云安全涉及的具体技术与常见的云安全威胁

云安全涉及的具体技术

网络安全：防火墙预设安全策略对进出流量进行过滤，IDS（入侵检测系统）、IPS（入侵防御系统）实时监测网络流量，使用VPN技术建立加密通道以让用户安全访问。

IDS旁路挂载在（服务器区域的交换机上、互联网接入路由器之后的第一台交换机上、重点保护网段的局域网交换机上）依照一定的安全策略，对网络，系统的运行状况机型监视，尽可能的发现各种攻击企图、攻击行为或攻击结果，以保证网络系统资源的机密性、完整性和可用性。

IPS串行部署在（重要服务器集群前端、办公网内部接入层（与外部网路的出入口）），能对流过的每个报文进行深度检测，能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备，能够及时中断、调整或隔离一些不正常或具有伤害性的网路资料传输行为。可以根据预先设定的安全策略，对流经的每个报文进行深度检测（协议分析跟踪、特征匹配、流量统计分析、时间关联分析等），一旦发现隐藏其中的网络攻击，可以根据该攻击的威胁级别立即采取防御措施（向管理中心告警；丢弃告文；切断会话；切断TCP连接）

IDS是被动检测系统，只起告警的作用（因为IDS基于数据包嗅探技术，只能看着网络信息流过），IPS是主动防御系统，具有检测已知与部分未知攻击并有防止攻击的能力（因为可以插入网络内，装在网络自建之间且可以阻止恶意网络行为）

网络架构优化：实施严格的网络分段，隔离各部门、分公司。

数据安全

数据加密：对重要数据进行加密，还需对密钥进行管理

数据备份：及时备份数据以便收到攻击后能快速恢复业务（跨区复制，版本控制、增量备份、自动化恢复）定期备份数据并离线存储，制定针对勒索软件的专项应急预案。

访问控制：访问重要信息需多重验证身份，且遵循最小权限原则

安全监控及审计：重要操作前需要通过多渠道验证身份

漏洞管理

漏洞识别：通过代码审查和自动化工具发现潜在漏洞。

漏洞分类：确定漏洞严重程度和优先级。

漏洞修复：制定修复计划并实施补丁。

漏洞跟踪：记录和监控漏洞的修复状态。

漏洞预防：定期进行渗透测试、更新网络威胁情报

访问控制强化：禁用弱密码策略，强制多因素认证（MFA），限制 RDP 等远程服务的暴露面。

安全意识：提高开发、维护人员的防范意识，防止己方的重要信息被黑客通过社会工程学获取

常见的云安全威胁

社会工程学：开发、维护人员收到钓鱼邮件，间接传播病毒

普通网络钓鱼：向已知邮箱发送钓鱼邮件，无特定目标，目的是诱使对方点击钓鱼链接而到达黑客的钓鱼网站骗取信息，或直接在附件内放经过层层伪装的病毒（比如蠕虫病毒），或诱导对方通过链接下载黑客精心制作的病毒。

