内容摘要：当企业的CISO试图在整个全球威胁环境中维持安全时，他们发现自己与各种云环境之间的关系是既爱又恨。对于许多人来说，这种关系更像是恨与厌恶的关系。云环境看似是现有运营的无缝延伸，但实际上它们由分散在企业

当企业的大多O都CISO试图在整个全球威胁环境中维持安全时
，他们发现自己与各种云环境之间的忽略关系是既爱又恨。对于许多人来说，云安这种关系更像是全问恨与厌恶的关系  。 

云环境看似是大多O都现有运营的无缝延伸，但实际上它们由分散在企业各个部门的忽略不同云团队控制 
，这些团队的云安目标和需求可能与网络安全团队的指令相冲突
。服务器租用 

因此，全问企业使用云的大多O都本质可能会带来一系列难以检测的潜在网络安全问题。我们与多位云安全专家讨论了企业安全运营中心（SOC）最有可能遭遇的忽略低调云安全问题
。 

临时资源的云安威胁比你想象的更大 

云中没有什么比临时资源更能带来持久的头痛问题了，这主要是全问因为它们的生命周期很短，难以进行扫描，大多O都因而成为隐藏恶意软件的忽略理想场所 。源码下载 

这些临时资源，云安如临时存储实例或动态分配的资源，只存在于执行特定功能后便终止的时间段中，在云环境中越来越常见 。 

软件供应商Zibtek的创始人Cache Merrill表示：“临时资源的短暂性可能会让安全团队低估其潜在的安全风险，认为这些资源由于寿命短而威胁较小。” 

但是，一旦这些资源被攻破 ，它们可能会成为攻击者的最佳帮手 ，亿华云充当“恶意活动的切入点或临时避难所，而几乎不留下任何可供取证分析的痕迹。”Merrill说道  。“这可能尤其具有挑战性 ，因为传统的安全工具和实践通常是为长期存在的基础设施配置的，可能不会自动扩展到这些短命的组件
。” 

根据Merrill的说法，典型安全扫描错过临时攻击的香港云服务器几率“非常高 。最糟糕的情况是什么  ？你将读写权限向全世界开放。” 

在云环境中 ，IT资产清单借口不再有效 

安全专家通常会避免处理本地IT资产的清单管理 
，然而
 ，Wiz公司的首席云安全研究员Scott Piper认为 ，许多人没有意识到，在云中进行清点要容易得多，因此没有理由再回避这项工作
 。 

“许多人在过去处理IT资产清单时都留下了‘伤痕’ 。传统上，在需要物理追踪电缆并亲自查看设备的源码库世界里 ，进行IT资产清单的工作非常困难。接下来 ，你还需要尝试了解这些设备运行的软件及其配置情况 ，这需要在设备上安装代理程序。”Piper说。“这是一个复杂的问题，因为你需要一个适用于操作系统的代理程序 ，并为潜在的性能和可靠性风险进行测试和批准，还需要弄清楚如何进行设备身份验证以安装代理程序，免费模板进行网络通信所需的额外配置更改 ，处理如果代理程序停止工作时的故障排除等等
。” 

相比之下，在云环境中  ，一切都被视为API ，这使得进行资产清单管理要简单得多。虽然远谈不上有趣，但安全团队必须克服多年积累的回避心理。 

Piper表示：“识别所有资源只需要一组API。通过API快照磁盘
，可以扫描服务器上安装的所有应用程序和库，然后花尽可能多的时间评估这些数据 ，而不必过多担心扫描的性能问题 。” 

Piper还指出，那些认为“尽管清单有其价值，但获取清单的困难不值得”的网络安全专家
，实际上是在损害公司在云环境中的安全态势
，因为回避清单管理可能会带来严重的网络安全问题。 

“因为他们没有关注资产清单，他们无法发现配置错误。那些他们不知道的资产清单中可能存在关键的配置问题 ，而这些问题因此未能得到解决。”Piper说 。 

云账单有助于跟踪攻击——但需注意 

一些攻击者并不关注通过勒索软件窃取企业数据或通过DDoS攻击关闭运营 。相反，他们是想要惩罚企业的破坏者 。此类攻击之一包括“钱包拒绝服务”（DoW）攻击  ，旨在迫使企业承担大量额外的云费用 。 

然而，不仅仅是云支出的增加可以作为恶意活动的早期指标。 

“消费量的急剧下降可以告诉你，有人正在破坏你的云环境 ，而且比你的监控系统更早发现问题
。”技术咨询公司ISG的合伙人Doug Saylors表示 。攻击者“可能正在删除过去90天的备份 。” 

尽管跟踪云支出可以提供网络安全情报，但由于云计费的性质——尤其是在不断添加新功能和服务的情况下——实时侦查变得具有挑战性
。 

Saylors说：“超大规模云服务商正在向市场推出大量产品
，有时网络和IT团队在产品开发的初期阶段之外才了解到这些产品。” 

至于DoW攻击 ，IT培训公司Pluralsight的首席云策略师Drew Firment表示
，这些攻击通常通过“反复触发API端点来故意增加云计算费用”进行。 

“随着数据集的规模增长，利用脆弱端点并触发大规模且昂贵的数据传输的DoW攻击的潜在财务影响也在增加，”Firment说 ，“为了减少风险，组织应该实施API网关速率限制以防止端点被滥用，同时配置Web应用防火墙策略，限制来自单个IP地址或IP范围的请求数量。” 

Ernst & Young的网络安全战略总监Brian Levine补充说，内部对云使用缺乏透明度可能是CISO面临的另一个问题
 。 

Levine表示：“应该在多个团队之间共享的知识，以及缺乏高级管理人员确保这些知识得到有效和及时共享，是企业常见的痛点。随着云服务供应商推出更多的安全产品和套餐，这可能会让人感到困惑 。我们真正需要的是什么 ，什么又只是附加销售？这是一项很难做的分析 。” 

