主要攻击向量持续存在
云安全挑战的双重性
我们云和AI时代的速度与创新不可否认。然而,机遇与责任和风险并存。云安全挑战的双重性在于这两种对立力量显著不同。为了保持云环境的安全,我们需要内省地检查如何改进负责云防御的内部人员、流程和技术。我们还需要了解外部威胁形势,包括新的和持续存在的威胁行为者能力和创新。
为此,SentinelOne发布了两份报告,分别突出云安全挑战的两个方面:
- 云安全调查报告呈现了来自400名网络安全经理和实践者的见解,涵盖当前云安全运营、责任、技术感知和未来投资计划。
- 云安全风险报告详细介绍了2025年五个新兴风险主题,并深入举例说明了利用云凭据盗窃、横向移动、易受攻击的云存储、供应链风险和云AI服务等风险进行的攻击。
这是三篇博客中的第一篇,重点介绍两份报告之间的关键一致点和对比点:主要攻击向量持续存在、AI作为新型攻击面和防御者新工具,以及供应链攻击是云管道中的隐藏威胁。
两份报告的一个特点是需要正确掌握云安全的基础知识——特别是管理和减少云配置错误以及限制云凭据的泄露。它们仍然是威胁行为者最常见的初始访问点,也是安全团队日常的挣扎。
门未上锁 | 云配置错误
自Gartner在2019年提出“到2025年,99%的云安全故障将是客户的过错”以来,云配置错误一直备受安全团队关注。尽管云安全技术创新和多代云安全态势管理(CSPM)解决方案出现,挑战仍然存在,且由于基本配置错误,高调泄露事件仍在发生。
经典(几乎陈词滥调)的云配置错误在头条新闻中一次又一次出现,即云存储公开且未加密。然而,尽管有充分的警告和CSPM的普及,这些泄露仍在继续。风险报告提供的例子包括2024年12月的一次泄露,当时大众汽车软件子公司的错误配置S3桶泄露了超过80万车主的敏感细节。另一个例子是去年12月,专门从事凭据盗窃和针对云存储的威胁行为者Nemesis被发现错误配置了自己的S3桶。
当被调查时,配置错误主题在云安全调查中提供了一些矛盾的答案。如果对云安全能力的重要性进行排名,CSPM排名第二重要(第一是云检测和响应,CDR)。关注能力效力,CSPM也排名很高,在回应者被要求对其组织对所选CSPM的满意度进行排名时,并列第三,得分4.22分(满分5分)。
因此,我们对抗云配置错误的主要武器被广泛视为既关键又有效。这与回应者对其组织“配置错误评估”能力的信心形成对比。不幸的是,这在列出的8项云安全功能中排名最后,得分3.98分(满分5分)。
这里差异的一个潜在线索可能在优先级和噪音管理。毕竟,CSPM以噪音大而闻名,许多云环境的重复结构通常会导致相同问题在多个区域出现级联警报。高达86.9%的回应者确认他们在验证和优先处理警报和云事件方面面临挑战。此外,三分之二的组织(67.7%)同意他们生成如此多的云安全数据,以至于团队难以获得可操作的见解。
展望未来,复杂云攻击的性质将加剧噪音和优先级问题。我们看到威胁行为者以新方式针对和滥用配置错误、配置错误链,特别是攻击者驱动的配置错误在上升。
配置错误链
随着防御者越来越擅长关闭明显的云泄露机会之门,攻击者越来越多地将次要、不太重要的配置错误链接在一起,以在云环境中实现更深的泄露和横向移动。要查看链接配置错误的例子,请参考风险报告中围绕利用Lambda函数的电子商务商店的虚构案例研究。
威胁行为者的适应为防御者带来了新的挑战。利用CSPM的安全团队从关键严重性配置错误开始并向下工作,有可能错过在上下文中考虑时呈现更显著风险的链。
攻击者驱动的配置错误
近期的复杂云攻击活动都包括对手在修改或禁用云服务时导致云配置错误。例如,ScarletEel将其加密挖矿活动中禁用云安全服务自动化。更常见的是,威胁行为者创建过度宽松的角色(一种常见的云配置错误)以启用更轻松的横向移动和发现。实际例子包括大规模勒索活动(可能由Nemesis及其不良云存储习惯进行),他们部署一系列Lambda函数以自动化这些错误配置身份创建。
这对云防御者提出了一个有趣的挑战,即如何区分源于组织部署选择的云配置错误与外部或内部威胁行为者可能导致的配置错误。如果您对云配置错误的看法是静态的,即存在什么而不是何时或如何,那么这种区分将非常困难,如果不是不可能。
关于配置错误的最后说明
随着组织采用更新的云服务来构建和利用AI能力,新的配置错误风险领域正在出现。我们在这个三部分系列的第二篇博客中更详细地调查AI作为新型攻击面和防御者新工具。
王国的钥匙 | 泄露的凭据
凭借漏洞赏金狩猎和白帽黑客的历史,我们的云原生安全高级产品管理总监Anand Prakash知道泄露凭据给攻击者的力量。
“云平台托管大量互连数据和服务,意味着单个泄露凭据可以同时授予攻击者访问多个系统的权限——即使您的应用程序在其他方面是安全的。” – Anand Prakash,SentinelOne云原生安全高级产品管理总监
