Bảo mật đám mây: Tăng cường Phòng ngừa và Đánh giá

28/03/2025
2 mins read

Thông tin chính

  1. Tăng tần suất tấn công: Các mối đe dọa bảo mật dựa trên đám mây đã tăng gần năm lần vào cuối năm 2024 so với đầu năm.
  2. Tấn công mục tiêu IAM: Xu hướng đáng lo ngại nhất là tấn công nhắm vào mã thông báo IAM, được mô tả như “giữ chùm chìa khóa cho vương quốc đám mây”. Mã thông báo và thông tin xác thực IAM đang bị khai thác để cho phép kẻ tấn công di chuyển bên trong, nâng cao quyền hạn và thực hiện các hoạt động độc hại.
  3. Phân tích toàn diện của Unit 42: Phân tích của Unit 42 cho thấy tổng số cảnh báo bảo mật đám mây đã tăng 388% trong năm 2024, với các cảnh báo có độ nghiêm trọng cao tăng 235%. Các cảnh báo có độ nghiêm trọng cao bao gồm các sự kiện truy cập dòng lệnh từ xa sử dụng mã thông báo và thông tin xác thực IAM.
  4. Các mô hình tấn công cụ thể: Tăng 116% trong cảnh báo “du lịch không thể” dựa trên IAM. Tăng 60% trong yêu cầu API IAM từ các khu vực không được ủy quyền. Tăng 45% về xuất khẩu snapshot đám mây. Tăng 305% trong các tải xuống đáng ngờ của nhiều đối tượng lưu trữ đám mây.
  5. Tác động đến các tổ chức: Các cuộc tấn công đã dẫn đến những lỗ hổng đáng kể, với 71% tổ chức ghi nhận sự tăng lên trong sự phơi bày lỗ hổng và 45% báo cáo sự gia tăng các cuộc tấn công mối đe dọa tiên tiến (APT).
  6. Khuyến nghị tăng cường bảo mật đám mây: Triển khai các công cụ Phát hiện và Phản ứng đám mây (CDR) bên cạnh giải pháp Quản lý Tư thế Bảo mật Đám mây (CSPM) truyền thống. Đảm bảo các tác nhân được kích hoạt trong thời gian thực trên các điểm cuối đám mây quan trọng. Triển khai giám sát nhật ký kiểm toán đám mây từ các nhà cung cấp CSP. Hạn chế các khu vực CSP nơi hoạt động và các chức năng không máy chủ có thể hoạt động.

Ví dụ thực tế

  1. Chiến dịch ransomware: Một chiến dịch ransomware đã thu thập hơn 90.000 thông tin xác thực, bao gồm gần 1.200 thông tin xác thực IAM đám mây, dẫn đến các cuộc tấn công tống tiền thành công.
  2. Thỏa hiệp chức năng không máy chủ: Sự sử dụng từ xa của mã thông báo IAM trong chức năng không máy chủ chỉ ra sự thỏa hiệp và khả năng di chuyển bên trong các môi trường đám mây.
  3. Công cụ tự động hóa Atlantis AIO: Công cụ Atlantis AIO tự động hóa các cuộc tấn công nhồi nhét thông tin xác thực, kiểm tra hàng triệu thông tin xác thực bị xâm phạm trên các nền tảng khác nhau một cách nhanh chóng.
Tags