為了研究身份和訪問管理政策對企業(yè)云安全態(tài)勢的影響，派拓網(wǎng)絡威脅情報團隊Unit 42通過分析200家企業(yè)的18,000個云賬戶中的68萬多個身份信息，以了解它們的配置和使用方式。研究結(jié)果令人震驚——幾乎所有企業(yè)都缺乏恰當?shù)纳矸莺驮L問管理政策。

　　配置錯誤的身份和訪問管理政策向云威脅攻擊者敞開了大門。這是Unit 42定義的一種新型威脅：通過定向和持續(xù)訪問云平臺資源、服務或嵌入式元數(shù)據(jù)對企業(yè)構(gòu)成威脅的個人或團體。之所以單獨定義云威脅攻擊者，是因為Unit 42觀察到他們已經(jīng)開始采用一套專門針對云的TTP（戰(zhàn)術、技術和程序），例如利用同時執(zhí)行橫向移動和特權升級操作的能力。

　　疫情期間，云工作負載總體出現(xiàn)了顯著擴展。企業(yè)增加了對云的使用，在云中托管一半以上工作負載的企業(yè)數(shù)量急劇增加（如圖1）。隨著越來越多的企業(yè)將工作負載遷移至云并在云中開發(fā)原生應用，在構(gòu)建云安全策略時，身份安全需要引起格外重視。

　　圖 1. 2020 年以來云工作負載的比例變化

　　（藍色：云工作負載量；綠色：在云中托管超過一半工作負載的企業(yè)）

　　出人意料的是，攻擊者在利用配置錯誤或過于寬松的身份訪問控制時，并不需要思考如何作出技術上的復雜讓步；相反，他們可以輕松獲得資源的訪問權，仿佛他們本來就有權獲得這些資源一樣。攻擊者對缺乏恰當身份和訪問管理控制措施的企業(yè)虎視眈眈，再加上云平臺的使用率增加，云威脅攻擊這種更復雜卻更容易發(fā)起的新攻擊出現(xiàn)了。

　　圖2. 每種政策類型授予的平均權限數(shù)量

　　CSP管理的政策（AWS_MANAGED_POLICY和AZURE_BUILT_IN_ROLE）授予的權限是客戶管理政策的2.5倍

　　正是由于企業(yè)采取的政策過于寬松、授予的權限過多，因此攻擊者在進入企業(yè)云環(huán)境時往往暢通無阻。多數(shù)企業(yè)對利用薄弱身份和訪問管理政策發(fā)起的攻擊毫無準備。攻擊者也清楚這一點；他們瞄準云身份和訪問管理證書，并最終在標準操作程序中收集這些證書，例如他們正在利用云平臺特有的新TTP。企業(yè)需要先意識到這一點，才能采取有效的防御策略。

　　為了幫助企業(yè)防范這種威脅，Unit 42創(chuàng)建了業(yè)內(nèi)首個云威脅攻擊者指數(shù)，并展現(xiàn)了瞄準云基礎架構(gòu)的攻擊團體所執(zhí)行的操作（如圖3），詳細記錄了每個攻擊者的TTP，使包括安全團隊在內(nèi)的整個企業(yè)能夠評估自身的防御策略并建立合適的監(jiān)控、檢測、警報和預防機制。

　　該指數(shù)也體現(xiàn)了以云基礎架構(gòu)為目標的的主要攻擊者，和目前已知的利用云進行攻擊的國家。其中部分主要攻擊者包括（按常見程度排序）：

　　利用和瞄準云基礎架構(gòu)的主要持續(xù)性高級威脅有：APT 28（Fancy Bear）、APT 29（Cozy Bear）和APT 41（Gadolinium）。

　　圖3. WatchDog云威脅攻擊者TTP

　　（紅色背景：針對云平臺的TTP；綠色背景：針對容器平臺的TTP；紅字TTP：能夠大范圍破壞云操作的行為）

　　對企業(yè)來講，恰當?shù)纳矸莺驮L問管理配置可以阻止非法訪問、提供對云活動的可見性并減少安全事件帶來的影響。企業(yè)可以通過采用云原生應用保護平臺（CNAPP）集成套件、強化身份和訪問管理權限和提高安全自動化程度的方式防御云威脅。

　　作為全球網(wǎng)絡安全領導企業(yè)，Palo Alto Networks（派拓網(wǎng)絡）正借助其先進技術重塑著以云為中心的未來社會，改變著人類和組織運作的方式。我們的使命是成為首選網(wǎng)絡安全伙伴，保護人們的數(shù)字生活方式。借助我們在人工智能、分析、自動化與編排方面的持續(xù)性創(chuàng)新和突破，助力廣大客戶應對全球最為嚴重的安全挑戰(zhàn)。通過交付集成化平臺和推動合作伙伴生態(tài)系統(tǒng)的不斷成長，我們始終站在安全前沿，在云、網(wǎng)絡以及移動設備方面為數(shù)以萬計的組織保駕護航。我們的愿景是構(gòu)建一個日益安全的世界。

　　Palo Alto Networks、Prisma以及 Palo Alto Networks 標識是 Palo Alto Networks, Inc.在美國和全球范圍內(nèi)的注冊商標。本文使用或提及的所有其他商標、商品名稱或服務標記均屬于各自所有者擁有。