尽管其关键性,我们的云安全调查发现,在核心云安全能力中,帮助防御者寻找泄露凭据的密钥扫描排名最后。不到13%的回应者将密钥扫描列入前五名最重要的云安全能力列表中,该列表包括云检测和响应、云工作负载保护平台(CWPPs)、基础设施即代码(IaC)扫描等。
此外,密钥扫描在云安全工具和能力效力排名中倒数第二。因此,我们的防御者认为扫描泄露凭据的能力既非关键也非有效相对于其他能力。也许最 drastic 的是,目前不具备密钥扫描能力的回应者比例很高。近30%的回应者要么尚未开始实施密钥扫描能力,要么没有计划这样做。
然而,调查预测,密钥扫描的相对重要性将在不久的将来上升,因为DevSecOps和安全左移到开发管道成为安全团队日益关注的焦点。这种重要性转变来得再及时不过。虽然密钥扫描在安全生态系统中可能排名不高,但凭据和访问在企业组织中的重要性不容 overstated。在调查的其他地方,回应者高度评价他们对数据泄露的担忧,同时低估了密钥启用这些攻击的明显潜力。
实际例子
正如Anand Prakash指出的,单个泄露凭据可以同时授予攻击者访问多个系统的权限,使得获得凭据访问后的横向移动成为预期的升级。
组织无意中硬编码凭据或将它们泄露在公开可访问的代码共享服务中。风险报告强调的一个例子是在仅58,000个具有可访问环境文件的Web应用程序中发现超过110万个密钥泄露。另一个例子是去年高调的ShinyHunters活动,涉及端点和网站上的凭据收获,导致多次Snowflake泄露。在成功的情况下,攻击者直接针对基于云的Snowflake实例进行大规模数据渗出,导致最初假设Snowflake本身已被泄露。
另一个高调例子涉及一名xAI员工在GitHub上泄露私人API密钥,提供对未发布大型语言模型和来自相关组织(如SpaceX)的敏感信息的访问——单个泄露导致供应链影响。威胁行为者知道泄露凭据的力量,并正在演变他们对信息窃取器和创造性横向移动在日益连接的系统中的使用,以进一步利用这个攻击向量。
信息窃取器的演变
信息窃取器越来越多地狩猎云和容器凭据,并被构建到更大的攻击活动中以增加其泄露能力。例子包括TeamTNT的SilentBob资源盗窃活动,该活动在加密矿工的影响建立后利用信息窃取器,以扩大攻击者下一步能做的范围。
结论 | 需要基础警惕
配置错误和泄露凭据作为主要攻击向量的持续存在是一个鲜明提醒,基础安全仍然至关重要。虽然对云安全能力的信心增长,但真正的韧性需要持续警惕、集成解决方案和对抗不断适应的对手的主动 stance。是时候弥合感知差距,确保基本云安全卫生不仅仅是一个复选框,而是对不可避免的动态、AI驱动的防御。
加入我们即将于2025年7月24日星期四举行的网络研讨会,了解更多关于解决这些主要攻击向量以及来自云风险报告和2025云安全调查的其他见解。在此保存您的位置!
进一步阅读
- 2025云安全风险报告
- 2025云安全调查报告
- 了解更多关于SentinelOne Singularity云安全
云安全挑战:风险情报与领导视角
注册参加2025年7月24日的网络研讨会
保存您的位置
喜欢这篇文章?在LinkedIn、Twitter、YouTube或Facebook上关注我们,查看我们发布的内容。
阅读更多关于网络安全的内容:
- 保护AWS Lambda | 配置错误如何导致横向移动
- SentinelOne设定新标准 | 真正AI驱动和统一的云安全
- 代理网络防御定义 | Purple AI Athena发布
- 爬梯子 | Kubernetes权限升级(第2部分)
- 云勒索软件发展 | 客户管理密钥的风险
- inside the SentinelOne + AWS合作伙伴关系:在re:Inforce 2025更智能的云安全
阅读更多
获取演示
用SentinelOne在威胁生命周期的每个阶段击败每次攻击。
预订演示,观看世界上最高级的网络安全平台实战。
获取演示
SentinelLabs
SentinelLabs:威胁情报和恶意软件分析
我们是猎人、逆向工程师、漏洞开发者和修补匠,为所有平台上的恶意软件、漏洞、APT和网络犯罪的广阔世界带来光明。
访问网站
目录
- 门未上锁 | 云配置错误
- 王国的钥匙 | 泄露的凭据
- 结论 | 需要基础警惕
搜索
搜索…
注册
通过我们的每周文章摘要保持最新。
*订阅 点击订阅,我同意根据SentinelOne隐私声明使用我的个人数据。SentinelOne不会向第三方出售、交易、租赁或出租您的个人数据。本网站受reCAPTCHA保护,并适用Google隐私政策和条款服务。
谢谢!注意新内容!
