执行摘要

2025年5月被证明是云安全面临严峻挑战的一个月，复杂网络攻击显著增加，影响了金融、零售、医疗保健和技术等多个行业。这些事件持续凸显了持久的漏洞，包括第三方泄露、普遍存在的配置错误以及勒索软件和零日漏洞利用日益增长的威胁。本报告总结了5月份的关键事件，分析了主要的攻击向量，并提供了关键建议，旨在日益复杂的数字环境中增强云安全态势。

2025年5月关键云安全事件

在整个2025年5月，一系列重大事件被披露或遭到主动利用，凸显了全球云环境中的常见弱点。勒索软件活动持续不断攻击；例如，可口可乐中东部门成为Everest勒索软件团伙的目标，该团伙不仅加密数据，还在公司拒绝支付赎金后公开泄露敏感员工信息。这一事件鲜明地展示了数据外泄与加密相结合的严重影响。

英国主要零售商玛莎百货（M&S）和Co-op UK也遭遇了重大勒索软件攻击，其中玛莎百货事件特别归因于DragonForce/Scattered Spider组织。这些攻击主要通过破坏IT合作伙伴和利用供应链要素，导致了严重的运营中断和客户数据暴露。进一步影响关键行业的是，Kettering Health和MathWorks（MATLAB）遭遇勒索软件攻击，导致系统中断和服务中断，直接影响了基本医疗运营和重要软件的可用性。在物流领域，英国食品分销商Peter Green Chilled遭到勒索软件攻击，严重扰乱了其处理新订单的能力，并对主要超市的供应链产生了连锁反应。

第三方和供应链泄露代表了另一个重要的攻击向量。阿迪达斯报告称，一家第三方客户服务供应商遭到入侵，暴露了客户联系信息，生动地说明了依赖外部服务提供商所固有的关键风险。同样，Ascension Health因第三方文件工具中的漏洞导致患者健康数据暴露，可能违反HIPAA法规，并强调了强有力的供应商监督的必要性。一个特别令人担忧的事件涉及Coinbase，一名海外客户支持承包商引发的内部威胁导致客户数据泄露和勒索企图，凸显了内部串通和供应商访问管理不足的严重危险。此外，Pearson因配置错误的GitLab个人访问令牌而遭受网络攻击，威胁行为者利用此漏洞窃取了公司和客户数据。

数据泄露和配置错误仍然是一个普遍存在的问题。据称通过易受攻击的API抓取了12亿Facebook（Meta）用户记录，凸显了通过API滥用可能发生的大规模数据泄露。另外，超过1.84亿个电子邮件/密码对（可能由信息窃取器恶意软件编译而成）在一个未知的凭据数据库中被发现暴露在网上，指出了凭据填充攻击的广泛影响。LexisNexis Risk Solutions遭遇了一次泄露，配置错误的GitHub存储库暴露了内部代码、API密钥和文档，为攻击者访问内部系统创造了途径。此外，TeleMessage的AWS配置错误导致未加密数据暴露，包括属于美国政府人员的私人通信。

本月还出现了零日漏洞的主动利用。Commvault报告称，其Azure托管的备份服务中的一个零日漏洞被利用，使攻击者能够部署Webshell并提取客户端密钥。SAP NetWeaver中的多个关键CVE被利用，提供了对托管环境（包括工业控制系统）的未经授权的后门访问。最后，Samsung MagicINFO 9 Server和Ivanti Endpoint Manager Mobile中未经身份验证的远程代码执行（RCE）漏洞的利用允许设备劫持和恶意软件部署。新出现的报告还表明，网络钓鱼和社会工程攻击日益复杂，威胁行为者利用生成式AI制作更具说服力和高度针对性的活动。

常见攻击类型分析

2025年5月的事件阐明了几个反复出现的主题和主要攻击向量，这些向量持续针对云环境。IAM、存储和网络设置中的配置错误仍然是云泄露的最普遍原因。默认设置、人为错误、过度宽松的角色、未管理服务的激增（通常称为“影子IT”）以及暴露的接口继续为恶意行为者提供令人震惊的简单入口点。

供应链和第三方风险也成为一个关键漏洞。大量泄露源于第三方供应商、承包商或软件依赖项中的安全弱点，明确强调组织的安全态势仅与其扩展数字生态系统中最薄弱的环节一样强大。身份和访问管理（IAM）泄露仍然是一个持续存在的弱点，被盗凭据、多因素认证（MFA）采用不足以及过度权限为攻击者在云环境中获得初始访问权限和提升权限提供了关键途径。