Levine举了一个例子 ，某些云平台会向企业额外收费来记录和保存日志——这对于进行事件后的分析和取证至关重要 ，特别是在攻击者故意删除或篡改他们可以访问的日志时 。 

你的IDP策略可能存在不足 

身份提供商（IDP）服务中断相对罕见，持续时间也不长 。而且，切换到备用服务可能会对终端用户造成更大的干扰——因为这可能需要行为上的改变——相比之下，等待几分钟看主要系统是否恢复可能更为简单。 

但由于无法确定何时会恢复服务，企业仍然需要一个IDP备份策略，德国咨询公司KuppingerCole Analysts的首席分析师Martin Kuppinger说。不幸的是，由于上述原因 ，许多公司放弃了这种策略。 

Kuppinger建议：“当所有认证都依赖于IDaaS/SaaS服务时，你能承受多长时间的服务中断  ？你需要有一些措施，以便在主要IDP不可用时能够认证这些服务。”他建议拥有一个在本地运行或独立于主要IDP使用的云环境之外的第二个IDP 。 

你未充分应对的SaaS安全问题 

SaaS安全漏洞是狡猾且隐秘的  ，它们悄悄地增加了巨大的风险 ，而许多安全运营中心（SOC）员工却没有注意到 。 

Gartner分析师Charlie Winckless表示：“SaaS供应商的风险差异巨大。SaaS应用程序在对组织构成的风险程度上存在根本性的差异 。最大的一些供应商非常出色
。接下来的几个层级的供应商也可以使用 ，但还有大量的SaaS应用程序很难评估。” 

“这一问题因许多CISO过度关注三大超大规模云服务商而忽视了SaaS而变得更加复杂，”他补充道，“代码库通常托管在SaaS上，可能是开放的 ，或者远比你预期的要不安全。” 

悬空的DNS指针可能带来大问题 

Gartner的Winckless表示，DNS是另一个看似无害但在云环境中可能变得非常棘手的问题。 

“在云环境的动态性质中，DNS暴露的风险很高
。例如 ，你的团队在Azure上设置了一个带有azurewebsites.net DNS的网站，并为自己创建了一个CNAME并指向该网站，”他解释道。“如果你删除了该网站（这是常见的操作） ，但没有删除CNAME
，那么攻击者可以利用你的悬空DNS进行伪装  ，这并不是云独有的问题，但云的动态性使得意外留下悬空DNS指针的可能性大大增加 。” 

当某人在云中配置资源时，它会被赋予一个名称 ，“但没有人会记住那个名称，”Winckless说 ，所以它被扔进了DNS中 。“攻击者可以注册那个底层域名
，并在上面放置他们想要的任何内容，看起来非常像一个合法的企业文件。” 

API访问是潜在的安全事故 

API可能是云结构的精髓 ，但它们也为攻击者提供了许多切入点。 

“应用程序中的本地API密钥是一个令人惊讶的常见但被忽视的云安全漏洞 。举个例子，一名员工被解雇了
，你禁用了该用户的单点登录（SSO）
，”身份治理公司ConductorOne的CTO Paul Querna说。“在许多情况下，本地API密钥在SSO被禁用后仍然可以继续工作，这是因为本地API密钥独立于用户的SSO状态运行 ，当SSO关闭时不会自动撤销 ，这意味着该用户可能仍然能够访问某些系统或数据，这构成了严重的安全风险。” 

ISG的Saylors同意这一观点，强调了访问API的自定义代码的安全问题 。他举了一个在所有主要云平台上都有业务存在的企业的例子。 

“假设有人正在使用这些提供商，他们可能有一个通用的身份平台，比如SailPoint。如果SailPoint将数据流传输到AWS
、Microsoft及其他平台 ，它可能允许在这些超大规模云环境中的所有客户信息的访问
，它可能允许在云中有限的数据访问。现在假设攻击者正在针对那个AWS API 。如果该客户在这些云平台上使用相同的凭据，”这可能会提供广泛的访问权限，他说 。 

IMDSv2：你不知道的可能会毁掉你的云 

2024年3月，Amazon悄悄地更新了AWS平台的一个关键部分
：实例元数据服务（IMDS） 。Pluralsight的Firment表示，一些安全运营中心（SOC）“可能甚至没有意识到他们在使用[IMDS]”
，因此他们的操作面临与元数据暴露相关的严重“安全威胁”。 

“AWS使用IMDS存储其他应用程序和服务使用的安全凭据，并通过REST API提供这些信息  。攻击者可以利用服务器端请求伪造（SSRF）从IMDS窃取凭据 ，从而以实例角色的身份进行横向移动或数据盗窃，”Firment解释道
，“AWS推出了IMDS的新版本，即版本2
，以提高对未授权元数据的安全性，尽管许多组织仍将原始的IMDSv1作为默认设置 。为了帮助CISO们堵住这一潜在的安全漏洞 ，AWS最近宣布 ，可以将所有新启动的Amazon EC2实例默认设置为更安全的IMDSv2
。” 

Firment指出 ，IMDSv2“于2019年11月由AWS推出，但直到2024年3月才引入将默认设置为新版本的功能。因此 ，许多组织仍继续使用原本存在漏洞的IMDSv1。值得注意的是 ，默认设置只适用于新启动的实例，因此使用IMDSv1的现有实例仍需要重新配置。” 

“对于大多数组织来说，这构成了相当大的威胁。可能没有足够的意识到需要将所有人切换到新版本
，”他说，并补充道，风险在于攻击者“可能会窃取凭据 ，并在你的组织内横向移动 。”