文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

企业仍在将安全风险引入云环境

2024-11-30 17:08

关注

虽然云计算及其多种形式(私有云、公共云、混合云或多云环境)在过去十年中随着创新和增长变得无处不在,但网络犯罪分子密切关注迁移并引入他们自己的创新来利用这些平台。大多数这些攻击都是基于不良配置和人为错误。新的 IBM Security X-Force 数据显示,许多采用云的企业在基本安全最佳实践方面落后,给他们的组织带来了更多风险。

IBM 的2022 X-Force 云威胁态势报告揭示了网络犯罪分子用来破坏云环境的“破门”,揭示了漏洞利用这种久经考验的感染方法仍然是实现云破坏的最常见方式。从 2021 年 7 月至 2022 年 6 月期间的 X-Force 威胁情报数据、数百次 X-Force Red 渗透测试、X-Force 事件响应 (IR) 参与和报告贡献者Intezer提供的数据中收集见解,一些关键亮点源于该报告包括:

未打补丁的软件:云攻击的第一大原因

随着物联网设备的兴起推动越来越多的连接到云环境,潜在的攻击面变得越来越大,从而引入了许多企业正在经历的关键挑战,例如适当的漏洞管理。一个典型的例子——报告发现,超过四分之一的研究云事件是由于已知的、未修补的漏洞被利用而引起的。虽然Log4j 漏洞和 VMware Cloud Director 中的漏洞是 X-Force 参与中观察到的两个更常利用的漏洞,但观察到的大多数被利用的漏洞主要影响应用程序的本地版本,而不会影响云实例。

正如所怀疑的那样,与云相关的漏洞正在以稳定的速度增加,X-Force 观察到仅去年一年新的云漏洞就增加了 28%。迄今为止,总共披露了 3,200 多个与云相关的漏洞,企业在满足更新和修补越来越多的易受攻击软件的需求方面面临着一场艰苦的战斗。除了与云相关的漏洞数量不断增加之外,它们的严重性也在不断上升,这从能够为攻击者提供访问更敏感和关键数据以及进行更具破坏性的攻击的机会的漏洞的增加中显而易见。

这些持续存在的挑战表明,企业需要对其环境进行压力测试,不仅要识别环境中的弱点,如未修补的、可利用的漏洞,还要根据其严重程度对它们进行优先级排序,以确保最有效地缓解风险。

过多的云权限助长不良行为者的横向移动

该报告还揭示了云环境中另一个令人担忧的趋势——访问控制不佳,X-Force Red 进行的 99% 的渗透测试都是由于用户的过多特权和许可而成功的。企业允许用户以不必要的级别访问其网络中的各种应用程序,无意中为攻击者创造了一个垫脚石,以便更深入地进入受害者的云环境。

这一趋势强调企业需要转向零信任策略,进一步降低过度信任用户行为带来的风险。零信任策略使企业能够制定适当的政策和控制措施来审查与网络的连接,无论是应用程序还是用户,并反复验证其合法性。此外,随着组织发展其业务模型以快速创新并轻松适应,他们必须正确保护其混合、多云环境。其核心是实现架构现代化:并非所有数据都需要相同级别的控制和监督,因此确定正确的工作负载并出于正确的原因放在正确的位置非常重要。这不仅可以帮助企业有效地管理他们的数据,还可以让他们在适当的安全技术和资源的支持下围绕数据进行有效的安全控制。

暗网市场更倾向于云账户销售

随着云的兴起,在暗网上出售的云帐户也随之增加,X-Force 证实,仅去年一年就增长了 200%。具体来说,X-Force 在暗网市场上发现了超过 100,000 个云帐户广告,其中一些帐户类型比其他帐户类型更受欢迎。确定的云帐户销售额中有 76% 是远程桌面协议 (RDP) 访问帐户,比前一年略有上升。受损的云凭证也被出售,占 X-Force 分析的市场广告中的云帐户的 19%。

此类访问的现行价格非常低,这使得普通投标人可以轻松获得这些帐户。RDP 访问和泄露凭证的平均价格分别为 7.98 美元和 11.74 美元。受损凭据的售价高出 47% 可能是由于它们易于使用,以及发布的广告凭据通常包含多组登录数据,可能来自与云凭据一起被盗的其他服务,从而产生更高的价格网络罪犯的投资回报率。

随着越来越多的受损云帐户在这些非法市场中弹出供恶意行为者利用,组织必须通过敦促用户定期更新密码以及实施多因素身份验证 (MFA) 来实施更严格的密码策略,这一点很重要。企业还应该利用身份和访问管理工具来减少对用户名和密码组合的依赖,并打击威胁行为者凭证盗窃。

来源:河南等级保护测评内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