2023公有云安全风险分析报告.docx

《2023公有云安全风险分析报告.docx》由会员分享，可在线阅读，更多相关《2023公有云安全风险分析报告.docx（89页珍藏版）》请在优知文库上搜索。

1、2023公有云安全风险分析报告关于绿盟科技绿盟科技集团股份有限公司（以下简称绿盟科技），成立于2000年4月，总部位于1晾。公司于2014年1月29日在深圳证券交易所创业板h市,证券代码：3369绿盟科技在国内设有50余个分支机构,为政府、金融、运营商、能源、交通、科教文卫等行业用户与各类型企业用户，提供全线网络安全产品、全方位安全解决方案和体系化安全运营服务。公司在美国硅谷、日本东京、英国伦敦、新加坡及巴西圣保罗设立励仔公司和办事处,深入开展全球业务，打造全球网络安全行业的中国品牌.关于星云实验室星云实验室专注于云计算安全相关的前沿领域研究.基于IaaS环境的安全防护，利用SDN/NFV等新

2、技术和新理念,提出了软件定义安全的云安全防护体系。承担并完成多个国家、省、市以及行业重点单位创新研究课题，已成功孵化落地绿盟科技云安全解决方案、绿盟科技云版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属绿盟科娜有，辫!有关产权及版权法恸凡任何个人、机构超藤盟科技的书面授权许可，不得以任何方式复制或引用本文的（坏）片断，SlN山IN0。执行摘要01公有云安全发展趋势分析022023年重大云安全事件回顾2.1简介2.2微软AzureActiveDirectory配置错误导致Bing服务受到严重影响2.3全球范围VMwareESXi服务器遭至勒索软件

3、攻击2.4DigitalOcean存储桶被公开访问，印度跨国银行数百万数据遭遇泄露2.5约3TB托管至Azure上的美国内部军事电子邮件数据遭至泄露2.6阿里云数据库服务被曝严重漏洞BrokenSesame2.7勒索软件团伙CLOP利用了MOVEitCloudSQLi零日漏洞：受害机构数量逼近900家，影响人数超2000万2.8ToyotaConnected云S已置错误导致大规模数据泄露长达多年2.9丹麦知名云服务被黑，所有数据丢失2.10微软研究团队使用的AzureBlob存储桶意外爨露38TB隐私数据2.11 英国政府承包商使用的S3存储桶泄露大量员工敏感数据72.12 小结703云服务配

4、置错误的安全风险分析83.1 容器镜像仓库泄露风险分析93.2 源代码仓库泄露风险分析1533存储桶泄露风险分析193.4 睇2504云服务自身的安全风险分析274.1 跨租户劫持风险分析284.2 权限配置错误风险分析314.3 小结3505连接云服务的第三方供应链安全风险分析375.1 DevOps与三t算385.2 DevOps风析385.3 小结72花法法法学转科砥067376总结与展望07参考文献:脸脸脸IV围%脸:丁执行摘要2023年，云计算持续迅猛发展，广泛渗透各行业，随着应用程序在混合云和多云环境中的部署增加，面向租户的云上风险也相应提升，如攻击者可利用互联网上泄露的凭证信息访

5、问租户资产，并通过一系列攻击手段对租户资产的安全性构成威胁。再如攻击者可以利用租户的云存储访问错误配置，直接获取云存储桶内的敏感信息，以上风险最终会造成数据泄露事件的发生。其次，公有云服务自身也存在漏洞,若云厂商未及时对漏洞进行修复，攻击者可通过漏洞利用对租户的云月躇发起攻击，造成不良后果。最后，开发运营T化（DevOps）使得用户对应用运营变得更加便捷，但复杂的软件供应链与不必要的服务暴露也带来了极大的安全风险。本篇报告，绿盟科技星云实验室基于云安全研究方面的积累对未来云安全发展趋势进行了简要分析，总结了2023年的十大云安全事件，围绕十大事件风险根因，联合创新研究院孵化中心进行了云上风险发

