Palo Alto Networks（派拓网络）云威胁报告新鲜发布，速看关键内容！

派小拓派拓网络

网络安全控制是云安全的一个重要组成部分，但随着企业不断扩大云使用范围，则需要一个额外的身份和访问管理 (IAM) 治理层。2020年5月至8月期间Palo Alto Networks（派拓网络）全球威胁情报团队（以下简称Unit 42）研究人员深入研究云中的身份，范围涉及全球，涵盖了数兆兆字节的数据、数千个云帐户和超过10万个GitHub代码存储库。

调查结果表明，身份错误配置在云帐户中普遍存在，这对企业来说是一个重大的安全风险，可能导致代价高昂的数据泄露。考虑到这一发现的严重性，Unit 42的研究人员很快就开始研究IAM错误配置在其他云环境中的普遍性。

▲云用户帐户访问图

01 身份和访问管理

2020年春天，一位客户联系Unit42云威胁情报团队，希望该团队测试客户AWS基础架构的防御能力，不到一周，Unit 42的研究人员就发现了两个严重的IAM错误配置，并且都波及到客户所有AWS帐户，其中任何一个都可能对任何企业造成严重影响。幸运的是，取证工作表明，尚没有恶意行为者成功利用这些IAM错误配置，Palo Alto Networks（派拓网络）借此次测试帮助客户解决这些潜在问题。

02 基于证据的发现

作为每一份云威胁报告的一部分，Unit 42研究人员提供了他们一直在跟踪的趋势的最新情况，寻找全球云基础架构总体安全态势的明确指示。通过调查来自云帐户的警报和事件，可以证实IAM错误配置的真实效果。Unit42研究人员指出企业在部署前可能需要花费更多时间来保护和验证其配置的特定领域。

03 云基础架构威胁

云环境正成为网络犯罪集团的目标，这些犯罪团伙主要从事恶意的加密采矿操作，也被称为加密劫持。这些操作仍然是针对云基础架构的最引人注目的***之一。Unit 42研究表明，加密劫持影响了全球至少 23% 的维护云基础架构的企业。

04 结论和建议

01 IAM最佳实践

治理是云安全的一个关键方面，DevOps和安全团队必须对其重视起来。以下是Unit 42的研究人员建议开始全面审视企业的所有云帐户，同时牢记以下关键步骤：

01最大程度减少管理员凭据的使用

应该最大程度减少具有管理员访问权限的用户数量，只有在绝对必要时才应该使用管理员凭据。

02通过使用组或角色简化用户管理

系统管理员应该管理每个组或角色的权限策略，而不是管理每个用户的权限策略。

03启用 MFA

MFA提供了另一层安全性，以防主密码遭到泄露。

04配置强大的密码策略

美国国家标准与技术研究所 (NIST)建议最小长度为8个字符，并且不用考虑字符组成规则，因为这样会给用户带来麻烦。当启用了MFA时，仅应当在存在损害证据时更改密码。

05定期轮换访问令牌

应为访问令牌分配较短的有效期，以将泄露凭据的风险降至最低。这与标准用户账户不同。

06监视 IAM API

所有主要CSP都有用于监视IAM使用情况的服务。这些服务有助于识别异常活动，如暴力破解***和来自未识别设备或位置的日志记录。

07授予最低特权的访问权限

只授予作业所需的最低权限。这将确保如果用户或资源受到危害，危害范围将仅限于实体有权限执行的少量操作。这是一个持续的任务，最好采用自动化方式。

08自动修复过度的权限

授权审核不应该是云中的手动流程。环境变化太快，用户和机器角色的结合使得手动审核在任何规模上都完全无效。

09利用云原生安全平台

管理大量有权访问不断扩张的敏感资源的特权用户可能是一个挑战。在此基础上，云资源本身就有需要管理的权限集。像Prisma Cloud这样的云原生安全平台 (CNSP) 有助于利用云资源的身份来实施安全策略并跨多个云环境确保安全的用户行为。

10强化 IAM 角色

永远不向任何IAM角色授予匿名访问权限。通过添加随机字符串使角色名称难以猜测。如果角色是跨AWS帐户共享的，则强制使用无法猜测的外部ID作为另一层保护。

02 加密劫持防御最佳实践

保护云基础架构免受加密劫持首先要利用前面提到的身份最佳实践。以下是企业可以用来防范云基础架构中的加密劫持的最佳实践列表：

验证所有容器服务连接

在没有正确的身份验证机制的情况下，决不要将Docker守护进程暴露于互联网。请注意，默认情况下，Docker Engine不会暴露于互联网。

默认阻截所有防火墙端口

使用防火墙规则允许列出一小部分源的传入流量。

维护一组受信任的映像和注册表

在NIST SP 800-190（应用容器安全指南）中，有关重大风险应对措施的小节（第 4 节）指出：“各企业应该维护一组受信任的映像和注册表，并确保只有来自该组的映像才能在其环境中运行，从而降低部署不受信任或恶意组件的风险。”

利用威胁情报源

检查网络流量是否存在指向采矿池的任何连接。

在云原生安全平台上投入

像Prisma Cloud这样的云安全解决方案可以识别恶意容器并防止跨所有主要CSP的加密劫持活动。

Prisma Cloud每月分析超过100亿个事件。该分析向我们展示了配置不佳、对用户行为的放纵及策略欠缺都会给恶意执行方带来可乘之机，从而产生无法识别的威胁。通过主动检测安全性与合规性的错误配置并触发自动化工作流响应，Prisma Cloud有助于确保企业持续且安全地满足动态云架构的需求。

关于Prisma™ Cloud

一个全面的云原生安全平台，在整个开发生命周期以及跨混合云和多云部署期间，为应用、数据和整个云原生技术堆栈提供了业界最广泛的安全性和合规性覆盖。Prisma Cloud集成方法支持安全运营和DevOps团队保持敏捷性，开展有效协作，并能安全加速云原生应用开发和部署。

关于Unit 42

Unit 42是Palo Alto Networks（派拓网络）全球威胁情报团队，在网络威胁防御领域是公认的权威，经常收到全球企业及政府机构的帮助请求。我们的分析师精通如何搜寻和收集未知威胁以及如何通过代码分析对恶意软件全面反向工程。

凭借这些专业知识，我们能够执行高质量的深入研究，详细了解威胁主体为侵袭企业而采用的工具、技术和程序。我们的目标是尽可能提供情境，说明***的具体细节、***者以及***目的，让全球各地的防御者能够了解威胁并更好地帮助企业防御威胁。

Palo Alto Networks（派拓网络）云威胁报告新鲜发布，速看关键内容！