主要攻击向量持续存在

2025年7月17日
SentinelOne

我们云和AI时代的速度与创新是不可否认的。然而，机遇与责任和风险并存。云安全挑战的双重性在于这两种对立力量明显不同。为了保持云环境的安全，我们需要内省地审视如何改进负责云防御的内部人员、流程和技术。我们还需要了解外部威胁形势，包括新的和持续存在的威胁行为者能力和创新。

为此，SentinelOne发布了两份报告，分别突出了云安全挑战的两个方面：

云安全调查报告 提供了来自400名网络安全经理和实践者的见解，涵盖了当前的云安全运营、责任、技术感知以及未来的投资计划。
云安全风险报告 详细介绍了2025年的五个新兴风险主题，并深入举例说明了利用云凭证盗窃、横向移动、易受攻击的云存储、供应链风险和云AI服务等风险进行的攻击。

这是三篇博客中的第一篇，重点介绍了两份报告之间的关键一致点和对比点：主要攻击向量持续存在、AI的双刃剑：AI如何扩大攻击面并赋能防御者，以及供应链攻击是云管道中的隐藏威胁。

两份报告的一个特点是需要正确掌握云安全的基础知识——特别是管理和减少云配置错误以及限制云凭证的泄露。它们仍然是威胁行为者最常见的初始访问点，也是安全团队日常的 struggle。

门未上锁 | 云配置错误

自Gartner在2019年提出“到2025年，99%的云安全故障将是客户的过错”以来，云配置错误一直是安全团队关注的焦点。尽管云安全技术不断创新，并且有多代云安全态势管理（CSPM）解决方案，挑战仍然存在，并且由于基本配置错误，高调的数据泄露仍在发生。

经典（几乎是陈词滥调）的云配置错误在头条新闻中一次又一次地出现，即云存储公开且未加密。然而，尽管有充分的警告和CSPM的普及，这些泄露仍在继续。风险报告提供的例子包括2024年12月的一次泄露，当时大众汽车软件子公司的错误配置的S3桶泄露了超过80万车主的敏感细节。去年12月的另一个例子是，专门从事凭证盗窃和针对云存储的威胁行为者Nemesis被发现错误配置了自己的S3桶。

当被调查时，配置错误主题在云安全调查中提供了一些矛盾的答案。如果对云安全能力的重要性进行排名，CSPM排名第二重要（第一是云检测和响应，CDR）。关注能力效力，CSPM也排名很高，在响应者被要求对其组织对所选CSPM的满意度进行排名时，并列第三，得分为4.22分（满分5分）。

因此，我们对抗云配置错误的主要武器被广泛视为既 vital 又 effective。这与响应者对其组织“配置错误评估”能力的信心形成对比。不幸的是，这在列出的8项云安全功能中排名最后，得分为3.98分（满分5分）。

这里差异的一个潜在线索可能在优先级和噪音管理方面。毕竟，CSPM notoriously noisy，许多云环境的重复结构通常会导致相同问题在多个区域出现级联警报。高达86.9%的响应者确认他们在验证和优先处理警报和云事件方面面临挑战。此外，三分之二的组织（67.7%）同意他们生成如此多的云安全数据，以至于他们的团队难以获得可操作的见解。

展望未来，复杂云攻击的性质将加剧噪音和优先级问题。我们看到威胁行为者以新方式针对和滥用配置错误、配置错误链，尤其是攻击者驱动的配置错误。

配置错误链

随着防御者越来越擅长关闭明显的云泄露机会，攻击者越来越多地将次要、不太重要的配置错误链接在一起，以在云环境中实现更深的泄露和横向移动。要查看链接配置错误的例子，请参考风险报告中围绕利用Lambda函数的电子商务商店的虚构案例研究。

威胁行为者的适应 presents 防御者新的挑战。利用CSPM的安全团队从关键严重性配置错误开始并逐步向下工作， risk 错过在上下文中考虑时呈现更显著风险的链。

攻击者驱动的配置错误

近期的复杂云攻击活动都包括对手在修改或禁用云服务时导致云配置错误。例如，ScarletEel在其加密挖掘活动中自动化禁用云安全服务。更常见的是，威胁行为者创建过于宽松的角色（一种常见的云配置错误）以 enable 更容易的横向移动和发现。这方面的例子包括大规模勒索活动（可能由Nemesis及其不良云存储习惯进行），他们部署一系列Lambda函数以自动化创建这些错误配置的身份。

