發(fā)人員推送提交時(shí)運(yùn)行自動(dòng)檢查。在這些時(shí)候添加靜態(tài)和運(yùn)行時(shí)安全性檢查將快速捕獲問(wèn)題。

盡早并經(jīng)常在構(gòu)建管道中執(zhí)行漏洞掃描，以確保不會(huì)無(wú)意中涉及過(guò)時(shí)包。使用工具檢測(cè)是否存在脆弱代碼，將防止開發(fā)人員被需要修復(fù)的漏洞所淹沒。

確保了解軟件的組成及其所有依賴項(xiàng)，即使它來(lái)自可信的來(lái)源。運(yùn)行靜態(tài)和運(yùn)行時(shí)分析，以確保軟件不會(huì)表現(xiàn)出惡意行為。避免來(lái)自不可信或不可靠來(lái)源的依賴項(xiàng)，或者將它們保存在本地，這樣就不可能進(jìn)行更改。

五、結(jié)論與趨勢(shì)預(yù)測(cè)

由于CSP主要使用API與用戶和環(huán)境進(jìn)行交互，因此泄露的憑據(jù)是組織應(yīng)該關(guān)注的主要威脅向量。憑據(jù)最終落入攻擊者手中的方式有很多，包括糟糕的秘密管理、網(wǎng)絡(luò)釣魚和憑據(jù)填充。一旦攻擊者發(fā)現(xiàn)了憑據(jù)，他們就會(huì)迅速展開行動(dòng)。

秘密管理（Secret management i）是防止這些攻擊的良好開端，但它只是安全等式的一部分。持續(xù)監(jiān)控云帳戶和資源的惡意行為同樣至關(guān)重要，因?yàn)楣粽呖偰苷业揭环N方法來(lái)破壞帳戶。

考慮到云環(huán)境中安全性的復(fù)雜性，很容易在策略定義或其他任何地方犯一個(gè)簡(jiǎn)單的錯(cuò)誤，這可能導(dǎo)致整個(gè)帳戶的泄露。攻擊者正在充分利用這種復(fù)雜性，并隱藏在防御者使用的相同云應(yīng)用程序和工具中。預(yù)防是非常困難的，因此高級(jí)狀態(tài)管理、資產(chǎn)庫(kù)存和云基礎(chǔ)設(shè)施授權(quán)管理（CIEM）程序都是必不可少的，以阻止攻擊者的任何入侵嘗試。

容器在部署和擴(kuò)展使用云原生環(huán)境的應(yīng)用程序方面越來(lái)越受歡迎。攻擊者知道容器是供應(yīng)鏈攻擊的有效載體。組織開始在部署容器之前對(duì)其實(shí)施漏洞掃描和靜態(tài)惡意軟件分析；然而，這些措施還遠(yuǎn)遠(yuǎn)不夠，因?yàn)樗鼈兒雎粤嗽S多威脅。對(duì)容器進(jìn)行運(yùn)行時(shí)威脅檢測(cè)可以提供更有效的覆蓋，并檢測(cè)到原本可能被遺漏的惡意代碼。

雖然CSP和安全供應(yīng)商都在不斷改進(jìn)他們的安全產(chǎn)品，但我們預(yù)計(jì)違規(guī)行為將繼續(xù)增加。由CSP或使用其系統(tǒng)的公司提供的新服務(wù)正在頻繁面市，并且采用這些服務(wù)的設(shè)計(jì)往往都是快捷和易用的。攻擊者也將繼續(xù)更加努力和快速地工作，并充分利用新的云環(huán)境和服務(wù)來(lái)進(jìn)行攻擊。

世界將繼續(xù)朝著“萬(wàn)物皆代碼”（EaC）和使用容器部署應(yīng)用程序的方向發(fā)展。這將導(dǎo)致攻擊者可利用的復(fù)雜性和錯(cuò)誤進(jìn)一步增加，而防御者往往很難跟上這一節(jié)奏。此外，對(duì)于防御者和攻擊者來(lái)說(shuō)，供應(yīng)鏈攻擊仍然是一個(gè)高優(yōu)先級(jí)的問(wèn)題，運(yùn)行時(shí)分析將成為越來(lái)越普遍的防御手段。最后，盡管攻擊時(shí)間線可能不會(huì)比我們今年看到的更快，但攻擊者將繼續(xù)創(chuàng)新規(guī)避手段，并更多地自動(dòng)化他們的技術(shù)。

原文鏈接：https://sysdig.com/content/c/pf-2023-global-cloud-threat-report?x=u_WFRi