持续蔓延的冠状病毒疫情促使组织对政府部门限制人员出行的措施进行适应。通常的响应是快速采用和集成云服务,特别是基于云计算的协作工具,例如Microsoft Office 365、Slack和视频会议平台。网络安全厂商McAfee公司最近发布的一份调查报告表明,黑客对这种情况也迅速做出回应,并将其重点放在滥用云帐户凭据方面。
在分析了从今年1月到4月从其MVISION云安全监控平台的3,000万企业用户收集的云计算使用情况数据之后,McAfee公司估计所有行业的云服务采用率将增长50%。并且,某些行业的增长幅度更大,例如制造业增长了144%,教育业增长了114%。
某些协作和视频会议工具的使用率激增。根据调查,思科Webex的使用率增长了600%,Zoom增长了350%,Microsoft Teams增长了300%,Slack增长了200%。制造业和教育行业的应用增长再次名列前茅。
虽然云服务采用率的上升是可以理解的,而且有人会说鉴于在家远程工作的情况,这对提高生产力是一件好事,但这也带来了安全风险。McAfee公司的调查数据表明,从非托管设备到企业云帐户的流量翻了一番。
调查报告指出,“用户无法从非托管设备恢复敏感数据,因此,如果安全团队不按设备类型控制云访问,那么增加的访问可能会导致数据丢失事件。”
云计算威胁增加
McAfee公司表示,网络攻击者已经注意到云服务的迅速采用,并试图利用这种情况。针对云计算服务的外部威胁数量同比增长了630%,其中最大的集中在协作平台上。
在报告中,该公司将可疑的登录尝试和访问分为两类:来自异常位置的过度使用和可疑的用户。在其分析的时期内,两者都经历了类似的激增模式。
异常位置的过度使用这个类别用于从组织的配置文件中不常见的位置成功登录,然后是访问大量数据或执行大量特权任务的用户。
可疑的用户这个类别用于同一用户在短时间内从两个地理位置相距遥远的位置登录。例如,同一用户使用一个国家IP地址登录到一个服务,而在几分钟后使用另一个国家的IP地址访问这个服务。
此外,运输和物流、教育和政府机构的云帐户中检测到的威胁事件增加最多。在运输和物流方面,威胁的增长高达1,350%,其次是教育(1,114%)、政府(773%)、制造业(679%)、金融服务(571%)和能源(472%)。
按IP地址位置划分的企业云账户外部攻击的十大来源是泰国、美国、中国、印度、巴西、俄罗斯、老挝、墨西哥、新喀里多尼亚和越南。
McAfee公司的研究人员说:“这些攻击中的许多都是机会性的攻击,本质上是使用被盗的凭据试图通过访问尝试散布的云帐户。但是,一些行业经常受到外部威胁参与者的攻击,特别是金融服务行业。”
凭证填充攻击呈上升趋势
近年来,凭据填充攻击的频率显著增加,在这种攻击中,犯罪分子使用泄露的或被盗的用户名和密码组合列表来访问帐户。在通常情况下,使用的凭据来自第三方数据泄露,网络攻击者试图利用密码重用这种很常见的做法进行攻击。
安全和内容交付商Akamai公司在今年发布的一份调查报告中透露,网络攻击者在2017年12月至2019年11月期间对全球各地的组织进行了854亿次凭据滥用攻击。其中,有4.73亿次攻击针对金融行业。
为了更好地保护员工的云帐户并防止未经授权的访问,McAfee公司建议组织实施基于云计算的安全网关,以便员工无需通过VPN路由流量,也无需使用云访问安全代理平台,该平台具有严格的设备检查和数据控制策略。如果员工需要使用他们的个人设备访问组织的SaaS应用程序,则应该对敏感数据进行有条件的访问。