勒索软件和数据勒索团伙越来越多地针对云环境，不仅是为了数据加密，还为了数据外泄和随后的勒索。这种双重威胁增加了另一层重大风险和合规压力。此外，应用程序和API漏洞，特别是具有弱身份验证或过度权限的不安全API，经常被利用来未经授权访问数据。本月还看到攻击者积极利用SaaS平台和云应用程序中的零日漏洞利用。内部威胁，无论是恶意的还是意外的，都构成了重大风险，正如Coinbase事件所示，其中特权访问被滥用。最后，对云资源（如容器和无服务器功能）动态和短暂性质的持续缺乏可见性继续造成盲点，使得安全团队难以实时检测和响应威胁。

针对这些攻击的建议

为了有效缓解2025年5月观察到的不断演变的威胁形势，组织必须采取主动且全面分层的云安全策略。实施这些关键建议可以显著增强其防御能力：

首先，加强身份和访问管理（IAM）。这包括严格执行最小权限原则，确保用户和服务仅被授予最低必要权限，并定期审查和撤销不必要的访问。强制所有用户（尤其是特权账户和关键系统）使用多因素认证（MFA）是必不可少的。此外，组织应实施自动化凭据管理实践，包括自动密钥轮换以及API密钥和密钥的安全存储，通常利用身份治理和管理（IGA）工具。至关重要的是，部署身份威胁检测和响应（ITDR）解决方案将有助于实时检测异常访问模式和潜在的凭据泄露。

其次，优先考虑云安全态势管理（CSPM）和云原生应用保护平台（CNAPP）。持续的错误配置检测至关重要，利用CSPM工具不断监控云环境中存储桶、安全组、网络策略和其他服务中的常见错误配置。实施CNAPP解决方案进行行为分析、异常检测和运行时保护对于有效阻止勒索软件和未经授权访问等恶意活动至关重要。此外，将密钥扫描直接集成到CI/CD管道和基础设施即代码（IaC）存储库中，以主动防止敏感凭据暴露。

第三，增强供应链和第三方风险管理。这需要对所有能够访问您的云环境或敏感数据的第三方供应商进行彻底的安全评估。在所有供应商合同中包含强有力的安全和事件响应条款。对所有第三方访问您的云资源实施严格的访问控制和实时监控。考虑利用专门的供应链安全软件来获得对软件供应链的全面可见性和控制。

第四，实施强大的数据保护和加密。确保所有敏感数据在静态（存储中）和传输中（传输期间）都经过加密。制定并实施强大的密钥管理策略，并定期轮换密钥。部署数据丢失防护（DLP）解决方案，以主动防止敏感数据从云环境中未经授权外泄。

第五，优先考虑主动漏洞管理和补丁管理。为所有云原生服务、操作系统和应用程序建立严格的补丁节奏，始终优先处理关键和主动利用的漏洞（CVE）。持续了解新出现的零日漏洞利用，并在补丁或变通方案可用后立即应用。定期扫描您的云资产和应用程序以查找已知漏洞，以识别和修复弱点。

第六，加强应用程序和API安全性。为所有API设计和实施安全编码实践，包括强身份验证、健壮的授权、彻底的输入验证和有效的速率限制。利用API网关进行集中安全、流量过滤和全面威胁防护。部署Web应用程序防火墙（WAF）以保护云托管的Web应用程序免受常见Web攻击。

第七，建立全面的日志记录、监控和事件响应能力。聚合所有云服务的日志以进行集中分析，并将其与安全信息和事件管理（SIEM）以及安全编排、自动化和响应（SOAR）解决方案集成，以实现实时威胁检测和自动响应。定期进行桌面演练和模拟攻击场景，以持续测试和完善您的事件响应计划。制定强大的策略，以快速遏制漏洞和高效恢复数据。

最后，优先考虑员工培训和安全意识。为所有员工开展持续的安全意识培训计划，涵盖网络钓鱼、社会工程策略、安全编码实践以及遵守公司安全政策等主题。教育员工了解内部威胁的固有风险，并强调及时报告任何可疑活动的重要性。

结论

2025年5月严峻地提醒我们云安全威胁的动态和持久性。勒索软件日益复杂、配置错误的普遍风险以及复杂第三方集成带来的不断扩大的攻击面，要求采取分层、主动和持续适应的安全策略。通过持续关注强身份控制、全面的态势管理、严格的第三方监督和强大的事件响应，组织可以显著增强其抵御未来基于云的攻击的能力，并以更大的信心应对不断演变的威胁形势。