最新的Palo Alto Networks Unit 42云威脅報告發現，66%的云存儲桶中存在敏感數據，這些數據極易遭受勒索軟件攻擊。SANS研究所近日報告稱，攻擊者可以通過濫用云提供商的存儲安全控制和默認設置來實施此類攻擊。

“在過去的幾個月里，我親眼目睹了僅利用合法的云安全功能就可以執行勒索軟件攻擊的兩種不同方法，”SANS認證講師兼安全顧問Brandon Evans警告道。Halcyon披露了一次攻擊活動，攻擊者利用了亞馬遜S3的原生加密機制SSE-C來加密每個目標存儲桶。

幾個月前，安全顧問Chris Farris展示了攻擊者如何使用另一種AWS安全功能——帶有外部密鑰材料的KMS密鑰，并通過ChatGPT生成的簡單腳本來執行類似的攻擊。Brandon指出：“顯然，這一話題對威脅行為者和研究人員來說都至關重要。”

如何應對云勒索軟件攻擊？

1. 了解云安全控制的功能與局限性

使用云服務并不會自動確保數據安全。“大多數人首先使用的云服務是像OneDrive、Dropbox、iCloud等文件備份解決方案，”Brandon解釋道，“盡管這些服務通常默認啟用了文件恢復功能，但亞馬遜S3、Azure存儲或谷歌云存儲并非如此。安全專業人員必須了解這些服務的工作原理，而不是假設云會自動保護他們的數據。”

2. 禁止不受支持的云加密方法

AWS S3 SSE-C、AWS KMS外部密鑰材料以及類似的加密技術可能被濫用，因為攻擊者對密鑰擁有完全控制權。組織可以通過身份和訪問管理（IAM）策略強制規定S3使用的加密方法，例如使用AWS托管的密鑰材料的SSE-KMS。

3. 啟用備份、對象版本控制和對象鎖定

這些是云存儲的完整性和可用性控制措施。在三大云提供商中，默認情況下這些功能均未啟用。如果正確使用，它們可以增加組織在遭受勒索軟件攻擊后恢復數據的機會。

4. 通過數據生命周期策略平衡安全與成本

這些安全功能都需要費用。“云提供商不會免費托管你的數據版本或備份。同時，你的組織也不會為數據安全提供無限預算，”Brandon說。三大云提供商都允許客戶定義生命周期策略，這些策略可以幫助組織在數據、版本和備份不再需要時自動刪除。然而，需要注意的是，攻擊者也可以利用生命周期策略。在之前提到的攻擊活動中，攻擊者就曾用其逼迫目標快速支付贖金。