身份和訪問管理(Identity and access management,IAM)是保障雲端應用安全的主要措施,有網絡安全公司表示,企業在疫情期間更常使用雲端,但部分缺乏適當 IAM 控制措施,導致成為攻擊者的目標。
Palo Alto Networks 調查團隊 Unit 42 分析了來自 200 間不同企業的 18,000 個雲端帳戶的 68 萬多個身份,發現 44% 的企業機構允許 IAM 密碼重複使用,而 53% 的雲端賬戶允許使用少於 14 個字符的弱密碼。
另外,團隊發現不少企業允許過多的權限和過於寬鬆的措施,因此攻擊者往往在進入企業的雲端環境時暢通無阻。其中 99% 的雲端用戶、角色、服務和資源被授予過多的權限,而這些權限最終沒有被使用。
團隊稱,大多數企業對利用寬鬆的 IAM 措施發起的攻擊毫無準備,而攻擊者也知道這一點,因而瞄準雲端 IAM 憑證,並以收集這些憑證為攻擊過程的目標。團隊建議,企業宜強化 IAM 權限,並提高安全自動化程度,以及採用雲端原生應用保護平台(CNAPP)套件集成。
Unit 42 亦表示,他們創建業界首個雲端攻擊者名單,分析攻擊組織針對雲端基礎架構所執行的操作。部分雲端攻擊者包括:
- TeamTNT:最惡名昭彰和攻擊最精密複雜的憑證攻擊組織。
- WatchDog:針對有弱點的的雲端情况和應用程式的投機威脅組織。
- Kinsing:以謀取經濟利益為目標的投機雲端威脅組織,具有收集雲端憑證的巨大潛力。
- Rocke:專門從事雲端環境中的勒索軟件和加密劫持行動。
- 8220:Monero採礦組織,據稱在2021年12月利用Log4j升級了他們的採礦行動。