据调查发现，去年有70%的组织经历了公共云安全事件。此外，有50%的人遇到了勒索软件和其他恶意软件;29%的人报告了数据泄露事件;25%的帐户遭到入侵;17%的人处理了加密劫持事件。调查还显示，运行多云环境的组织遭受云安全事件的可能性比运行单一云的组织高50%。

　　这些发现令人大开眼界，是的。但是他们一点也不奇怪。从第一天开始，数字贸易就围绕着企业大胆向前发展，以充分利用互联网奇妙的去中心化，匿名的特征，从而开始了军事学术实验。

　　企业开始沉迷于从本质上不安全的结构中挤出生产力，而攻击者则成为迅速扑灭这种痴迷所带来的新攻击媒介的专家。现在，云迁移又一次出现了同样的模式。

　　攻击者如何看待当前的云迁移轨迹?

　　在攻击者眼中，云迁移使目标更近了一步，为他们提供了寻找和瞄准互联网上更大更分散的攻击面的潜力。组织通常非常了解物理安全措施。但是，在向云的过渡中，现在可以从任何地方访问管理平面本身，组织需要确保安全地实施其配置，以防止攻击者发现。

　　攻击者目前关注的是什么?

　　攻击者正在追赶唾手可得的“果实”。新的云PaaS服务(例如共享存储，容器，数据库服务和无服务器功能等)通常无法在其上运行安全代理，只能由组织来安全地配置这些服务。比如：你不必花太多时间就能找到由错误配置导致的亚马逊S3相关数据泄露的报道，其中S3安全设置被设置为“公共”。AWS甚至发布了一个更新，帮助客户避免与此相冲突，这是导致云数据泄露的最大原因之一。而共享存储漏洞绝不仅限于亚马逊客户。

　　当然也不仅仅满足于此，攻击者正在向更复杂的攻击转移,自动搜索以利用虚拟机中的漏洞。他们可以利用云提供商的元数据服务来访问临时身份和访问管理(IAM)凭据。这使他们能够覆盖客户环境。他们可以从那里获得对中央存储设备的访问权，并最终着手窃取数据。

　　企业错误的配置如何转化为主要风险?

　　根据成千上万的案例，你会错误地认为攻击者只是在攻击组织的敏感数据,其实不然。例如：除了财务数据和个人信息外，Amazon S3 Bucket等云存储帐户的主要用途之一是托管静态网站内容，如HTML文件、JavaScript和层叠样式表(CSS)。针对这些资源的攻击不是针对暴露的数据。相反，他们希望恶意修改网站文件;这样做是为了窃取网站访问者的财务信息。

　　最初，两条攻击链看起来都一样，攻击者使用自动S3扫描程序扫描Internet上是否配置了错误的S3 Bucket。但这就是攻击路径分歧的地方。在典型的S3数据泄露中，攻击者将列出有价值的内容并将其同步到本地磁盘，然后访问在“public”模式下配置错误的所有数据。

　　对于数据修改攻击，一旦获得访问权限，攻击者便会寻找JavaScript内容并将其修改为包含恶意代码。现在，当用户访问受感染的网站时，恶意JavaScript代码就会加载，并将输入到付款表单中的所有信用卡和借记卡详细信息记录下来。然后将这些数据发送到罪犯的服务器。

　　许多组织面临的挑战是，DevOps过程将被用来自动化这个基础设施的构建。因此，安全团队必须使开发人员能够使用工具来保护他们的自动化过程，这样安全性就可以实现数字转换，而不是阻碍数字转换，或者，更糟糕的是，为了保持灵活性，需要对安全措施进行调整。

　　云迁移带来的普遍暴露点

　　最广泛的两个暴露点来自暴露了远程桌面协议(RDP)和安全外壳协议(SSH)的组织。网络犯罪分子正在积极地寻找这些隐患。通过自动搜索的切入点。这些协议需要考虑。

　　组织还需要保护虚拟私有云(VPC)流量。我们都希望有一条简单的，确定的路线，以确保我们不会意外地将私有子网公开。挑战–做到这一点非常容易，因为VPC中的路由表只能与子网关联，并且没有简单的方法来指定路由规则以在进入VPC时通过防火墙将流量定向到子网。

　　企业为降低人员配备水平采取行动的意愿很低

　　几乎一半的调查受访者并不完全了解他们在保护云环境方面的责任。问题出在所有灰色区域，在这些区域中，责任实际上是分担的。平台供应商希望与他们交流，尽管他们将提供安全组和IAM工具等工具，但订户有责任正确实施它们。

　　这与购买防火墙并仅添加任意规则相同。从理论上讲，这听起来不错，但是在实践中，这意味着对于平台提供的许多安全性，最终责任仍然在于客户。但是，仅启用某些功能并不能确保其安全性。为了正确保护云环境，您需要一个良好的设计和清晰的用例，以便可以有效地使用平台工具，并在需要时使用第三方服务进行扩展。

　　软件勒索

　　勒索软件领域最重大的转变是从严格的机会主义模式向更具针对性的模式转变，从个人到企业。虽然个人仍然是受害者，但最活跃的勒索软件团伙将激光重点放在破坏组织上。

　　技能较差的攻击者，即专注于感染个人的攻击者，在更好的保护和更高的意识的驱使下，已被大批撤出市场，而转向了能力更强的专业帮派。这意味着勒索软件感染的总体发生率较低，但对受害者的影响增加。

　　攻击者正在更加故意地选择目标。这些团伙仍然使用一些机会主义方法进行目标发现。这包括使用扫描仪发现未打补丁的机器或公开的服务(即远程桌面服务)，以及使用自动化工具来强行访问所述服务。但是一旦进入网络，人类就会接管。

　　一些帮派还利用社交媒体上的公司进行羞辱，以增加付款的可能性，如果受害者不付款，则泄露敏感信息，甚至敦促受害者组织的员工向其IT部门施加压力，要求他们支付IT费用。赎金。我们还看到，高端攻击者继续开发和改善其有效载荷，以逃避检测并提高成功感染率