执行摘要

2025年5月对云安全而言是一个充满挑战的月份，针对金融、零售、医疗和科技等多个行业的复杂网络攻击显著增加。这些事件持续凸显了固有的漏洞，例如第三方系统遭入侵、普遍存在的配置错误，以及勒索软件和零日漏洞利用日益增长的威胁。本报告总结了5月份的关键事件，分析了主要的攻击途径，并为在日益复杂的数字环境中加强云安全态势提供了关键建议。

2025年5月关键云安全事件

整个2025年5月，一系列重大事件被披露或遭主动利用，突显了全球云环境中存在的普遍弱点。 勒索软件活动持续进行无情攻击；例如，可口可乐中东分部成为Everest勒索软件团伙的目标，该公司拒绝支付赎金后，该团伙不仅加密了数据，还公开泄露了敏感的员工信息。这一事件鲜明地展示了数据窃取与加密相结合所带来的严重影响。 英国主要零售商玛莎百货和Co-op UK也遭遇了重大的勒索软件攻击，玛莎百货的事件被明确归因于DragonForce/Scattered Spider组织。这些攻击主要通过入侵IT合作伙伴和利用供应链环节，造成了重大的运营中断和客户数据泄露。进一步影响关键行业的是，Kettering Health和MathWorks（MATLAB）遭遇的勒索软件攻击导致了系统中断和服务中断，直接影响了基本医疗运营和关键软件的可用性。在物流领域，英国食品分销商Peter Green Chilled遭到勒索软件攻击，严重破坏了其处理新订单的能力，并对大型超市的供应链产生了连锁反应。 第三方和供应链漏洞构成了另一个重要的攻击途径。阿迪达斯报告称，其第三方客户服务供应商发生数据泄露，暴露了客户联系信息，生动地说明了依赖外部服务提供商所固有的关键风险。同样，Ascension Health由于第三方文件工具中的漏洞导致患者健康数据暴露，可能违反了HIPAA法规，并突显了加强供应商监督的必要性。一个特别令人担忧的事件涉及Coinbase，一名海外客户支持承包商的内幕威胁导致了客户数据泄露和勒索企图，凸显了内部串通和供应商访问权限管理不当的严重危险。此外，Pearson因GitLab个人访问令牌配置错误而遭受网络攻击，使得威胁行为者得以窃取公司及客户数据。 数据泄露和配置错误仍然是普遍存在的问题。据称，通过一个存在漏洞的API窃取了12亿Facebook用户记录，突显了API滥用可能导致的大规模数据泄露。另外，超过1.84亿个电子邮件/密码对被发现暴露在一个未知的凭证数据库中，这些凭证很可能是由信息窃取恶意软件汇编而来，这揭示了凭证填充攻击的广泛影响。LexisNexis Risk Solutions遭遇了一次入侵，由于GitHub仓库配置错误，暴露了内部代码、API密钥和文档，为攻击者访问内部系统创造了途径。此外，TeleMessage公司的一个AWS配置错误导致了未加密数据暴露，其中包括美国政府人员的私人通信。 本月还出现了对零日漏洞的积极利用。Commvault报告称，其托管在Azure上的备份服务中的一个零日漏洞被利用，使攻击者能够部署Webshell并提取客户机密。SAP NetWeaver中的多个关键CVE漏洞遭到利用，为托管环境（包括工业控制系统）提供了未经授权的后门访问。最后，三星MagicINFO 9服务器和Ivanti Endpoint Manager Mobile中的未认证远程代码执行漏洞被利用，从而导致了设备劫持和恶意软件部署。新出现的报告还指出，网络钓鱼和社交工程攻击日益复杂化，威胁行为者利用生成式AI策划更具说服力和高度针对性的活动。

