为了研究身份和访问管理政策对企业云安全态势的影响，派拓网络威胁情报团队Unit 42通过分析200家企业的18,000个云账户中的68万多个身份信息，以了解它们的配置和使用方式。研究结果令人震惊——几乎所有企业都缺乏恰当的身份和访问管理政策。

　　配置错误的身份和访问管理政策向云威胁攻击者敞开了大门。这是Unit 42定义的一种新型威胁：通过定向和持续访问云平台资源、服务或嵌入式元数据对企业构成威胁的个人或团体。之所以单独定义云威胁攻击者，是因为Unit 42观察到他们已经开始采用一套专门针对云的TTP（战术、技术和程序），例如利用同时执行横向移动和特权升级操作的能力。

　　疫情期间，云工作负载总体出现了显著扩展。企业增加了对云的使用，在云中托管一半以上工作负载的企业数量急剧增加（如图1）。随着越来越多的企业将工作负载迁移至云并在云中开发原生应用，在构建云安全策略时，身份安全需要引起格外重视。

　　图 1. 2020 年以来云工作负载的比例变化

　　（蓝色：云工作负载量；绿色：在云中托管超过一半工作负载的企业）

　　出人意料的是，攻击者在利用配置错误或过于宽松的身份访问控制时，并不需要思考如何作出技术上的复杂让步；相反，他们可以轻松获得资源的访问权，仿佛他们本来就有权获得这些资源一样。攻击者对缺乏恰当身份和访问管理控制措施的企业虎视眈眈，再加上云平台的使用率增加，云威胁攻击这种更复杂却更容易发起的新攻击出现了。

　　图2. 每种政策类型授予的平均权限数量

　　CSP管理的政策（AWS_MANAGED_POLICY和AZURE_BUILT_IN_ROLE）授予的权限是客户管理政策的2.5倍

　　正是由于企业采取的政策过于宽松、授予的权限过多，因此攻击者在进入企业云环境时往往畅通无阻。多数企业对利用薄弱身份和访问管理政策发起的攻击毫无准备。攻击者也清楚这一点；他们瞄准云身份和访问管理证书，并最终在标准操作程序中收集这些证书，例如他们正在利用云平台特有的新TTP。企业需要先意识到这一点，才能采取有效的防御策略。

　　为了帮助企业防范这种威胁，Unit 42创建了业内首个云威胁攻击者指数，并展现了瞄准云基础架构的攻击团体所执行的操作（如图3），详细记录了每个攻击者的TTP，使包括安全团队在内的整个企业能够评估自身的防御策略并建立合适的监控、检测、警报和预防机制。

　　该指数也体现了以云基础架构为目标的的主要攻击者，和目前已知的利用云进行攻击的国家。其中部分主要攻击者包括（按常见程度排序）：

　　利用和瞄准云基础架构的主要持续性高级威胁有：APT 28（Fancy Bear）、APT 29（Cozy Bear）和APT 41（Gadolinium）。

　　图3. WatchDog云威胁攻击者TTP

　　（红色背景：针对云平台的TTP；绿色背景：针对容器平台的TTP；红字TTP：能够大范围破坏云操作的行为）

　　对企业来讲，恰当的身份和访问管理配置可以阻止非法访问、提供对云活动的可见性并减少安全事件带来的影响。企业可以通过采用云原生应用保护平台（CNAPP）集成套件、强化身份和访问管理权限和提高安全自动化程度的方式防御云威胁。

　　作为全球网络安全领导企业，Palo Alto Networks（派拓网络）正借助其先进技术重塑着以云为中心的未来社会，改变着人类和组织运作的方式。我们的使命是成为首选网络安全伙伴，保护人们的数字生活方式。借助我们在人工智能、分析、自动化与编排方面的持续性创新和突破，助力广大客户应对全球最为严重的安全挑战。通过交付集成化平台和推动合作伙伴生态系统的不断成长，我们始终站在安全前沿，在云、网络以及移动设备方面为数以万计的组织保驾护航。我们的愿景是构建一个日益安全的世界。

　　Palo Alto Networks、Prisma以及 Palo Alto Networks 标识是 Palo Alto Networks, Inc.在美国和全球范围内的注册商标。本文使用或提及的所有其他商标、商品名称或服务标记均属于各自所有者拥有。