数据泄露司空见惯，数据泄露传统上一直是威胁行为者的最终目标，无论是为了经济利益、政治利益还是仅仅为了造成破坏。无论出于何种原因，网络安全都始于一个关键问题：“网络犯罪分子如何获取我们的敏感数据？”要找到答案，我们必须看看 IT 环境发生了哪些变化以及云的引入。根据 SentinelOne 的“2024 年云勒索软件状况”，威胁行为者越来越多地使用云服务来识别他们打算泄露或勒索的数据。

脆弱的云环境始于错误配置

如今，企业正专注于使用云存储和依赖 API 通信的微服务架构进行云原生开发。简而言之，云原生架构和存储的使用为威胁行为者打开了通往王冠的大门，使他们能够在创纪录的时间内获取所需的数据。

使用云存储会导致数据泄露。在当今的云环境中，虚拟化层出不穷，这可能会带来安全风险。云原生开发、容器和微服务的好处包括开发团队能够快速部署新版本。每个团队都可以专注于他们服务的一部分，并在快速变化的环境中利用持续更新。然而，这也会导致更高的配置错误可能性。配置错误会滋生漏洞。当存在漏洞时，威胁行为者随时准备利用漏洞。

权限设置中的错误配置等简单错误可能会造成安全隐患。2024 年，The Register报道称 Microsoft Power Pages 的错误配置正在暴露敏感数据。一位安全研究人员发现，由于使用 Power Pages 构建的网站中的访问控制配置错误，大量数据被暴露在外，任何人都可以查看。当开发人员和应用程序所有者没有意识到他们的行为正在带来额外的安全隐患时，解决操作问题的安全漏洞可能会越来越多。SecurityWeek报道称，Palo Alto Networks 的安全研究人员发现，一个威胁行为者利用无意中暴露的环境变量破坏了组织的云环境，然后对其进行勒索。

传统网络监控与现代监控：行为分析

攻击网络环境的“传统”方式并未消失。安全团队仍然依赖分析网络流量和入侵防御系统及防火墙来监控网络流量并检测恶意负载。

API 检查遵循相同的方法。安全团队应寻找在其 API 活动中标记潜在入侵行为的指标。在云计算中，监控 API 以及对 API 服务和存储设施（如 Amazon S3）的查询具有内在价值。与文件夹权限类似，对云存储的宽松访问控制使威胁行为者能够访问敏感数据，跳过传统侦察、特权升级和横向移动所需的步骤。安全性仍然需要了解“谁”正在访问“什么”，并且必须能够执行行为分析，即使是在服务到服务通信中。通过监控流量行为，安全团队可以区分服务帐户和用户帐户，从而区分用户何时访问服务通常访问的服务。服务交易与用户交易看起来截然不同。但是，团队不能仅仅依赖行为分析。

安全性需要超越 API 事务的行为，并深入到 API 请求和响应的内容。通常，API 行为分析仅识别 HTTP 响应代码（例如 200 – OK、500 – Error）。仅分析 HTTP 响应会忽略 200 OK 因访问控制配置错误而包含其他客户的数据，或 500 – Error 包含机密服务器信息。

当今的安全信息事件管理 (SIEM) 系统是现代监控开始发挥作用的地方。它们可以通过拼凑来自多个日志和审计源（包括 API）的信息来了解全局 - 谁在进行身份验证以及他们进行身份验证的频率，以及他们抓取了哪些数据和多少数据。让我们看看当您查询应用程序的公共 API 时会发生什么。API 旨在公开，以便合作伙伴可以为 SaaS 应用程序创建应用程序。虽然公共 API 有好处，但它也可能被滥用和配置错误，从而允许访问客户数据。通过聚焦 API 流量中的内容，您可以查找 API 流量中的攻击签名或行为，以识别何时出现不合理情况。这就是我们可以捕获这些快速飞行数据泄露尝试的地方。

证实证据：资产风险模型

一旦我们知道网络犯罪分子如何访问敏感数据，我们还必须问：“我们如何阻止他们访问这些数据？”

当今的安全策略需要评估风险，结合风险模型和基于风险输入和风险放大器组合的自动化。这意味着使用各种分析技术评估资产的运行时活动，结合结果来了解风险输入。风险放大器添加额外的背景信息来放大风险输入。

虽然听起来很复杂，但让我们分解一下。如果我们看到来自某项资产的 100 个相同警报与来自某项资产的 100 个不同警报，那么 100 个不同警报显然更令人担忧。因此，我们使用活动的差异作为一种方法来放大该资产的风险。这样，我们不仅仅是计算警报，而是通过评估活动的严重性、活动的差异和所有针对同一资产的其他因素来计算资产受到损害的概率。资产不仅被定义为系统，还被定义为用户、云存储、云服务等。如果我们依赖单一的分析技术，我们将被误报轰炸，并且我们将不知道要寻找什么。因此，我们利用多种分析技术的结果作为我们的风险输入。我们不会对每个单独的发现进行分类，而是对具有高风险分数的资产进行分类。误报会自动被抑制，因为几乎没有确凿的证据来增加资产的风险分数。多项分析结果证实了这一结论。如果烟雾足够多，就可以假设有火灾。

好消息是，虽然云服务和存储提供了更突出的访问权限以实现数据泄露，但威胁行为者仍必须采取多个步骤才能完全实现其目标。威胁行为者需要了解您的 API、数据边界并找到漏洞。组织必须仔细阅读才能认识到这些分析结果表明了什么。如果存在真正的威胁，下一步就是在数据泄露之前关闭该用户和帐户并更新 API。风险分析可以帮助防止数据泄露，而不是事后堵塞漏洞或在数据被盗后进行清理，因为它可以识别足够的证据来表明将会发生什么。

预测风险以缩小脆弱性差距

将行为变化和攻击指标归结为共同资产是一种预测风险的现代方法。安全团队可以识别环境中的多个活动何时与同一活动相关联，并将这些点联系起来。团队可以知道该事件的风险被放大了，因为他们看到它与该环境中发生的另一个活动相关联。结果，资产的风险上升了。现在，组织可以全面了解该资产上发生的所有活动，并可以识别哪些是真正的积极因素。安全分析师将自动汇总信息，并抢先开始调查。

如果组织专注于检测数据泄露，那就太迟了。关键的安全措施应该在数据泄露之前采取。识别确凿证据以确认正在发生违规行为是保护组织及其客户的最重要步骤。

揽阁信息 · 值得您信赖的信息安全顾问！

相关文章：

• 数据泄露通知法律合规性 - 合规性满足
• 你能确定数据在云中是安全的吗？
• 什么是数据保护和数据隐私？如何有效保护？
• 墨西哥颁布新的数据保护制度《LGTAIP》
• CipherTrust Transparent Encryption对于数据保护和隐私合规的重要性
• 从防御到进攻：2025 年 CISO 的由内而外的数据安全策略