常见攻击类型分析

2025年5月的事件揭示了针对云环境的几个反复出现的主题和主要攻击途径。 IAM、存储和网络设置中的配置错误仍然是云泄露的最普遍原因。默认设置、人为错误、过度宽松的角色、不受管理的服务（通常称为"影子IT"）以及暴露的接口继续为恶意行为者提供了令人震惊的简单切入点。 供应链和第三方风险也成为一个关键漏洞。大量数据泄露源于第三方供应商、承包商或软件依赖项的安全弱点，这明确地表明，一个组织的安全态势仅与其扩展的数字生态系统中最薄弱的环节一样强大。身份和访问管理（IAM）的破坏仍然是一个持续存在的弱点，被盗凭证、多因素身份验证（MFA）采用不足以及过度权限为攻击者在云环境中获取初始访问权限和提升权限提供了关键途径。 勒索软件和数据勒索团伙越来越多地以云环境为目标，不仅是为了加密数据，还为了窃取数据并进行后续勒索。这种双重威胁增加了另一层重大风险和合规压力。此外，应用程序和API漏洞，特别是认证薄弱或权限过大的不安全API，经常被利用来进行未经授权的数据访问。本月还看到攻击者积极利用SaaS平台和云应用程序中的零日漏洞利用。内部威胁（无论是恶意的还是无意的）构成了重大风险，Coinbase事件证明了这一点，其中特权访问遭到滥用。最后，对云资源（如容器和无服务器功能）动态和短暂性质的持续性可见性不足，持续造成盲点，使得安全团队难以实时检测和响应威胁。

针对这些攻击的建议

为有效缓解2025年5月观察到的不断演变的威胁态势，组织必须采取主动且全面的分层云安全策略。实施以下关键建议可以显著加强其防御能力： 首先，加强身份和访问管理。这包括严格执行最小权限原则，确保用户和服务仅被授予必要的最低权限，并定期审查和撤销不必要的访问。强制要求所有用户（尤其是特权账户和关键系统）使用多因素身份验证是毋庸置疑的。此外，组织应实施自动化凭证管理实践，包括自动化密钥轮换以及安全存储API密钥和机密信息，通常利用身份治理和管理工具。至关重要的是，部署身份威胁检测与响应解决方案将有助于实时检测异常访问模式和潜在的凭证泄露。 其次，优先考虑云安全态势管理和云原生应用保护平台。持续的配置错误检测至关重要，利用云安全态势管理工具持续监控云环境，查找存储桶、安全组、网络策略和其他服务中的常见配置错误。实施云原生应用保护平台解决方案进行行为分析、异常检测和运行时保护，对于有效阻止勒索软件和未经授权访问等恶意活动至关重要。此外，将密钥扫描直接集成到CI/CD管道和基础设施即代码仓库中，以主动防止敏感凭证泄露。 第三，加强供应链和第三方风险管理。这需要对所有能访问您云环境或敏感数据的第三方供应商进行彻底的安全评估。在所有供应商合同中加入强有力的安全和事件响应条款。对所有第三方访问您云资源的行为实施严格的访问控制和实时监控。考虑使用专门的供应链安全软件，以获得对软件供应链的全面可见性和控制。 第四，实施强大的数据保护和加密。确保所有敏感数据在静态（存储中）和传输（传输过程中）都得到加密。制定并实施强健的密钥管理策略，并定期轮换密钥。部署数据丢失防护解决方案，主动防止敏感数据从云环境中未经授权的泄露。 第五，优先考虑主动的漏洞管理和补丁管理。为所有云原生服务、操作系统和应用程序建立严格的补丁节奏，始终优先处理关键和已被主动利用的漏洞。持续关注新出现的零日漏洞利用，一旦有补丁或变通方案可用立即应用。定期扫描您的云资产和应用程序中的已知漏洞，以识别并修复弱点。 第六，加强应用程序和API安全性。为所有API设计和实施安全的编码实践，包括强身份验证、健壮的授权、彻底的输入验证和有效的速率限制。使用API网关实现集中式安全、流量过滤和全面的威胁防护。部署Web应用防火墙以保护托管在云上的Web应用程序免受常见Web攻击。 第七，建立全面的日志记录、监控和事件响应能力。汇总所有云服务的日志进行集中分析，并将其与安全信息和事件管理以及安全编排、自动化和响应解决方案集成，以实现实时威胁检测和自动响应。定期进行桌面演练和模拟攻击场景，以持续测试和完善您的事件响应计划。制定快速遏制漏洞和高效数据恢复的稳健策略。 最后，优先考虑员工培训和意识提升。为所有员工开展持续的安全意识培训计划，涵盖网络钓鱼、社交工程策略、安全编码实践和遵守公司安全政策等主题。教育员工了解内部威胁的固有风险，并强调及时报告任何可疑活动的重要性。

结论

2025年5月有力地提醒了云安全威胁的动态性和持续性。勒索软件日益复杂，配置错误的风险无处不在，以及复杂的第三方集成所带来的不断扩大的攻击面，都需要一个分层的、主动的、持续适应的安全策略。通过持续关注强身份控制、全面的态势管理、严格的第三方监督和强大的事件响应，组织可以显著增强对未来基于云的攻击的抵御能力，并以更大的信心应对不断演变的威胁格局。