6、现的研究。报告主要内容如下：第一章，我们对未来云安全发展趋势进行了简要分析，我们认为面向租户的云服务配置错误、云服务自身漏洞、连接云服务的第三方供应链安全是未来公有云安全面临的主要风险；第二章，我们简要分析了2023年十大典型云安全案例。基于时下热点事件分析网络安全态势，有助于我们以史为鉴，预防潜在同类安全事件发生；第三章，我们分析了云服务配置错误可能导致的严重后果。如容器镜像、源代码仓库、云存储桶中可能存储了用户关键三务的密钥信息，也可能存储用户的隐私数据，这给攻击者提供了更多的攻击面，将会导致更多数据泄露事件的发生；第四章，我们对公有云服务自身的安全性进行了分析，如公有云数据库服务自身的安

7、全性较容易被忽略，且数据库中存放用户敏感数据，如账号信息，个人信息等，因此也成为攻击者关注的目标之一；第五章，我们分析了用户在云上部署的开发运营一体化DevOps服务的安全性。DevOps流程中，用户使用大量的第三方服务或者依赖库，使用的服务镜像，都有可能存在漏洞，更可能存在敏感数据泄漏的风险。希望通过本报告，各位读者能了解、发现自己云上资产的暴露面和攻击面，以防范潜在的击。观点1:安全左移过程中，自建仓库的风险应重点关注，研究表明，暴露在互联网上的超过10%镜像仓库存在镜像泄露风险，约16%代码仓库存在未授权访问漏洞，且绝大部分自建仓库中泄露的镜像和源代码存在不同程度的敏感数据泄露风险。如被

8、利用，可能会对数据拥有者造成较大的经济和名誉损失。观点2:绿盟科技统计的2023年重大云安全事件中，约四成是因为人为错误配置导致的云存储桶数据泄露，这些事件暴露了用户使用存储桶服务时存在访问控制配置不当和缺乏加密保护等安全问题。观点3:SaaS服务作为一种灵活的云服务模型，涵盖各种服务类别，不同的服务面临不同的风险，其中影响较大的风险是租户间的隔离不够彻底，进而危害其他云租户的业务。观点4:IaaS服务通常提供大规模的计算存储资源，云租户需要自行搭建服务，其风睑主要集中在云租户自身的操作配置可能不合规,或未采用了最佳安全实践。观点5:近年敏捷开发模式流行，但开发者安全意识缺失，造成大量DevO

9、ps组件服务暴露在互联网上，不同程度带有NDay漏洞。这些漏洞可能来自于组件本身，或来自扩展组件功能的第三方插件，其客观上增加了DevOps的攻击面，特别是数据泄露的风险。公有云安全发展趋势分析2022年的网络空间测绘年报11中，我们从对象存储服务风险、公有云凭证泄露风险、云原生服务泄露风险、源代码仓库暴露风险四个角度出发，对云上风睑进行了梳理分析。2023年，我们通过对不断曝出的云安全事件的观察，发现这些风险依然存在，并呈现以下1 .云租户的错误导致数据泄漏事件依然不断。随着云上数据泄露事件激增，租户不恰当配置或暴露服务造成连锁安全事件的风险突显，例如2023年5月，丰田汽车公司外包给TC公

10、司的部分数据因所属的云存储桶配置错误而遭到大规模数据泄露12,这表明未来云安全防护的焦点将从工作负载安全转向至面向租户的安全；2 .云服务商的错误导致未授权访问和数据泄漏。云服务漏洞导致了一系列未授权访问和数据泄漏事件，例如2023年1月，AzureActiveDirectory服务存在认证绕过漏洞导致Bing服务的使用受到严重影响ISb同年4月，阿里云麒库服务被曝严重漏洞BrokenSesame,可导致跨租户劫持风险国；3 .合作伙伴被攻陷的导致供应链安全风险。连接第三方云服务导致的供应链安全风险备受关注。随着敏捷开发趋势越发明显，企业云应用管理越发遵循开发运营一体化的理念。由于DevOps

