原標題：導致數據泄露的常見雲配置錯誤

作者 | Raj Rajamani

雲已成為攻擊者活動的新戰場：CrowdStrike 觀察到，從 2021 年到 2022 年，雲利用增加了 95%，涉及直接針對雲的威脅行為者的案件增加了 288%。保護你的雲環境需要了解威脅行為者的運作方式——他們如何闖入和橫向移動、他們瞄準哪些資源以及他們如何逃避檢測。

1、雲配置錯誤帶來地安全問題

雲配置錯誤（當安全設置選擇不當或完全忽略時出現的漏洞、錯誤或漏洞）為攻擊者提供了滲透雲的簡單途徑。多雲環境很複雜，很難判斷何時授予了過多的帳戶權限、配置了不正確的公共訪問或發生了其他錯誤。也很難判斷對手何時利用它們。

雲中配置錯誤的設置為攻擊者快速行動掃清了道路。雲中的漏洞可能會暴露大量敏感信息，包括個人數據、財務記錄、智慧財產權和商業秘密。對手在不被發現的情況下通過雲環境尋找和竊取這些數據的速度是一個主要問題。惡意行為者將通過使用雲環境中的本機工具來加快在雲中搜索和查找有價值數據的過程，這與他們必須部署工具的本地環境不同，這使得他們更難避免檢測。需要適當的雲安全來防止造成廣泛後果的違規行為。

2、常見的錯誤配置

那麼，我們看到威脅行為者最常見的錯誤配置是什麼，以及對手如何利用它們來獲取你的數據？

無效的網絡控制：網絡訪問控制中的間隙和盲點為攻擊者留下了許多大門，讓他們可以直接通過。

不受限制的出站訪問：當你對網際網路具有不受限制的出站訪問權限時，不良行為者可以利用你缺乏出站限制和工作負載保護來從你的雲平台竊取數據。你的雲實例應限制為特定的 IP 地址和服務，以防止對手訪問和竊取你的數據。

配置不當的公共訪問：將存儲桶或關鍵網絡服務（例如 SSH（安全外殼協議）、SMB（伺服器消息塊）或 RDP（遠程桌面協議））暴露到網際網路，甚至是不打算公開的 Web 服務公開，可能會迅速導致伺服器的雲攻擊以及敏感數據的泄露或刪除。

公共快照和映像：意外公開卷快照或計算機映像（模板）的情況很少見。當這種情況發生時，機會主義的對手就可以從該公共圖像中收集敏感數據。在某些情況下，該數據可能包含密碼、密鑰和證書或 API 憑據，從而導致雲平台遭受更大的損害。

開放資料庫、緩存和存儲桶：開發人員有時會在沒有足夠的身份驗證/授權控制的情況下公開資料庫或對象緩存，從而將整個資料庫或緩存暴露給機會主義對手，以進行數據盜竊、破壞或篡改。

被忽視的雲基礎設施：你會驚訝地發現，有多少次雲平台為了支持短期需求而啟動，但在練習結束時仍保持運行，並在團隊繼續前進後被忽視。開發或安全運營團隊不維護被忽視的雲基礎設施，從而使不良行為者可以自由地獲取訪問權限以搜索可能遺留的敏感數據。

網絡分段不充分：網絡安全組等現代雲網絡概念使 ACL （訪問控制列表）等陳舊、繁瑣的做法成為過去。但是，安全組管理實踐不足可能會創建一個環境，使攻擊者可以根據「網絡內部是安全的」和「只需要前端防火牆」這一隱含的架構假設，在主機之間、服務之間自由移動。」 由於不利用安全組功能僅允許需要通信的主機組進行通信，並阻止不必要的出站流量，雲防禦者錯過了阻止涉及基於雲的端點的大多數違規行為的機會。

監控和警報差距：集中查看所有服務的日誌和警報，使搜索異常變得更加容易。