綠盟科技集團股份有限公司（以下簡稱綠盟科技），成立于2000專業(yè)名詞解釋云上數據泄露事件分類說明客戶信息公正材料存在泄露風險1近年來，隨著云計算技術的迅猛發(fā)展，企業(yè)在公有云和混合云環(huán)境中的業(yè)務部署顯著增加，隨之而來的云租戶及云環(huán)境安全風險也大幅提升，尤其是云上數據泄露風險持續(xù)攀升，綠盟科技創(chuàng)新研究院在云上風險發(fā)現和數據泄露領域已有多年深入研究，目前已發(fā)布了上風險測繪篇》[2]和《2023公有云安全風險分析報告》[3]。2023年，全球發(fā)生了多起云上數據泄露事件，例如，2023年2月，由于配置錯誤，DigitalOcean的對象存儲公開可訪問，導致印度跨國銀行的數百萬條數據泄露[4]，2023年5月，ToyotaConnected因云配置錯誤今年我們持續(xù)關注全球云上數據泄露風險態(tài)勢，本報告首先對2024上半年發(fā)生的云上據綠盟科技創(chuàng)新研究院的統(tǒng)計，2024年上半年全球發(fā)生了16起云上數據泄露事件，泄露總量約為12億公民隱私數據。在16起事件中，發(fā)生云上數據泄露事件最多的國家是美國，共原因方面，11起事件是由雜項錯誤引起，造成約2567萬數據泄露；1起事件是由Web應用攻擊引起，造成約1.25億數據泄露；4起事件是由系統(tǒng)入侵引起，造成約10.5億數據泄露。本報告主要聚焦于事件成因分析。由于大多數事件成因相似，限于篇幅，我們選取了十起典最后，根據事件背后的成因分析，我們針對性地提出了相應的安全建議。本報告旨在提升公眾對云上數據泄露的關注，并深入了解其背后成因，以便及時采取有效措施降低云上數2ATT&CK：MITRE在2013年推出了ATT&CTechniques,andCommonKnowledge(ATT&CK)，它是一個站在攻擊者的視角來描述攻擊中各階段用到的技術的模型[6]。將已知攻擊者行為轉換為結構化列表，將這些已知的行為匯總成戰(zhàn)術和技術，并通過幾個矩陣以及結構化威脅信息表達式(STIX)、指標信息的可信自動事件分類：在云上數據泄露事件的視角下，事件分類可以幫助企業(yè)識別、分析和應對不4在對2024年上半年的云上數據泄露事件進行深入分析之前，我們首先歸納云上數據泄露事件的主要攻擊路徑和手法，并梳理云上數據泄露事件分類，有助于讀者在后續(xù)的具體事關于事件分類，我們參考了VERIZON數據泄露報告[7]中的事件分類模式（IncidentClassificationPatterns）,其中包括以下八種模式：●BasicWebApplicationAttacks：基礎Web應用攻擊，攻擊主要針對Web應用程序，●DenialofService：拒絕服務攻擊，此類攻擊旨在破壞網絡和系統(tǒng)的可用性，包括網●LostandStolenAssets：遺失和被盜竊的資產，包括由于誤放置或惡意行為而丟失●MiscellaneousErrors：雜項類錯誤，涵蓋因無意行為直●PrivilegeMisuse：特權濫用，此類攻擊主要指未經授權或惡意使用合法權限所導致●SocialEngineering：社會工程學，此類攻擊涉及對人的心里操控，誘使受害者采取●SystemIntrusion：系統(tǒng)入侵，指相對復雜的攻擊，如利用惡意軟件和黑客技術實現●EverythingElse：其他項，泛指不符合以上7種分類模式范圍的事件類型。關于云上攻擊路徑及其涉及的具體技術，我們引用了MITREATT&CK矩陣1，在接下來的章節(jié)中，我們將從多個維度對具體事件進行深入解讀,包括：事件時間、泄露規(guī)模、事件回顧、事件分析、VERIZON事件分類以及所使用的MITREATT&CK技術，這些維度將幫助1/62.1西班牙房屋租賃公司EscapadaRural泄露300萬客戶信息事件時間：2024年1月8日泄露規(guī)模：約290萬客戶的個人信息，包含姓名、電子郵件地址、電話號碼等2024年1月8日，Cybernews研究團隊發(fā)現一個允許任意用戶訪問的AmazonS3對象存儲服務，并定位到該服務歸屬于西班牙一家提供房屋租賃服務的公司――Escapada性別、出生日期和電話號碼等。另外，該S3對象存儲中還包含一個數據庫備份文件，但其中信息并不太敏感，多是一些來自booking和其他平臺的房產列表信息。Cybernews研究團隊進一步研究發(fā)現，他們并不是第一個發(fā)現該暴露服務的。2023年7月，不法分子louhunter已將該數據集發(fā)布在BreachForums論壇1進行售賣。而Escapada1https://breachforums.st/72024上半年全球云上數據泄露典型事件解讀圖1S3對象存儲中的敏感信息AmazonS3是亞馬遜云提供的一項對象存儲服務，它提合規(guī)性和訪問控制功能保護用戶的數據安全[8]。但是對于對象存儲服務的訪問，Amazon并導致此次數據泄露事件的主要原因是服務配置錯誤。