提供永久免费的API接口，查看更多API接口，如果您有其他免费API资源，请联系我们，造福人类。

定制开发，免费评估，免费咨询，价格便宜，售后保障，前往开发服务中心或联系开发客服中心

新的研究表明，如果应用程序、数据库和安全策略的配置正确，三分之二的云安全事件本可以避免。

周三，IBM security X-Force发布了最新的云安全威胁形势报告，涵盖2020年第二季度至2021年第二季度。

根据研究，这家科技巨头观察到的三分之二被破坏的云环境“可能会被更强大的系统强化所阻止，例如正确实施安全策略和修补系统。”

在对扫描的云环境进行采样时，在X-Force Red进行渗透测试的每种情况下，该团队还发现了凭证或策略方面的问题。

IBM说：“这两个因素导致了组织中最常见的初始感染媒介：配置不当的资产、密码喷洒和从内部部署的基础设施转向。”。“此外，API配置和安全问题、远程攻击和访问机密数据是威胁参与者利用云环境中安全不严的常见方式。”

研究人员认为，最近有一半以上的违规行为也与此有关，其中可能包括不受中央IT团队管理或监控的应用程序和服务

错误配置、API错误或暴露以及对云环境安全的监督也导致了公共云初始访问地下市场的繁荣。根据IBM的数据，在列出的近30000个广告中，有71%的广告是出于犯罪目的提供远程桌面协议（RDP）访问的。

在某些情况下，云环境访问的售价只有几美元，尽管取决于目标的感知价值（如信息盗窃或潜在勒索软件支付），但访问可以赚取数千美元。

IBM的报告还指出，影响云应用程序的漏洞有所增加，在过去18个月中，报告的2500多个漏洞中有近一半被披露。

一旦攻击者获得了对云环境的访问权，加密货币矿工和勒索软件变体在报告中提到的近一半案例中被丢弃。有效载荷也在不断变化，旧的恶意软件集中在破坏Docker容器上，而新代码通常是用包括Golang在内的跨平台语言编写的。

IBM表示：“与内部部署相比，许多企业在云计算环境中配置安全控制时没有相同的信心和专业技能，这导致了一个支离破碎、更复杂、难以管理的安全环境。”组织需要将其分布式基础架构作为一个单一的环境进行管理，以消除复杂性并实现从云到边缘再到后端的更好的网络可视性。“

在其他云安全新闻中，苹果公司向一名bug赏金猎人支付了28000美元，因为他在测试公司的应用程序和CloudKit时意外删除了用户的快捷方式功能。这个问题是由iPad和iPhone制造商的一个错误配置引起的，它允许研究人员——尽管是无意的——删除快捷方式服务中的默认区域

2021年以前及相关报道云安全：云安全基本工具和最佳实践业务指南：在线服务攻击上升背后的“可疑超人”2021年顶级云提供商：AWS、Microsoft Azure和Google Cloud、hybrid、SaaS玩家有什么建议吗？通过WhatsApp |信号+447713 025 499或通过Keybase:charlie0安全联系：Meris僵尸网络攻击KrebsOnSecurity

微软2021年9月修补程序周二：MSHTML中的远程代码执行缺陷，OMI修复了勒索软件的状态：国家紧急情况和百万美元勒索

HP修补程序严重预兆驱动程序权限升级漏洞

2023-03-22 10:04:43