这为云防御者提出了一个有趣的挑战，即如何区分源自组织部署选择的云配置错误与外部或内部威胁行为者可能导致的配置错误。如果您对云配置错误的视图是静态的，即存在什么而不是何时或如何，那么这种区分将非常困难，如果不是不可能。

关于配置错误的最后说明

随着组织采用更新的云服务来构建和利用AI能力，新的配置错误风险领域正在出现。我们将在本三部分系列的第二篇博客中更详细地研究AI作为新型攻击面和防御者工具。

王国之钥 | 泄露的凭证

凭借漏洞赏金狩猎和白帽黑客的历史，我们的云原生安全高级产品总监Anand Prakash知道泄露凭证给攻击者的力量。

“云平台托管大量互联数据和服务，意味着单个泄露凭证可以 grant 攻击者同时访问多个系统——即使您的应用程序 otherwise secure。” – Anand Prakash，SentinelOne云原生安全高级产品总监

尽管其 criticality，我们的云安全调查发现，在核心云安全能力中，秘密扫描（帮助防御者 hunt 泄露凭证）排名最后。不到13%的响应者将秘密扫描列入前五最重要的云安全能力列表，该列表包括云检测和响应、云工作负载保护平台（CWPPs）、基础设施即代码（IaC）扫描等。

此外，秘密扫描在云安全工具和能力效力排名中倒数第二。因此，我们的防御者将扫描泄露凭证的能力视为既非关键也非 effective 相对于其他能力。也许最 drastic 的是，目前没有秘密扫描能力的响应者比例很高。近30%的响应者要么尚未开始实施秘密扫描能力，要么没有计划这样做。

然而，调查预测，随着DevSecOps和安全左移到开发管道成为安全团队日益关注的焦点，秘密扫描的相对重要性将在不久的将来上升。这种重要性的转变 cannot come too soon。虽然秘密扫描在安全生态系统中排名不高，但凭证和访问在企业组织中的重要性 cannot be overstated。在调查的其他地方，响应者高度关注数据泄露的担忧，同时低估了秘密 enable 这些攻击的明显潜力。

现实世界例子

正如Anand Prakash所指出的，单个泄露凭证可以 grant 攻击者同时访问多个系统，使得在获得凭证访问后进行横向移动成为预期的升级。

组织无意中硬编码凭证或将它们泄露在公开可访问的代码共享服务中。风险报告强调的一个例子是，仅在58,000个具有可访问环境文件的Web应用程序中发现了超过110万个秘密泄露。另一个例子是去年高调的ShinyHunters活动，涉及在端点和网站上的凭证收获，导致多次Snowflake泄露。在成功的情况下，攻击者直接针对基于云的Snowflake实例进行大规模数据渗出，导致最初假设Snowflake本身已被泄露。

另一个高调的例子涉及一名xAI员工在GitHub上泄露了一个私有API密钥，提供对未发布的大型语言模型和来自相关组织（如SpaceX）的敏感信息的访问——单个泄露导致沿供应链的影响。威胁行为者知道泄露凭证的力量，并正在演变他们对信息窃取器和创造性横向移动的使用， across 日益连接的系统以进一步利用此攻击向量。

信息窃取器的演变

信息窃取器越来越多地 hunt 云和容器凭证，并被 built into 更大的攻击活动以增加其泄露能力。这方面的例子包括TeamTNT的SilentBob资源盗窃活动，该活动在加密矿工的影响 established 后利用信息窃取器，以 broaden 攻击者下一步可以做的范围。

结论 | 需要基础警惕

配置错误和泄露凭证作为主要攻击向量的持续存在是一个 stark reminder 基础安全 remains paramount。虽然对云安全能力的信心增长，但真正的韧性需要持续警惕、集成解决方案和主动 stance against 不断适应的对手。是时候 bridge 感知差距并确保基本云安全卫生不仅是一个复选框，而是针对不可避免的动态、AI驱动的防御。

加入我们于2025年7月24日星期四举行的即将到来的网络研讨会，了解更多关于解决这些主要攻击向量以及来自云风险报告和2025云安全调查的其他见解。在此保存您的位置！

进一步阅读

2025云安全风险报告
2025云安全调查报告
了解更多关于SentinelOne Singularity云安全

免责声明
本出版物中提到的所有第三方产品名称、徽标和品牌均为其各自所有者的财产，仅用于识别目的。使用这些名称、徽标和品牌并不意味着与第三方有关联、认可、赞助或关联。