11、流程的各个阶段涉及众多组件，且这些组件被暴露在互联网中，因此攻击者可通过对组件的脆弱性配置或漏洞进行利用，窃取重要数据并植入恶意脚本，引发供应链攻击。典型事件如2023年5月，勒索软件团伙CLOP利用了MOVEitCloudSQLi零日漏洞发起供应链攻击，受害机构数量逼近900家，影响人数超2000万5这成为继2020年Solarwinds事件后又的有一起重大供应链安全事件。随着云服务的广泛应用，云安全面临着日益增大的挑战。人为错误配置是主要的风险来源，无论是云租户还是云服务商都可能犯错。此外，连接第三方云服务引发的供应链攻击也备受关注。我们只有深入了解这些云上风睑的根本原因，才能更有效地加强

12、云安全防护，使云计算更好地助力产业升级。2023年重大云安全事件2.1 简介2023年,云安全领域涌现了一系列重大事件，深刻影响着各行业，未来的挑战依然严峻。本章我们总结了2023年十大云安全事件并进行简单介绍，后续第三章至第五章我们将围绕这些云安全事件进行深度分析。2.2 微软AzureActiveDirectory配置错误导致Bing服务受到严重影响2023年1月，WiZ发现了AzureActiveDirectory(AAD)中的一个新攻击向量，影响Microsoft的Bing服务。该攻击向量基于常见的AAD配置错误，使得配置错误的应用程序允许未授权的访问回。研究人员发现了多个微软应用程序

13、容易受到这种攻击的影响，包含Mag新闻、CNSAPI、PowerAutomate博客等应用程序，其中一个是用于驱动Bing服务的内容管理系统(CMS)。该漏洞能够导致攻击者接管该Bing服务，修改搜索结果，并有可能导致数百万Bing用户的Office365凭证被窃取。这些凭证进而允许对用户的私人电子邮件和文件进行访问。Wiz将这次攻击命名为#BingBang该漏洞利用方式十分简单,甚至无需编写任何代码。WiZ已将该问题报送至微软，相关漏洞也已经得到修复。此外，微软对AAD功能进行修改，以减少用户的风险暴露。更详细的分析请参见研究案例10：微软AZUreACtiVeDireCtory由于配置错误

14、导致Bing服务受那重影响2.3 全球范围VMwareESXi服务器遭至勒索软件攻击2023年2月3日左右,法国计算机紧急响应小组(CERT-FR)发出警告，有攻击者正通过利用T在2021年3月就发现的VMwarevCenterServer远程代码执行漏洞(CVE-2021-21974),对全球多地未打补丁的VMwareESXi部署新型ESXiArgs勒索软件。ESXiArgs勒索软件会对ESXi服务器上的配置文件进行加密，可能导致虚拟机(VM)无法使用。据悉，意大利、法国、芬兰、美国、加拿大等国均遭到攻击。根据安全大数据公司Censys检索披露Zl,欧洲和北美已经有千台服务器遭到破坏。奥地利

15、计算机安全应急响应小组也发出警告，称至少有3762个系统受到了影响。意大利电信公司也因为该勒索攻击出现大规模互联网中断。开源勒索软件支付跟踪器RanSomWhere跟踪了四笔总价值88,000美元的赎金。2.4 DigitalOcean存储桶被公开访问，印度跨国银行数百万数据遭遇泄露IClCl银行是一家市值超过760亿美元的印度跨国企业,在印度各地有5000多个分支机构,并在全球至少15个国家设有分支机构。印度政府将IClCI银行的资产命名为关键信息基础设施，对其的用可伤害均会影响国家安全，然而其关键数据安全性却依然得不到保障82023年2月，Cybernews研究团队发现ICICI银行因其系统使用了DigitalOcean的云存储服务，但并未正确配置存储桶的访问控制权限，导致银行泄露了360万个敏感文件，其中包含银行用户的详细信息、信用卡号、姓名、护照、出生日期、家庭住址、电话号码、电子邮件、