主要攻击向量持续存在

云和AI时代的速度与创新不可否认。然而，机遇与责任和风险并存。云安全挑战的双重性在于这两种对立力量明显不同。为保持云环境的安全，我们需要内省如何改进负责云防御的内部人员、流程和技术，同时还需了解外部威胁态势，包括威胁行为体的新能力和创新。

为此，SentinelOne发布了两份报告，分别突出云安全挑战的两个方面：

• 云安全调查报告呈现了400名网络安全经理和实践者的见解，涵盖当前云安全运营、责任、技术感知和未来投资计划。
• 云安全风险报告详细介绍了2025年五个新兴风险主题，并深入举例说明了利用云凭证盗窃、横向移动、脆弱云存储、供应链风险和云AI服务等风险进行的攻击。

这是三篇博客中的第一篇，重点介绍两份报告之间的关键一致点和对比点：主要攻击向量持续存在、AI的双刃剑：AI如何扩大攻击面并赋能防御者，以及供应链攻击是云管道中的隐藏威胁。

两份报告的一个特点是需要正确掌握云安全的基础——特别是管理和减少云配置错误以及限制云凭证的泄露。它们仍然是威胁行为体最常见的初始访问点，也是安全团队日常面临的挑战。

门未上锁 | 云配置错误

自Gartner在2019年提出“到2025年，99%的云安全故障将是客户的过错”以来，云配置错误一直是安全团队关注的焦点。尽管云安全技术不断创新，且有多代云安全态势管理（CSPM）解决方案，挑战依然存在，重大泄露事件仍因基本配置错误而发生。

经典（几乎陈词滥调）的云配置错误屡见报端，即云存储公开且未加密。尽管有充分警告和CSPM的普及，这些泄露仍在继续。风险报告提供的例子包括2024年12月，大众汽车软件子公司配置错误的S3桶泄露了超过80万车主的敏感细节；另一个例子是去年12月，专门从事凭证盗窃和针对云存储的威胁行为体Nemesis被发现错误配置了自己的S3桶。

在调查中，配置错误话题在云安全调查中提供了一些矛盾的答案。如果对云安全能力的重要性进行排名，CSPM排名第二（第一是云检测与响应，CDR）。关注能力效能时，CSPM也排名很高，在受访者被要求对其组织对所选CSPM的满意度进行排名时，以4.22分（满分5分）并列第三。

因此，我们对抗云配置错误的主要武器被广泛认为既关键又有效。这与受访者对其组织“配置错误评估”能力的信心形成对比。不幸的是，这在列出的8项云安全功能中排名最后，得分为3.98分（满分5分）。

这里差异的一个潜在线索可能在优先级和噪音管理方面。毕竟，CSPM以噪音大著称，许多云环境的重复结构通常会导致在多个区域看到相同问题的级联警报。高达86.9%的受访者确认他们在验证和优先处理警报和云事件方面面临挑战。此外，三分之二的组织（67.7%）同意他们生成如此多的云安全数据，以至于团队难以获得可操作的见解。

展望未来，复杂云攻击的性质将加剧噪音和优先级问题。我们看到威胁行为体以新方式针对和滥用配置错误、配置错误链，尤其是攻击者驱动的配置错误。

配置错误链

随着防御者越来越擅长关闭明显的云泄露机会，攻击者越来越多地将次要、不太重要的配置错误链接在一起，以在云环境中实现更深的泄露和横向移动。要查看链接配置错误的例子，请参考风险报告中围绕利用Lambda函数的电子商务商店的虚构案例研究。

威胁行为体的适应给防御者带来了新挑战。利用CSPM从严重性高的配置错误开始并向下工作的安全团队，有可能错过在上下文中考虑时呈现更大风险的链。

攻击者驱动的配置错误

近期的复杂云攻击活动都包括对手在修改或禁用云服务时导致云配置错误。例如，ScarletEel将其加密挖掘活动中的云安全服务禁用自动化。更常见的是，威胁行为体创建过度宽松的角色（一种常见的云配置错误）以 enable 更轻松的横向移动和发现。实际例子包括大规模勒索活动（可能由Nemesis及其不良云存储习惯导致），他们部署一系列Lambda函数来自动创建这些配置错误的身份。

