微軟警告企業客戶,針對其 Azure Blob 存儲服務的網絡攻擊浪潮不斷升級。
在 10 月 20 日發布的詳細通報中,該公司的威脅情報團隊概述了威脅行為者如何積極利用常見的錯誤配置、薄弱的憑據和不良的訪問控制來竊取敏感的企業數據。
警報詳細介紹了複雜的攻擊鏈,從最初的偵察到全面的數據洩露和破壞。 Microsoft 援引 Blob 存儲在管理 AI 和分析的海量數據工作負載方面發揮的關鍵作用,敦促管理員實施更強大的安全協議,以減輕日益增長的風險。
高價值目標可供利用
Azure Blob 存儲已成為現代云基礎設施的基石, 組織用來處理大量非結構化數據。
它的靈活性使其成為一系列關鍵功能不可或缺的組成部分,包括存儲人工智能訓練模型、支持高性能計算 (HPC)、運行大規模分析、託管媒體和管理企業備份。
不幸的是,這一核心作用也使其成為網絡犯罪分子尋求的主要目標。 高影響力的數據。
微軟的威脅情報團隊向攻擊者解釋了這項服務的戰略價值。 “與任何對像數據服務一樣,Blob 存儲是威脅行為者的高價值目標,因為它在跨不同工作負載大規模存儲和管理大量非結構化數據方面發揮著關鍵作用。”
該團隊進一步指出,威脅行為者不僅僅是投機取巧,而且正在系統地搜索易受攻擊的環境。他們希望破壞託管可下載內容或用作大規模數據存儲庫的系統,使 Blob 存儲成為各種攻擊的多功能載體。
解構雲攻擊鏈
從初始探測到重大數據洩露的路徑遵循明確定義的模式,Microsoft 已繪製該模式以幫助防御者了解其對手。攻擊不是單一事件,而是一個多階段過程,早在任何數據被盜之前就開始了。
攻擊者通常從廣泛的偵察開始,使用自動化工具掃描具有可公開訪問端點或可預測名稱的存儲帳戶。他們還可能使用語言模型生成合理的容器名稱,以實現更有效的暴力破解。
一旦識別出潛在目標,他們就會探測常見的弱點,例如暴露的存儲帳戶密鑰或共享訪問。 在公共代碼存儲庫中發現的簽名(SAS)令牌。
獲得初始訪問權限後,重點轉移到建立持久性。攻擊者可能會創建具有提升權限的新角色,生成充當後門的長期 SAS 令牌,甚至操縱容器級訪問策略以允許匿名訪問。
從那裡,他們可以橫向移動,可能觸發 Azure Functions 或邏輯應用等下游服務進一步提升其權限。最後階段可能涉及數據損壞、刪除或大規模洩露,通常使用受信任的 Azure 原生工具(例如 AzCopy)來融入 合法的網絡流量並逃避檢測。
此類錯誤配置的現實後果可能是毀滅性的。在過去的一個值得注意的事件中,一家招聘軟件公司在未正確保護 Azure Blob 存儲容器時無意中洩露了包含簡歷的近 2600 萬個文件,這一引人注目的事件凸顯 風險。
這種類型的洩露顯示了微軟現在倡導的安全態勢的至關重要性。
微軟的防禦藍圖:工具和最佳實踐
為了應對這些不斷升級的威脅,該公司強調以主動監控和遵守安全為中心的多層防禦策略
該戰略的一個關鍵組成部分是 Microsoft Defender for Storage,這是一種雲原生解決方案,旨在提供額外的安全智能層。
根據 Microsoft 的說法,“Defender for Storage 提供了額外的安全智能層,可檢測訪問或利用存儲帳戶的異常且可能有害的嘗試。”
Defender for Storage 提供多層保護,包括惡意軟件掃描 可以配置為兩種主要模式,根據官方文檔。
上傳掃描提供對新文件或修改文件的近實時分析,自動檢查它們是否存在威脅。 進入系統。
為了實現更深入、主動的安全性,按需掃描允許管理員掃描現有數據,這對於事件響應和保護數據管道至關重要。
檢測到惡意軟件時,可以觸發自動修復來隔離或軟刪除惡意 blob,阻止訪問並減輕威脅。
除了部署特定工具之外,該公司還為所有企業客戶概述了幾項基本的最佳實踐。首先,組織必須使用 Azure 基於角色的訪問控制 (RBAC) 嚴格執行最小權限原則。
這可確保在帳戶遭到洩露時,攻擊者造成損害的能力受到嚴格限制。僅向用戶和服務授予必要的權限是減少攻擊面的基本步驟。
其次,管理員應避免使用不受限制的長期 SAS 令牌。如果受到威脅,這些令牌可以提供永久性後門,繞過其他基於身份的控制。
實施全面的日誌記錄和審核對於快速檢測和響應事件也至關重要。
最後,Microsoft 強烈建議盡可能限制公共網絡對存儲帳戶的訪問,並強制執行安全傳輸要求以保護傳輸中的數據。
通過加強這些基礎基礎設施 通過控制和保持持續警惕,組織可以顯著降低風險並更好地保護其關鍵雲數據免遭洩露。
