什麼是雲端資安？雲端資安重點報告，企業必備 2024 資安防禦指南，迎戰2025雲端資安戰

什麼是雲端資安？為什麼雲端資安很重要？

隨著企業將系統紛紛搬遷上雲，採用雲端服務的比重增加，雲端平台的安全挑戰也隨之上升。因駭客不斷濫用雲端平台並想盡辦法從中獲利，包括獲取企業雲端網路的存取權限、發起雲端供應鏈攻擊以及在雲端執行惡意操作等。 Google Cloud 日前發表 2024 上半年《威脅趨勢報告》（Threat Horizon Report），提醒企業資安長應特別注意四大重點，並建議應儘速採取因應對策。

2023 年網路威脅不管是數量或複雜度都顯著增加，駭客鎖定各種 IT 環境發動攻擊，舉凡地端、行動裝置、OT 環境以及雲端等。Google 專家指出以下這些  2023 年的攻擊趨勢將延續至 2024 年，企業需有所準備。

雲端資安危機案例1：帳密簡易好猜測，輕鬆破解偷資源

某公司為因應業務拓展而資料量大增的需求，透過第三方機構協助將其資產從自有機房搬遷至雲端。但在搬遷過程中，第三方機構為降低搬遷難度，在防火牆設定相對寬鬆，而該公司並未檢視防火牆設定是否足夠嚴密且公司既有的帳密設定也過於簡單，當資產上雲後即被駭客透過惡意掃描程式猜測到帳號密碼。取得登入權限後，駭客透過植入木馬程式以攻擊中國的網站，使得該公司的雲端平台因高流量與CPU滿載而帳單暴增。

雲端資安危機案例2：金鑰專案一起包，大門敞開迎駭客

某機構將其專案上傳至知名開源平台以進行協作，然而在上傳的過程中，不小心將能夠存取專案的金鑰等機敏資訊也一併打包，讓駭客得以獲取金鑰並藉此進行挖礦綁架，使得該機構的雲端資源變成免費礦工，僅一天即產生近台幣百萬的雲端平台使用帳單。

雲端資安危機有解方 金融醫療產業更要看

隨著企業對上雲的接受度持續增加，自去年起許多企業（甚至知名品牌）也曾經歷過類似上述案例的危機，因帳密或金鑰外洩，加上存取權限設置不當，讓有心人士可以輕易竊取存在雲端的機敏性資料或是盜用雲端資源以進行惡意行為（i.e. 惡意挖礦）。

當企業紛紛上雲以節省成本並優化其商業佈局，若因擔心資安而不上雲實屬因噎廢食，我們應該做的是透過建立嚴謹的安全設定，避免因人為或環境疏失造成的資安危機。尤其業務資訊含有大量機敏性資料的產業（i.e. 金融業、醫療業etc.）更不可不慎。以下則分享五個要點來協助企業與品牌打造安全防護網，放心享受雲端帶來的好處。

重點一：SSH 及 RDP 上的脆弱密碼是導致雲端服務遭受攻擊的主因

根據 Google 所做的資安事件統計，超過半數的雲端入侵事件起因於 SSH 或 RDP 等遠端通訊協定設置過於脆弱的密碼或根本沒設定密碼（如圖1），駭客得以輕鬆獲取企業的雲端平台權限，進而濫用其雲端資源於挖礦等用途。Google 專家指出，Google Cloud 部署許多技術在憑證安全、濫用偵測以及緩解處理等方面，但建議企業仍應採取相關監控措施，並定期偵測可疑行為，以強化自身雲端運算資源的安全，包括雙因素認證、強密碼政策、身份與存取權限管理（IAM）政策、雲端稽核日誌、Security Command Center 集中控管，以及近期推出可防止憑證外洩的 Mandiant Digital Threat Monitoring 監控服務。

• 攻擊類型：阻斷服務攻擊 (DOS)、憑證外洩、暴力攻擊 (Brute-force attack) 
• 建議預防作法：雙因素認證（2FA）、建立強式密碼、落實 IAM 管理、雲端稽核日誌、導入 Security Command Center (SCC) 等

重點二：多管齊下防止雲端勒索攻擊與資料竊取

駭客持續鎖定未受適當保護的公有雲儲存服務、組態設定錯誤的網路，以及破解脆弱的雲端儲存命名慣例用於勒索軟體攻擊。同時我們也看到，2023 年越來越多駭客希望透過出售企業資料來獲利，而不再只是等待受害企業支付贖金換取解密金鑰。Google 專家建議企業需制定完善的雲端備份策略，包含進行組態設定測試以及參照備份範本。可使用一寫多讀（Write Once Read Many, WORM）的備份技術，並開啟 Google Cloud 上 Bucket Lock 功能以確保儲存 bucket 無法被變更同時符合備份政策。此外，採用多區域（multiregion）雲端服務架構以及鏡像備份，也有助於減少資料外洩或無法存取的風險。

