攻击敏感IAM服务帐户的云攻击增加了五倍

如今，企业组织正面临着基于云的安全威胁的惊人激增。与 2024 年初相比，2024 年末的攻击频率几乎是年初的五倍之多。

最令人担忧的是对身份与访问管理（IAM）令牌的针对性攻击，安全研究人员将其形容为 “握着云王国的钥匙”。

Unit 42 的全面分析显示，2024 年全年云安全警报总体增加了 388%，其中高严重性警报更是攀升了惊人的 235%。

这些数据表明，针对云环境的攻击在数量和复杂程度上都有了显著提升。Unit 42 的报告指出：“身份是云基础设施的防御边界。攻击者将目标对准 IAM 令牌和凭据，因为它们就像是云王国的钥匙，能让攻击者在云环境中横向移动、提升权限，并进行更多恶意操作。”

借助精准度达 97% 的神经网络来检测网络攻击，在攻击开始前就将其拦截。

高严重性云警报

在已发现的最令人不安的趋势中，利用 IAM 令牌和凭据进行的远程命令行访问事件大幅增加。2024 年，这类事件增长了两倍。到 12 月，平均每个云环境中针对无服务器函数 IAM 令牌的远程命令行使用的警报超过 200 次，而 1 月时仅有两次这样的警报。

该研究还记录了其他几个令人担忧的模式：

• 基于 IAM 的 “不可能的行程” 警报增加了 116%；
• 来自授权区域之外的 IAM API 请求增加了 60%；
• 云快照导出增加了 45%；
• 多个云存储对象的可疑下载量猛增 305%。

安全研究人员指出，这些攻击与他们在《2024 年云原生安全现状报告》中的发现相符。该报告显示，71% 的组织将漏洞暴露增加归因于加速部署，而 45% 的组织报告称高级持续性威胁（APT）攻击有所增加。

一个特别令人震惊的例子是一起勒索软件活动，该活动从 11 万个目标域名中获取了超过 9 万个凭据，其中包括近 1200 个云 IAM 凭据。这些被盗取的凭据使得攻击者成功地对多个组织实施了勒索攻击。

对无服务器函数的攻击集中也引起了特别关注。根据研究，无服务器函数被设计为自主运行，而对无服务器函数的 IAM 令牌的远程使用则表明云环境已被入侵，并且可能存在横向移动的风险。

专家建议，在使用传统的云安全态势管理（CSPM）解决方案的同时，实施云检测与响应（CDR）工具。虽然 CSPM 工具侧重于配置漏洞，但 CDR 能提供运行时监控，以便在恶意活动发生时及时检测到。

增强云安全的建议

关键建议包括：

• 为所有云环境部署 CDR 安全措施；
• 确保在关键任务的云端点上启用运行时代理；
• 实施来自云服务提供商（CSP）的云审计日志监控；
• 限制计算和无服务器函数可以运行的 CSP 区域；
• 对 IAM 凭据实施最小权限架构；
• 启用云存储版本控制和加密。

报告总结道：“鉴于针对云环境的威胁日益增加，真正有效的防御措施是为公开暴露且关键的云端点配备基于云的代理。” 报告强调，运行时监控和响应能力对于防止云基础设施内的恶意操作至关重要。