最新的Palo Alto Networks Unit 42云威脅報告發(fā)現(xiàn)，66%的云存儲桶中存在敏感數(shù)據(jù)，這些數(shù)據(jù)極易遭受勒索軟件攻擊。SANS研究所近日報告稱，攻擊者可以通過濫用云提供商的存儲安全控制和默認設(shè)置來實施此類攻擊。

“在過去的幾個月里，我親眼目睹了僅利用合法的云安全功能就可以執(zhí)行勒索軟件攻擊的兩種不同方法，”SANS認證講師兼安全顧問Brandon Evans警告道。Halcyon披露了一次攻擊活動，攻擊者利用了亞馬遜S3的原生加密機制SSE-C來加密每個目標存儲桶。

幾個月前，安全顧問Chris Farris展示了攻擊者如何使用另一種AWS安全功能——帶有外部密鑰材料的KMS密鑰，并通過ChatGPT生成的簡單腳本來執(zhí)行類似的攻擊。Brandon指出：“顯然，這一話題對威脅行為者和研究人員來說都至關(guān)重要?！?/p>

如何應(yīng)對云勒索軟件攻擊？

1. 了解云安全控制的功能與局限性

使用云服務(wù)并不會自動確保數(shù)據(jù)安全?！按蠖鄶?shù)人首先使用的云服務(wù)是像OneDrive、Dropbox、iCloud等文件備份解決方案，”Brandon解釋道，“盡管這些服務(wù)通常默認啟用了文件恢復(fù)功能，但亞馬遜S3、Azure存儲或谷歌云存儲并非如此。安全專業(yè)人員必須了解這些服務(wù)的工作原理，而不是假設(shè)云會自動保護他們的數(shù)據(jù)?！?/p>

2. 禁止不受支持的云加密方法

AWS S3 SSE-C、AWS KMS外部密鑰材料以及類似的加密技術(shù)可能被濫用，因為攻擊者對密鑰擁有完全控制權(quán)。組織可以通過身份和訪問管理（IAM）策略強制規(guī)定S3使用的加密方法，例如使用AWS托管的密鑰材料的SSE-KMS。

3. 啟用備份、對象版本控制和對象鎖定

這些是云存儲的完整性和可用性控制措施。在三大云提供商中，默認情況下這些功能均未啟用。如果正確使用，它們可以增加組織在遭受勒索軟件攻擊后恢復(fù)數(shù)據(jù)的機會。

4. 通過數(shù)據(jù)生命周期策略平衡安全與成本

這些安全功能都需要費用。“云提供商不會免費托管你的數(shù)據(jù)版本或備份。同時，你的組織也不會為數(shù)據(jù)安全提供無限預(yù)算，”Brandon說。三大云提供商都允許客戶定義生命周期策略，這些策略可以幫助組織在數(shù)據(jù)、版本和備份不再需要時自動刪除。然而，需要注意的是，攻擊者也可以利用生命周期策略。在之前提到的攻擊活動中，攻擊者就曾用其逼迫目標快速支付贖金。