共计 2496 个字符,预计需要花费 7 分钟才能阅读完成。
随着勒索软件攻击、分布式拒绝服务(DDoS)攻击和账户泄露等云事件的频发,企业面临着运营中断、成本增加以及声誉受损的风险。如何在云环境遭受攻击时迅速减轻影响?Unit 42 的 2025 年全球事件响应报告为网络安全专业人士提供了宝贵的见解,帮助他们了解云调查与传统事件的不同之处,并掌握时间紧迫时的关键行动步骤。,
云调查的范围与心态
根据Unit 42 2025 全球事件响应报告,2024 年进行的事件调查中有 29% 涉及云或 SaaS 环境。五分之一的事件涉及威胁行为者对云环境和资产造成不利影响。随着越来越多的商业模式依赖于云原生架构,保护云表面变得至关重要。
传统事件调查主要关注端点和网络活动,而云调查则需要思维方式的转变。当云环境被攻破时,调查主要集中在身份、配置错误和服务交互上。Unit 42 在每次调查开始时都会提出几个关键问题:总体影响是什么?组织拥有或缺乏哪些日志?身份 / 服务滥用、自动化操作或 API 利用是否是促成因素?,
第一步:分类与范围确定
云调查从分类和范围确定开始。调查人员需要完成两项任务:建立时间线 和确定涉及的云资产。时间线包括异常活动何时开始、如何被检测到以及是否仍在进行。涉及的云资产可能包括虚拟机、身份和访问管理(IAM)、云存储或容器等。
由于配置错误或保留问题,日志缺口可能成为主要挑战。事件响应者通常在参与期间发现这些问题,这可能为时已晚,并掩盖了威胁行为者的活动。提示:在任何事件发生之前,确保拥有正确调查泄露所需的数据:在云服务提供商(CSP)中启用日志记录,并至少保留数据 90 天;启用额外的日志,专门用于跟踪针对最敏感资源的活动;确保这些日志被正确存储和加密;集中日志并应用机器学习和人工智能来关联警报。,
第二步:证据收集
一旦事件被分类,调查人员开始收集证据。这包括收集审计日志、资源特定日志和快照,这些可以提供攻击者访问资源的详细信息。此外,调查人员需要与团队合作,在易失性工件消失之前捕获它们。云环境是快速变化和短暂的,因此任何有助于调查的内容都需要特别保存。对云虚拟机(VM)或容器进行镜像也是关键步骤,这些镜像涉及对虚拟机及其附加卷的快照。
在一次调查中,某组织成功缓解了一次攻击,但不久后再次被攻破。调查人员发现,威胁行为者自动化利用了该组织基于云的产品中使用的服务中的漏洞。通过结合使用反取证技术来隐藏活动,威胁行为者能够重新访问该组织及其客户,即使内部团队似乎已成功将其移除。,
第三步:身份与角色取证
大多数云泄露始于身份泄露和过度授权。不良行为者获得一个管理员级别账户的访问权限可能会摧毁业务数据或基础设施。他们甚至可能为自己提供更多 SSH 证书或密钥,以实现攻击的持久性。攻击者通常使用合法凭证,因此通过用户和实体行为分析(UEBA)或 Cortex XSIAM® 进行行为基准和异常检测至关重要。
在此步骤中,Unit 42 团队将调查 IAM 配置、假设角色模式、联合登录日志和权限提升尝试。调查人员寻找的一个危险信号是身份跳跃过多或意外。跟踪权限如何在身份、服务或账户之间传递具有挑战性但很重要。,
第四步:发现横向移动与持久性
云环境通常依赖于同一组凭证进行互连,具体取决于架构。一旦进入,云原生的横向移动可能涉及攻击者在区域、服务或身份之间移动。资源扩展、第三方生态系统以及其他因素可能使这些进展难以检测。“靠地生存”(LotL)和“改地生存”(MtL)技术也有助于攻击者逃避检测,因为他们滥用现有资源而不是导入新的恶意资源(如恶意软件)。
要检测这些攻击,团队必须检测异常,而不仅仅是签名。这需要建立行为基准。一旦达到基准,就可以标记不寻常的 API 调用、新的角色假设或超出失败登录的非典型访问模式。,
第五步:遏制、根除与恢复
云事件调查的这一步可以分为三个部分:受损资产的遏制 、 攻击者持久性的根除 和业务运营的恢复。遏制需要快速且精确,以避免提醒攻击者或影响生产 / 运营。调查人员将撤销凭证、限制 IAM 权限并隔离虚拟机,最好同时进行。根除包括识别持久性机制、验证配置更改以及撤销令牌或轮换凭证。恢复涉及验证云服务的完整性,以及修补和监控被利用的攻击向量。
为了更快地遏制事件和恢复,Unit 42 提出了几项建议:启用并集中日志;定义各种云事件响应剧本;为取证准备云沙箱。,
从过去的经验中学习以保护未来的环境
确保在设置云环境时同时配置用于收集镜像和日志的工具,以便始终拥有调查泄露原因所需的证据。了解所涉及的角色和身份,寻找攻击者持久性的迹象,然后遏制并根除入侵。一旦攻击停止,安全专家应分析数据以识别攻击向量并关闭它。
将以往事件中学到的经验制度化。随着云采用的增加,云原生攻击也将增加。Unit 42 可以帮助组织采取主动立场应对云攻击。我们的方法识别根本原因并利用学到的经验,使客户提高其弹性。,
- 获得可见性:通过 Unit 42 云安全评估 全面了解您的组织现状,该评估包括对与您的业务和技术相关的云威胁趋势和对手的分析。
- 采用零信任 :逐步 迈向零信任 对于缩小云的攻击面至关重要。我们的 Unit 42 零信任咨询 帮助您了解当前状态,并帮助您采用消除隐式信任的现代网络安全方法。
- 获得精英支持:通过 Unit 42 保留,我们的专家将成为您团队的延伸。我们将在事件发生时随时待命,并帮助您采取主动立场应对未来的威胁。
准备好加强您的云防御了吗?阅读 2025 年全球事件响应报告,了解去年 500 多个 Unit 42 事件响应案例的关键见解,帮助您更好地应对不断变化的威胁格局。,
关键要点:
- 云事件正在增加,需要转变调查心态:云和 SaaS 环境在事件调查中越来越成为目标(2024 年为 29%),需要关注身份、配置错误和服务交互,而不是传统的端点和网络活动。
- 主动日志记录和证据收集至关重要:为了有效应对云事件,组织必须启用并集中日志,至少保留数据 90 天,并迅速收集易失性工件和虚拟机镜像。由于配置错误或保留问题导致的日志缺口可能严重阻碍调查。
- 身份和横向移动是攻击者的关键关注领域:大多数云泄露始于身份泄露。攻击者通常使用合法凭证,并采用“靠地生存”和“改地生存”技术进行横向移动和保持持久性。检测这些攻击需要行为基准和异常检测。
