据美国联邦调查局报告，勒索软件攻击在2020年增加了20%，损失几乎增加了两倍。我们对云的使用增加可能在这种飙升中发挥了作用。IDC今年早些时候对CISO进行的一项调查发现，98%的公司在过去18个月内至少遭受了一次云数据泄露，而去年这一比例为79%。

很多组织现在会使用数百个基于云的应用程序，这会将数千个新身份添加到其系统中。同时，这为黑客开辟了几乎无限的可能性。即使云供应商有自己的身份和访问管理控制，漏洞也会出现。事实上，最近对云安全的研究发现，超过70%的组织拥有向公众开放的机器，这些机器与身份相关联，而这些身份的权限在适当的条件下很可能会被利用来发起勒索软件攻击。

许多原因可以解释为什么安全性会从许多云系统的裂缝中消失，并使它们更容易受到勒索软件的攻击。

首先，云安全是一项共同的责任。用户组织和云服务提供商共享安全工作，但这有时会导致安全漏洞和风险管理的复杂性。配置错误有时也会发生，例如敏感资产暴露在外部访问之下，或者控制无意中被削弱。还有过度享有权利的问题，其中某些身份的特权远远超出了用户的需求。

此外，安全专业人员还面临着访问密钥管理不善的问题。就像用户需要更改密码一样，访问密钥也需要更改以阻止黑客。许多组织没有有效地使用云提供商的便利。每个云供应商都有自己的身份和访问管理系统来保护他们的服务器，但并非所有组织都使用它们或确保它们与自己的IAM系统配合良好。

以下做法可以防止勒索软件危害云资源

采用最小特权访问策略：这可能是让欺诈者远离您的系统并在他们进入时减轻冲击波的最佳方法。将权限保留在用户完成工作所需的最低限度。您可以将云上的存储桶设为私有，并对其进行配置以减少授权。欺诈者需要能够访问云上的存储桶并更改它们以删除或重新配置其规则以执行勒索软件攻击，因此请将这些操作分开。此外，可以清除任何可能被利用的非活动用户或功能。

消除风险因素：这是安全唾手可得的果实。通过采取诸如轮换访问密钥、为用户启用多重身份验证（MFA）和禁用未使用的凭据等措施，对基础结构进行“扫描”可以获得一些轻松的胜利。但不要让这成为一次性的，这应该是一项长期的努力。

执行日志记录和监视：某些事件（如密钥删除和生命周期配置）可能需要数天时间。通过记录和监视此类敏感操作，组织可以阻止正在进行的勒索软件攻击。越早发现攻击，缓解效果越好。

阻止删除操作：使用云服务开箱即用的本机删除预防机制（例如AWS的MFA删除或对象锁定）来防止恶意删除。对象锁定允许您为对象设置默认保留期，并使对象在期限结束之前无法删除，而在数据存储桶上启用MFA删除需要使用根用户及其MFA令牌来执行某些删除。

复制存储器：在云中配置敏感存储器以将其内容自动备份到专用位置可以持续提高安全性。此备份是一种简单的解决方案，可以减轻勒索软件锁定或删除数据的能力，并且在数据损坏时也可以用作备份。但是，复制数据会增加一些成本，并为欺诈者增加更多的攻击面，因此必须与您的最佳实践保持平衡。

任务可以自动化，访问和权限可以收紧，身份可以更有效地管理，但勒索软件不会消失，要接受漏洞是数字生活的事实，在云中开发强大的安全态势应该是一项持续的工作。（本文出自SCA安全通信联盟，转载请注明出处。）