随着对基于云的资源连接的增长，网络犯罪分子正在以惊人的速度使用被破坏的有效凭证访问企业资源。这是IBM X-Force云威胁形势报告的主要发现之一，该报告还发现，去年面向云的常见漏洞和暴露增加了200%（约3900个漏洞）。

IBM X-Force战略网络威胁分析师Chris Caridi在一篇关于该报告的博客中写道:“超过35%的云安全事件是由于攻击者使用了被破坏的有效凭证而导致的。在暗网市场上出售的资产中，证书占了近90%，在网络犯罪分子中很受欢迎，平均每份交易价值10美元，相当于一打甜甜圈。”

随着越来越多的边缘、分支和远程网络用户访问多云环境，公司急需收紧给这些用户的访问权限。

事实上，在涉及云环境的33%的业务中，X-Force发现用户端点上存在纯文本凭证。报告指出，服务账户凭证存储在端点上的频率很高，而且许多都是过度特权。过度特权用户可以定义为那些拥有超过他们完成工作或任务所需权限的用户。

 “据X-Force团队观察，超过三分之一的云相关事件是凭证泄露造成的，这表明企业在平衡用户访问需求和安全风险方面正面临着严峻的挑战。”报告说。

X-Force表示，侵入一旦成功，网络犯罪分子可以利用这种访问来实现他们的最终目标，比如部署加密矿工、勒索软件和其他类型的恶意软件。

其他常见的攻击方式还包括利用面向公众的应用程序和网络钓鱼/鱼叉式链接，每种攻击约占X-Force团队响应事件的14%。

Caridi表示，微软Outlook云证书在非法市场上被提及超过500万次，这是迄今为止最受欢迎的权限。

报告还指出，利用面向公众的应用程序中的漏洞是云计算和本地环境中威胁行为者最常用的手段。由于在公有云或混合云环境中使用的应用程序和服务数量不断增加，云应用程序对公司来说通常更具挑战性。如果管理不当，可能会忽略在云中运行的那些过时应用程序，甚至不知道这类应用程序正在使用。

报告的其他一些主要发现包括:

• X-Force团队观察到入侵者在毫不知情的受害者系统上安装一种合法的网络分区工具作为代理软件，以转售受害者的计算机带宽。研究表明，代理劫持活动可以在24小时内为一个IP地址净赚大约9.60美元，通过Log4j部署它每个月可以带来22万美元的利润。此外，由于意外网络流量的增加，代理劫持可能导致受害者不得不支付云提供商的巨额费用。

• 近60%新披露的漏洞会让攻击者获取信息，或者获得允许通过网络横向移动的访问权限或特权。从向攻击者提供有关如何设置环境的信息，到授予他们额外权限的未经授权的身份验证，对于公司来说，了解哪些风险需要优先考虑是至关重要的——尤其是在资源有限的情况下。

• 将Chaos远程管理工具(Trojan.Linux.CHAOSRAT)作为RAT（远程访问工具）部署。Chaos RAT功能包括反向shell文件下载、上传和删除、屏幕截图、操作系统信息收集、关闭并重新启动主机、打开URL等。这些充分展示了基于云的威胁者不断发展的复杂性。

X-Force的研究人员针对他们的发现提出了一些建议。例如，客户应该利用零信任安全技术来实现多因素身份验证（MFA）和最小特权原则。

云威胁形势报告中指出:“这一策略对于可能定期与其他本地资产交互的私有云尤其重要。现代化身份和访问管理（IAM）可以减少对用户名和密码组合的依赖，并打击威胁者的凭证盗窃。”

他们还建议使用基于人工智能的功能来帮助审查数字身份和行为，验证其合法性，并提供更智能的身份验证。

这份威胁形势报告基于从X-Force威胁情报、渗透测试、事件响应参与、红帽洞察和报告贡献者Cybersixgill在2022年6月至2023年6月期间提供的数据收集而成。

希望企业能够利用该报告的研究结果，防患于未然，有效抵制非法入侵，维护网络安全。