雲端遭勒索病毒入侵及資料外洩常見原因如下：

• 脆弱密碼：如使用預設密碼或未設置密碼等
• 雲端應用程式和系統安全設定的錯誤配置及錯誤：如未受限制的端口、使用者權限過高)
• 儲存防禦弱點：如易預測的 bucket 命名規則
• 應用程式漏洞：如零日攻擊 (Zero-day exploits))
• 第三方議題：如軟體供應鏈風險、權限管理不足

建議預防作法：

制定完善的雲端備份策略、定期進行資安檢測、導入有韌性的雲架構如多區域雲端環境等

重點三：刪除事件日誌使企業難以及時追查攻擊事件

從資安事件日誌記錄軟體下手，也成為駭客用來躲避偵測的新方法。透過日誌可以讓企業了解攻擊行動的先後關係及背景等線索，企業可進一步觀察到駭客如何藉由關閉或竄改日誌來掩蓋其足跡，若是缺少日誌將使得企業無法及時處理威脅事件。Google專家建議企業應盡可能搜集相關日誌，可參考MITRE ATT&CK mapping of Google Cloud logs的做法，並將日誌匯出至集中控管、有妥善治理的儲存庫，讓企業方便監控環境同時降低被刪除日誌的風險。

重點四：網軍利用既有軟體發動攻擊，更難以偵測

由國家資助的網路間諜持續鎖定目標發動 APT 攻擊，而這些網軍們使用的戰術越來越難以察覺，其中之一是利用受害者既有的軟體服務發動寄生攻擊（Living-off-the-Land, LOtL），將惡意活動融入正常網路活動當中，更加難以被偵測。例如 UNC3236 偷偷重新利用已不被原廠支援的路由器建立起隱匿網路（obfuscation networks），此類網路活動很難被追溯到源頭，且透過  Living-off-The-Land binary (LOLBins) 指令即可查找目標系統的資訊、找到其他裝置並竊取資料，過程完全不需使用惡意軟體。

Google 專家認為此類攻擊將延續至 2024 年，關鍵基礎設施、公眾服務需特別注意。此類威脅極為挑戰，Google 建議除了採取縱深防禦 (Defence in depth)、從設計融入安全、加入產業資訊分享中心（ISAC）等準則之外，也可透過 Chronicle Cybershield 建立起威脅情資的分析能力，可與 SIEM 整合簡化威脅偵測及調查的工作，以及導入 Cloud Key Management Service，可幫助更妥善管理加密金鑰，並與企業在 Google Cloud 服務中自行開發的應用相容。

• 攻擊手法：APT 攻擊、寄生攻擊、Living Off-the-Land (離地攻擊)
• 建議預防作法：建立威脅情資分析能力、善用雲端原生資安營運平台 (Google Chronicle) 偵測威脅與快速應變、導入零信任架構等

企業雲端資安防護5秘訣

秘訣1：防火牆設定別偷懶

使用第三方提供的服務時，應審慎評估第三方設定了哪些既有功能且是否會造成資安疑慮，別只貪圖方便而直接沿用。

秘訣2：金鑰權限要恰當

金鑰權限應視其所對應的任務來設定，避免過份授權而讓有心人士能為所欲為。

秘訣3：機敏資訊要守好

要將專案上傳以協作時，務必記得先檢視專案中是否含有機敏性資訊，也可以透過平台（i.e. Git）本身的設定，避免人為失誤洩漏資訊。

秘訣4：帳單預算通知要設定

將資料搬遷至雲端後，可以在平台上設定預算通知，若有因異常流量而產生突發性的費用增高，也能讓用戶盡快發現此情況。

秘訣5：多層防護保心安

除了雲端平台本身的設定之外，針對常見的外部的威脅（i.e. DDoS、DNS攻擊 etc.），也可透過雲端資安服務商所提供的服務，依自身需求定義WAF或透過服務商清洗DDoS。

攜手雲端資安專家，為您打造完善資安防禦

上述四大主題所談及的雲端攻擊事件手法整理請詳見報告 H1 2024 Threat Horizons Report。整體而言，許多攻擊事件除了歸因於駭客技術的進化之外，企業本身是否有遵循資安最佳實務來執行也是關鍵。這些資安例行工作非常繁瑣，而 Google Cloud 所提供的各項服務，正是協助企業化繁為簡的工具。

CloudMile 萬里雲近期榮獲 Google Cloud 資安專業認證，能提供顧問整體評估、標準化導入方法、架構優化到教育訓練等完善的技術服務。歡迎聯繫 CloudMile 專業團隊為您評估資安風險，全面升級您的資安防禦。