最新的Palo Alto Networks Unit 42云威胁报告发现，66%的云存储桶中存在敏感数据，这些数据极易遭受勒索软件攻击。SANS研究所近日报告称，攻击者可以通过滥用云提供商的存储安全控制和默认设置来实施此类攻击。

“在过去的几个月里，我亲眼目睹了仅利用合法的云安全功能就可以执行勒索软件攻击的两种不同方法，”SANS认证讲师兼安全顾问Brandon Evans警告道。Halcyon披露了一次攻击活动，攻击者利用了亚马逊S3的原生加密机制SSE-C来加密每个目标存储桶。几个月前，安全顾问Chris Farris展示了攻击者如何使用另一种AWS安全功能——带有外部密钥材料的KMS密钥，并通过ChatGPT生成的简单脚本来执行类似的攻击。Brandon指出：“显然，这一话题对威胁行为者和研究人员来说都至关重要。”

如何应对云勒索软件攻击？

1. 了解云安全控制的功能与局限性

使用云服务并不会自动确保数据安全。“大多数人首先使用的云服务是像OneDrive、Dropbox、iCloud等文件备份解决方案，”Brandon解释道，“尽管这些服务通常默认启用了文件恢复功能，但亚马逊S3、Azure存储或谷歌云存储并非如此。安全专业人员必须了解这些服务的工作原理，而不是假设云会自动保护他们的数据。”

2. 禁止不受支持的云加密方法

AWS S3 SSE-C、AWS KMS外部密钥材料以及类似的加密技术可能被滥用，因为攻击者对密钥拥有完全控制权。组织可以通过身份和访问管理（IAM）策略强制规定S3使用的加密方法，例如使用AWS托管的密钥材料的SSE-KMS。

3. 启用备份、对象版本控制和对象锁定

这些是云存储的完整性和可用性控制措施。在三大云提供商中，默认情况下这些功能均未启用。如果正确使用，它们可以增加组织在遭受勒索软件攻击后恢复数据的机会。

4. 通过数据生命周期策略平衡安全与成本

这些安全功能都需要费用。“云提供商不会免费托管你的数据版本或备份。同时，你的组织也不会为数据安全提供无限预算，”Brandon说。三大云提供商都允许客户定义生命周期策略，这些策略可以帮助组织在数据、版本和备份不再需要时自动删除。然而，需要注意的是，攻击者也可以利用生命周期策略。在之前提到的攻击活动中，攻击者就曾用其逼迫目标快速支付赎金。