这对云防御者如何区分源于组织部署选择的云配置错误与外部或内部威胁行为体可能导致的配置错误提出了有趣的挑战。如果您对云配置错误的看法是静态的，即存在什么而不是何时或如何，那么这种区分将非常困难，甚至不可能。

关于配置错误的最后说明

随着组织采用更新的云服务来构建和利用AI能力，新的配置错误风险领域正在出现。我们在这个三部分系列的第二篇博客中更详细地调查AI作为新攻击面和防御者新工具的情况。

王国的钥匙 | 泄露的凭证

凭借漏洞赏金狩猎和白帽黑客的历史，我们的云原生安全高级产品管理总监Anand Prakash知道泄露凭证给攻击者带来的力量。

“云平台托管大量互联数据和服务，意味着单个泄露凭证可以授予攻击者同时访问多个系统的权限——即使您的应用程序在其他方面是安全的。” – Anand Prakash, SentinelOne云原生安全高级产品管理总监

尽管其关键性，我们的云安全调查发现，在核心云安全能力中，帮助防御者寻找泄露凭证的密钥扫描排名最后。不到13%的受访者将密钥扫描列入前五名最重要的云安全能力列表，该列表包括云检测与响应、云工作负载保护平台（CWPP）、基础设施即代码（IaC）扫描等。

此外，密钥扫描在云安全工具和能力效能的排名中倒数第二。因此，我们的防御者认为扫描泄露凭证的能力既非关键也相对其他能力无效。也许最 drastic 的是，目前没有密钥扫描能力的受访者比例很高。近30%的受访者要么尚未开始实施密钥扫描能力，要么没有计划这样做。

然而，调查预测，随着DevSecOps和安全左移进入开发管道成为安全团队日益关注的焦点，密钥扫描的相对重要性将在不久的将来上升。这种重要性的转变来得不能再快了。虽然密钥扫描在安全生态系统中可能排名不高，但凭证和访问在企业组织中的重要性不容 overstated。在调查的其他地方，受访者高度关注数据泄露的担忧，同时低估了密钥 enable 这些攻击的明显潜力。

真实世界例子

正如Anand Prakash指出的，单个泄露凭证可以授予攻击者同时访问多个系统的权限，使得获得凭证访问后的横向移动成为预期的升级。

组织无意中硬编码凭证或将它们泄露在公开可访问的代码共享服务中。风险报告强调的一个例子是，在仅58,000个具有可访问环境文件的Web应用程序中发现了超过110万个密钥泄露。另一个例子是去年高调的ShinyHunters活动，涉及端点和网站上的凭证收集，导致多次Snowflake泄露。成功时，攻击者直接针对基于云的Snowflake实例进行大规模数据渗出，导致最初假设Snowflake本身已被泄露。

另一个高调例子涉及一名xAI员工在GitHub上泄露私有API密钥，提供对未发布大型语言模型和来自相关组织（如SpaceX）的敏感信息的访问——单个泄露导致供应链上的影响。威胁行为体知道泄露凭证的力量，并正在进化他们对信息窃取器和创造性横向移动在日益连接的系统中的使用，以进一步利用此攻击向量。

信息窃取器的进化

信息窃取器越来越多地狩猎云和容器凭证，并被构建到更大的攻击活动中以增加其泄露能力。例子包括TeamTNT的SilentBob资源盗窃活动，该活动在加密矿工的影响确立后利用信息窃取器，以扩大攻击者下一步能做的范围。

结论 | 需要基础警惕

配置错误和泄露凭证作为主要攻击向量的持续存在是一个鲜明提醒，基础安全仍然至关重要。尽管对云安全能力的信心增长，真正的韧性需要持续警惕、集成解决方案和针对不断适应对手的主动 stance。是时候弥合认知差距，确保基本云安全卫生不仅仅是一个复选框，而是针对不可避免情况的动态、AI驱动的防御。

加入我们即将于2025年7月24日星期四举行的网络研讨会，了解更多关于解决这些主要攻击向量以及云风险报告和2025云安全调查的其他见解。在此保存您的位置！

进一步阅读

• 2025云安全风险报告
• 2025云安全调查报告
• 了解更多关于SentinelOne Singularity云安全

免责声明
本出版物中提到的所有第三方产品名称、徽标和品牌均为其各自所有者的财产，仅用于识别目的。使用这些名称、徽标和品牌并不意味着与第三方有关联、认可、赞助或关联。

封面图片仅为示意，请替换为实际可用链接