90%_的安全供应链并不安全.pdfVIP

防火墙计算机与网络

■阚哲

近日，云安全公司发布了《年全球云威胁程序，寻找云凭据，并将攻击范围扩展至云。

Sysdig2023

报告》，研究了瞄准垂直行业的针对性云攻击，结果发现云S3桶和其他类似的对象存储选项是存储秘密和密钥

攻击者正在通过利用云服务和常见的错误配置，以复杂的的流行云服务。而威胁行为者正使用、和

EspiderfootLinode

方式发展他们的技术和工具包。更重要的是，云中的攻击S3Browser等工具持续扫描存储桶，以求找到有用的错误

移动速度很快，侦察到的威胁和造成严重破坏之间的间隔配置。它们还会暴力破解实际组织可能使用的S3桶名，以

可能仅几分钟。期找到与目标公司相关的有价值信息。当相关资源被扫描

报告的主要内容Chatbot

或凭据泄露时，坏人和好人都会使用聊天机器人（）

云自动化的武器化：云攻击发生得很快，侦察和发现的来获取通知。

速度更快。这些技术的自动化使攻击者能够立即发现目标信息收集

系统中的漏洞。数据显示，机会主义攻击平均在2min内就云环境中的发现策略是攻击者杀伤链中最被低估的步

能找到公开暴露的凭据，而从凭证发现到攻击启动往往只骤之一。防御者倾向于把注意力集中在其他攻击战术上

需21min。很多时候，发现警报往往为时已晚；（比如防御逃避），但忘记了大多数复杂的攻击都是从广泛

10min结束战斗：云攻击者行动迅速，伺机而动，往往的发现活动开始的。

只需10min就能发动攻击，其中5min是驻留时间。而根云环境中的发现活动是高度自动化的，几乎在首次登

据Mandiant的数据，全球网络攻击平均驻留时间（攻击者录后便会立即发生。查看许多攻击活动的云事件日志会发

入侵网络到入侵被检测的时间）为16天；现，大多数API调用间隔为毫秒，这是使用自动工具或脚

90%的安全供应链并不够安全：另外10%的高级供应本的明显证据。

链威胁对预防工具来说是不可见的。规避技术使恶意代码攻击者还会每天或每小时持续执行一些小的周期性发

能够隐藏，直到映像被部署。现活动，以跟踪潜在的受害帐户并利用更改或错误配置。

攻击者隐藏在云中：攻击者正在滥用云服务和策略，以这一阶段的攻击并不微妙，它的特点是对许多端点的查询

source

充分利用云原生环境的复杂性。使用源混淆（快速连续。这种类型的活动表明攻击者正在进行信息收

obfuscation）使它们更难被跟踪。新技术使得基于IoC的防集，并且应该触发对账户的事件响应分析。

御失效，将蓝队推向先进的云威胁检测；数据收集

65%的云攻击针对电信和金融科技公司：电信和金融IaC