1、身 份 和 访 问 管 理：第一道防线VOL.6云威胁报告云威胁报告，第 6 卷 2目录前言 3执行摘要 4谁在攻击云？5什么是云威胁行动者？5云威胁行动者的能力 5 TeamTNT 将云平台和云原生应用作为攻击目标 6 云威胁行动者使用 Log4j 攻击 CSP 凭据 7IAM 在云威胁行动者操作中的作用 8身份：通往云基础架构的途径 8基于证据的发现 9云威胁行动者矩阵 12 TeamTNT 12 WatchDog 13 Kinsing 14 Rocke 14 8220 15潜在的云威胁行动者未来发展 16结论和建议 17准备好识别云中的威胁了吗？18方法 18关于 19Prisma Cl

2、oud 19Unit 42 19作者 19贡献者 19云威胁报告，第 6 卷 3前言如果没有有效的身份和访问管理(IAM)策略，企业就永远无法指望在云中获得安全，这是由企业内部分散、快速演变和动态波动的本质决定的。随着过去几年疫情引发的向云平台的过渡，恶意攻击者比以往任何时候都更容易跟踪其进入云端的目标。根据2022 年云原生安全现状报告，“疫情期间，云工作负载总体显著增加，在云中托管的工作负载比例从 2020 年的平均 46%跃升至平均 59%。此外，69%的企业将一半以上的工作负载托管在云中，而 2020 年仅为 31%。”（参见图 1）。而且，身份和访问管理是云中最关键、最复杂且最容易出

3、错的服务之一。虽然云服务提供商(CSP)已经创建了许多防护措施来检查和验证 IAM 配置，但是用户仍可能无意中将不安全的配置引入 IAM 策略。敏锐地意识到这一点后，攻击者便利用配置错误的云资源并迅速锁定目标。如果您密切关注 Unit 42 云威胁研究，可能还记得不久前我们发布了一份关于 IAM 在构建云安全策略时的重要性的报告。IAM 再次占据了云安全领域的中心舞台但由于云采用率飙升，而且并无恢复到疫情前使用情况的计划，因此这一次的应用程度再攀新高。您会发现，这份报告是围绕 IAM 的“对象、内容和方式”以及云中的威胁行动者来组织结构的。这三个问题对于调查和理解如何在云环境中使用和定位身份至

4、关重要。通过提出“谁在攻击云基础架构？他们是如何开展攻击的？他们的目标是什么？”这几个问题，安全专业人士可以了解如何有效构建、监控和保护他们的云基础架构。当我们的云威胁研究人员自己探索这些问题时，他们不仅发现了过度宽松的 IAM 政策带来的严重问题（例如，近 99%的 IAM 政策过于宽松），还能够编译出业界首个云威胁行动者指数，该指数旨在作为一组将云基础架构视作攻击目标的对象的动态档案。请继续阅读，深入了解云威胁行动者攻击您的云基础架构所使用的步骤，以及您如何提供可行的指导来避免他们渗透到您的企业中。John MorelloPrisma Cloud 副总裁Palo Alto Networks

5、46%59%31%69%图 1：自 2020 年以来云工作负载量的百分比变化，其中蓝色代表 云工作负载量，绿色代表将一半以上的工作负载托管在云中的企业云威胁报告，第 6 卷 4定义：过度宽松的云身份如果授予的权限在过去60天内未使用，我们则认为云身份过于宽松。身份可以是人类用户或非人类用户，例如服务帐户。执行摘要错误配置仍然是导致大多数已知云安全事件的主要问题。但是，如果您仔细观察，很多时候，它是身份和访问管理(IAM)策略制定失误的结果。IAM 是管理云环境中每个资源的身份验证和授权的最关键和最复杂的组成部分。简而言之，IAM 是大多数云环境中的第一道防线。在这份报告中，Unit 42 研究

6、人员分析了 18,000 个云帐户和 200 多个不同企业的 680,000 多个身份，以了解他们的配置和使用模式。研究表明，几乎所有的云身份都过于宽松，并且许多都授予了从未使用过的权限。此外，53%的云帐户允许使用强度较弱的密码，44%允许重复使用密码。不幸的是，恶意攻击者似乎也知道这一点。Unit 42 研究人员创建了业界首个云威胁行动者指数，该指数绘制了攻击云基础架构的行动者组织执行的操作。重要的是，研究人员还发现每个云威胁行动者组织都以云 IAM 凭据为目标。总体而言，调查结果表明，当涉及到云中的 IAM 时，企业难以实施良好的治理，从而为恶意攻击者打开了更广泛地访问云环境的大门。云身