今天分享的是:2025年云威胁狩猎与防御态势研究报告
报告共计:49页
2025年云安全威胁报告:五大风险成企业心腹之患,防护需多管齐下
随着企业加速拥抱云基础设施,云环境已成为业务运营的核心载体。但据Insikt Group最新发布的《2025年云威胁狩猎与防御态势研究报告》显示,攻击者正将云环境视为主要目标,利用配置漏洞、凭证滥用等手段发起攻击,给企业带来数据泄露、经济损失等多重风险。报告梳理出当前云环境面临的五大核心威胁,并给出针对性防护建议,为企业应对云安全挑战提供关键参考。
从云 adoption 趋势来看,过去十年企业从传统本地IT架构向云架构迁移的步伐持续加快。普华永道2023年云业务调查显示,39%的受访企业已将全部业务迁移至云环境;亚马逊与电信咨询服务公司联合研究更预测,2024至2030年全球云计算对GDP的贡献将从1万亿美元💵增至12万亿美元💵。云环境之所以受青睐,在于其能帮助企业转移本地IT成本、提升资产可用性、减少开发开销,但随之而来的是独特的安全挑战,需要企业重新构建 cybersecurity 策略。
当前云环境面临的五大威胁中,端点配置错误是攻击者最常用的突破口。由于企业云环境需支持大量用户远程访问,边缘端点数量激增,一旦配置不当,就可能成为安全漏洞。攻击者常利用Shodan、Censys等开源扫描工具,批量探测暴露的云端点,进而获取未授权访问权限。2024年10月曝光的EMERALDWHALE攻击事件中,攻击者通过扫描暴露的Git配置文件,窃取了超过1.5万个云服务凭证,涉及AWS等主流云平台,后续还利用这些凭证开展钓鱼、垃圾邮件等恶意活动。这类攻击技术门槛低,却能让攻击者轻松获取初始访问权,成为企业云安全的“重灾区”。
凭证滥用与账户劫持同样威胁巨大。攻击者获取云凭证的途径多样,既可以从初始访问中介(IAB)购买,也能通过钓鱼、暴力破解等方式窃取,甚至利用信息窃取类恶意软件从员工设备中获取。一旦拿到有效凭证,攻击者不仅能实现账户劫持,还会在云环境内开展侦察、横向移动等操作,扩大攻击范围。2024年6月,多个企业的Snowflake实例遭入侵,攻击者正是利用2025年以来通过Vidar、RedLine等信息窃取工具获取的旧凭证——这些凭证因未启用多因素认证(MFA)且长期未更换,即便时隔多年仍能正常使用,最终导致165家企业数据被窃取,部分数据还被拿到地下论坛售卖。
在云威胁中,云滥用呈现出多样化趋势。攻击者既会注册合法云资源用于恶意活动,也会劫持已 compromised 的企业云环境。前者常被用于搭建钓鱼网站、托管恶意内容或作为命令与控制(C2)『服务器』,借助合法云流量伪装身份;后者则能让攻击者将算力成本转移给企业,甚至开展“LLM劫持”(LLMjacking)——2024年5月,攻击者利用Laravel框架漏洞窃取云凭证后,非法访问Anthropic、OpenAI等AI服务,通过反向代理向他人提供未授权访问,每日给企业造成超4.6万美元💵的费用损失。此外,20%的Docker Hub公共仓库被发现用于传播恶意软件,进一步凸显云资源滥用的普遍性。
云勒索软件虽发生频率不及其他威胁,但其破坏力极强。攻击者不再依赖传统恶意软件部署方式,而是利用云原生工具实现加密操作。例如2025年1月,“Codefinger”黑客组织通过 compromised 的AWS凭证,调用S3服务的客户提供密钥加密(SSE-C)功能,将企业数据加密后设置7天自动删除,迫使企业支付赎金。更值得警惕的是,攻击者还会针对备份系统下手,2024年9月,尼日利亚多家企业因Veeam备份软件漏洞遭入侵,备份数据被加密,彻底断绝企业的数据恢复路径,加剧了勒索威胁的严重性。
相较于其他威胁,漏洞利用对攻击者技术要求更高,但风险不容忽视。由于主流云厂商会及时修复底层架构漏洞,攻击者更多聚焦于企业部署的第三方软件或云边缘设备漏洞,甚至通过漏洞链发起攻击。2025年1月,CISA与FBI通报攻击者利用Ivanti云服务设备的4个漏洞组成攻击链,先绕过管理员权限,再执行远程代码、植入webshell,最终实现横向移动。而2024年12月,Citrix NetScaler设备的零日漏洞(CVE-2024-8534、CVE-2024-8535)遭利用,攻击者通过分布式IP发起暴力破解,多个关键基础设施企业受影响,凸显漏洞利用对高价值目标的威胁。
面对复杂的云安全态势,企业需从多维度构建防护体系。在日志管理方面,应启用全维度日志记录,覆盖网络通信、用户访问、服务使用等数据,通过分析异常日志及时发现扫描、未授权访问等行为;配置管理上,需严格遵循最小权限原则,规范用户账户权限与第三方软件部署,同时利用云厂商提供的原生安全工具,如Web应用防火墙(WAF)、身份访问管理(IAM)服务等,加固云环境边界。
身份安全是防护核心,企业需为所有账户启用MFA或无密码认证(如Passkey),定期轮换凭证与访问密钥,同时通过行为基线分析识别异常登录,比如陌生IP、非工作时段登录等;针对云勒索软件,要限制加密相关API的调用权限,监控批量文件修改、自定义加密头使用等异常操作,并确保备份数据的安全性,避免备份系统与生产环境使用相同凭证。
此外,企业还需加强内部协同,云架构师与安全团队共同维护云环境网络地图和第三方软件清单,及时响应漏洞通报;对于混合云环境,不能忽视本地设备安全,尤其是管理员设备,需强化终端防护。随着云技术持续发展,攻击者的手段也会不断迭代,企业唯有将云安全融入日常运营,结合威胁情报主动防御,才能有效应对云威胁挑战,保障业务稳定运行。
以下为报告节选内容
报告共计: 49页
中小未来圈,你需要的资料,我这里都有!