鱼叉式钓鱼攻击：专门针对于单一目标，冒充熟人、权威工作人员以骗取信息或者引导对方在电脑中下载、安装病毒

水坑式钓鱼攻击：针对特定人群设置陷阱，比如攻击对方常访问的网站并植入攻击代码，或者制作相似的钓鱼网站等待猎物上钩

伪装工作人员、工作证件，进入核心机房、进入办公场所，直接或间接的植入病毒（落下带有病毒的移动存储设备）、有线网植入、无线网植入

垃圾箱搜索：从垃圾桶中寻找废弃文件以挖掘有价值的信息

其他

身份权限未严格管理（比如给访客过高的权限）

重要组件没有严格控制访问权限（比如储存池放开了公共读写权限）

API接口未做身份验证，访问限制

数据库未限制功能，网页接收输入未限定输入格式，黑客可使用sql注入攻击

以前发生过的云安全事件，导致的 原因？

2024年6月日本 niconico 网站及其母公司角川集团在 2024 年 6 月遭黑客组织 BlackSuit 攻击勒索

黑客通过勒索病毒对 niconico 的数据中心服务器进行加密，导致网站及相关服务（如角川官网、电商平台 Ebten）瘫痪。为防止感染扩散，niconico 被迫物理切断服务器电源和通信电缆
黑客宣称窃取了角川集团约 1.5TB 的内部数据，包括商业计划、法律文件、用户信息、员工隐私等敏感内容。他们威胁若不支付赎金（初始要求 825 万美元），将在 2024 年 7 月 1 日起逐步公开数据。

黑客通过 Tor 网络与角川集团沟通，要求使用加密邮件（如 ProtonMail）传递赎金支付指令

原因：角川集团网络架构配置不当导致网络架构漏洞被黑客利用
BlackSuit 通过长期渗透测试和网络侦察，发现角川集团子公司（如 niconico）与总公司网络架构存在严重配置缺陷：子公司网络与总公司基础架构直接连接，缺乏必要的访问控制和分段防护

黑客利用角川集团网络架构配置不当的弱点（其子公司网络与总公司基础架构直接连接），从而轻易获取最高权限，横向渗透至整个网络环境。

黑客利用弱密码、未打补丁的漏洞（如远程桌面协议 RDP）或社会工程手段（比如在邮件中附带植入病毒的伪合法文档以获取VPN凭证或域账户权限）获取初始访问权限后，通过子公司网络与总公司的直接连接，通过横向移动技术,黑客利用 Windows 的 SMB 协议（Server Message Block）和 PowerShell 脚本，横向移动至总公司域控制器,（利用了内部网络信任关系）进一步渗透至核心系统

黑客通过域控制器修改组策略，禁用杀毒软件（如 Windows Defender）和防火墙规则，为后续操作扫清障碍。随后利用未修补的本地提权漏洞（如 CVE-2024-0021），将普通用户权限提升至系统管理员（SYSTEM）控制整个网络。

黑客组织背景：BlackSuit 是一个俄罗斯黑客组织，自 2023 年 5 月起活跃，主要针对企业和机构实施勒索攻击。其典型手法是结合勒索软件加密与数据泄露威胁，迫使受害者支付高额赎金。

对勒索病毒的分析

Deep Instinct 威胁实验室的深入分析显示，BlackSuit 的战术和技术发生了巨大演变。该勒索软件现在采用的是先进的混淆方法，包括将其有效载荷伪装成奇虎 360 杀毒软件的合法组件。与早期版本相比，最新的 BlackSuit 样本的检测率要低得多，这表明威胁行为者在刻意规避安全措施

最新的样本包含编码字符串和导入 DLL ，旨在阻止分析工作。强制性 ID 参数绕过了自动仿真，提高了规避能力。最有影响的变化之一是将勒索软件伪装成知名免费杀毒软件奇虎 360 的合法组成部分，这包括虚假水印，大大降低了检测率。伪装文件虽然没有签名，但与奇虎真正的 QHAccount.exe 文件非常相似，从而有效地规避了安全软件。

BlackSuit 还集成了一些高级功能，如用于加密的非对称密钥交换、删除影子副本以禁止轻松恢复，以及禁用安全模式和关闭系统的功能。加密后的文件会添加 .blacksuit 扩展名，并附带赎金说明（通常名为 readme.blacksuit.txt）。

BlackSuit 勒索软件采用了多种初始攻击载体，包括使用窃取凭证的 RDP、VPN 和防火墙漏洞、带宏的 Office 电子邮件附件、torrent 网站、恶意广告和第三方木马。攻击者还利用 CobaltStrike、WinRAR、PUTTY、Rclone、Advanced IP Scanner、Mimikatz 和 GMER 等工具。这种多样化的载体使 BlackSuit 的目标更为广泛，危及大量数据。

如有错误，欢迎斧正