微软今天宣布,发布存储服务威胁矩阵的第二个版本,这是一个结构化工具,有助于识别和分析存储在云存储服务中的数据的潜在安全威胁。该矩阵于2021年4月首次发布,列出了一套丰富的攻击技术,映射到MITRE的ATT&CK®框架和全面的知识库所描述的一套众所周知的战术,使防御者能够更高效、更有效地适应和应对新技术。
网络犯罪分子以云存储帐户和服务为目标,目的多种多样,例如访问和过滤敏感数据、获得横向移动的网络立足点、访问额外资源、部署恶意软件或参与勒索计划。为了对抗这种威胁,更新后的威胁矩阵通过详细介绍几种新的初始访问技术,提供了对攻击面的更好覆盖。该矩阵通过详细描述云环境特有的几种新攻击,包括一些尚未在真实攻击中观察到的攻击,进一步提供了对威胁格局的可见性。
以下详细介绍的几个需要注意的新技术:
对象复制 - 允许攻击者使用出站复制从目标存储帐户泄露数据或使用入站复制将恶意软件传送到目标帐户,从而在两个方向上恶意滥用对象复制功能。
跨异地副本的操作 – 通过在存储帐户的地理副本之间分布操作,帮助攻击者规避防御。安全解决方案可能只能查看部分攻击,并且可能无法检测到单个区域中的足够活动来触发警报。
静态网站 – 允许攻击者使用“静态网站”功能泄露数据,该功能由主要存储云提供商提供,通常不会被经验不足的用户所忽视。
随着存储在云中的数据量持续增长,对保护数据的强大安全措施的需求也在增加。微软发布适用于云的 Defender 可以帮助检测和缓解存储帐户上的威胁。Defender for Storage 由微软威胁情报和行为建模提供支持,可检测异常活动,例如敏感数据泄露、可疑访问和恶意软件上传。通过大规模无代理支持,安全团队可以通过上下文安全警报、修正建议和可配置的自动化来修复威胁。