最近帖子
- 网络安全的好、坏和丑 – 第29周 2025年7月18日
- 端点保护重新定义:来自2025年Gartner®魔力象限™ for EPP的见解,以及代理AI和平台化如何塑造市场 2025年7月17日
- Katz窃取器 | 强大的MaaS在狩猎凭据和加密资产 2025年7月17日
博客类别
- 云
- 公司
- 数据平台
- 功能聚焦
- 为CISO/CIO
- 来自前线
- 身份
- 集成和合作伙伴
- macOS
- PinnacleOne
- 好、坏和丑
开始使用
- 获取演示
- 产品导览
- 为什么选择SentinelOne
- 定价和包装
- 常见问题
- 联系
- 联系我们
- 客户支持
语言
- 英语
- 英语
- 日本語
- Deutsch
- Español
- Français
- Italiano
- Dutch
- 한국어
平台
- Singularity平台
- Singularity端点
- Singularity云
- Singularity AI-SIEM
- Singularity身份
- Singularity市场
- Purple AI
服务
- Singularity MDR
- DFIR
- WatchTower
- SentinelOne GO
- 技术账户管理
- 支持服务
垂直行业
- 能源
- 联邦政府
- 金融
- 高等教育
- K-12教育
- 制造业
- 零售
- 中小企业网络安全
资源
- 博客
- Labs
- 案例研究
- 视频
- 产品导览
- 事件
- 网络安全101
- 电子书
- 网络研讨会
- 白皮书
- 新闻
- 勒索软件选集
公司
- 关于我们
- 我们的客户
- 职业
- 合作伙伴
- F1赛车
- 法律与合规
- 安全与合规
- 投资者关系
- S基金会
- S风险投资
©2025 SentinelOne,保留所有权利。
隐私声明 使用条款
隐私偏好中心 当您访问任何网站时,它可能在您的浏览器上存储或检索信息, mostly in the form of cookies。此信息可能关于您、您的偏好或您的设备,并 mostly used to make the site work as you expect it to。该信息通常不直接识别您,但可以给您更个性化的Web体验。因为我们尊重您的隐私权,您可以选择不允许某些类型的 cookies。单击不同的类别标题以了解更多信息并更改我们的默认设置。然而,阻止某些类型的 cookies 可能会影响您对网站的体验和我们能够提供的服务。 更多信息 允许所有 管理同意偏好 功能cookies 始终活跃 这些cookies使网站能够提供增强的功能和个性化。它们可能由我们或我们添加到页面的第三方提供商设置。如果您不允许这些cookies,那么其中一些或所有服务可能无法正常工作。 严格必要cookies 始终活跃 这些cookies对于网站功能是必要的,并且无法在我们的系统中关闭。它们通常仅在响应您做出的相当于请求服务的操作时设置,例如设置您的隐私偏好、登录或填写表单。您可以将浏览器设置为阻止或提醒您关于这些cookies,但站点的某些部分将无法工作。这些cookies不存储任何个人可识别信息。 性能cookies 始终活跃 这些cookies允许我们计算访问量和流量来源,以便我们可以衡量和改进我们站点的性能。它们帮助我们了解哪些页面最受欢迎和最不受欢迎,并查看访问者如何在站点中移动。这些cookies收集的所有信息是汇总的,因此是匿名的。如果您不允许这些cookies,我们将不知道您何时访问了我们的站点,并且无法监控其性能。 定向cookies 始终活跃 这些cookies可能通过我们的站点由我们的广告合作伙伴设置。它们可能被那些公司用于构建您的兴趣档案并在其他站点上向您显示相关广告。它们不直接存储个人信息,但基于唯一标识您的浏览器和互联网设备。如果您不允许这些cookies,您将体验较少的定向广告。 后退按钮 Cookie列表 搜索图标 过滤器图标 清除复选框标签 label 应用 取消 同意合法兴趣复选框标签 label 复选框标签 label 复选框标签 label 确认我的选择