EscapadaRural公司未對其使用的AmazonS3對象存儲服務配置安全的訪問控制策略，可能導致任何人均可公開訪問該對象存VERIZON事件分類：MiscellaneousErrors（雜項錯誤）8T1593搜索開放網站/域.002搜索引擎T1133外部遠程服務攻擊者識別暴露服務中的AmazonS3對象存儲服務。T1587開發(fā)功能.004利用工具T1530云存儲中的數據攻擊者訪問AmazonS3對象存儲服務的數據。T1567通過Web服務外泄參考鏈接：/security/data-leak-escapada-rural/92024上半年全球云上數據泄露典型事件解讀2.2在線詞典Glosbe泄露近700萬用戶數據事件時間：2024年3月7日泄露規(guī)模：700萬用戶個人數據、加密密碼、社交媒體賬號及其他信息2023年12月，Cybernews研究團隊發(fā)現一個互聯網中能夠公開訪問的MongoDB數據通過分析，Cybernews研究團隊定位到該服務歸屬于Glosbe在線詞典，它號稱支持世界上Cybernews研究團隊于當月聯系了Glosbe官方人員通報此次事件。雖然Glosbe并未對此進行正面回復，但涉事MongoDB服務已被關閉。2024年3月，Cybernews研究團隊在官圖2Mongo數據實例截圖MongoDB是一種面向文檔的數據庫系統(tǒng)，廣泛用于處理非結構化數據[9]。MongoDB社區(qū)版的默認配置不會啟用訪問控制和身份驗證機制，這意味著數據庫在安裝后，如果沒有進），這些配置錯誤讓攻擊者能夠輕松使用掃描工具發(fā)現并訪問未保護的數據庫實例，從而竊VERIZON事件分類：MiscellaneousErrors（雜項錯誤）T1593搜索開放網站/域.002搜索引擎T1133外部遠程服務攻擊者識別暴露服務中的MongoDB服務。T1587開發(fā)功能.004利用工具攻擊者開發(fā)對MongoDB服務進行安全測T1530云存儲中的數據T1567通過Web服務外泄參考鏈接：/security/glosbe-dictionary-leaks-user-data/2024上半年全球云上數據泄露典型事件解讀2.3谷歌云服務GoogleFirebase泄露1.25億條用戶記錄事件時間：2024年3月18日泄露規(guī)模：數百個網站暴露了總計約1.25億條用戶記錄2024年3月18日，三位獨立安全研究員發(fā)表了一篇帖子，稱他們掃描了5.5萬個網站中的JavaScript代碼，發(fā)現超900個GoogleFirebase憑證信息，可能導致近1.25億條用戶GoogleFirebase1是一項由Google提供的云服務，通過提供實時數據庫、認證、云存儲、云函數、推送通知等一系列工具和服務，幫助開發(fā)者構建高質量的應用程序[10]。雖然GoogleFirebase提供了完善、可擴展安全規(guī)則，用于保護用戶在CloudFirestore、FirebaseRealtimeDatabase和CloudStorage中存儲的數據，但它并不會對用戶配置的不安全規(guī)則進導致此次數據泄露事件的一個原因是由于開發(fā)者在網站開發(fā)過程中硬編碼了明文GoogleVERIZON事件分類：BasicWebApplicationAttacks（基礎Web應用攻擊）T1593搜索開放網站/域.002搜索引擎T1587開發(fā)功能.004利用工具攻擊者開發(fā)用于收集GoogleFirebase憑證的工具。T1133外部遠程服務T1588獲得能力.002工具T1078有效賬戶.004云賬戶T1530云存儲中的數據攻擊者訪問GoogleFirebase中的數據。T1567通過Web服務外泄參考鏈接：https://env.fail/posts/firewreck-1/1/?hl=zh-cn2.4中國某公證處1.9萬公民信息、公正材料存在泄事件時間：2024年3月28日泄露規(guī)模：1.9萬公民信息、公正材料2023年3月，綠盟科技創(chuàng)新研究院發(fā)現一個部署在阿里云上的Gogs源代碼倉庫，且未存在任何訪問控制策略和身份認證機制。該源代碼倉庫的所有源代碼項目可被任意訪問和下載。部分源代碼中包含數據庫、對象存儲服務憑證，導致超1.9萬敏感信息存在泄露風險，研究員通過技術手段定位到該鏡像倉庫的歸屬組織機構為國內公證機構后，第一時間將此情報通報給該公司屬地監(jiān)管單位，并協助監(jiān)管單位對涉事公司存在的數據泄露風險進圖3Gogs泄露敏感數據截圖Gogs是一款極易搭建的自助Git服務。Gogs旨在打造一個以最簡便的方式搭建簡單、穩(wěn)定和可擴展的自助Git服務[11]。Gogs支持多種授權認證方式：LDAP-BindDN、LDAP-simpleauth、PAM、SMTP及Freeipa。但若未在Gogs啟動時配置相關授權認證文件，則Gogs是存在未授權訪問的。只要互聯網可達，任何人都可以對Gogs進行訪問，查看其中的導致此次事件的原因主要有三點，第一，所使用搭建代碼倉庫的云服務器未設置網絡相關的訪問控制策略；第二，未開啟Gogs代碼倉庫的授權認證機制；第三，源代碼項目配置文件中硬編碼了明文重要憑證。最終，導致該公證處多個后端系統(tǒng)源代碼、公民信息、公正2024上半年全球云上數據泄露典型事件解讀VERIZON事件分類：MiscellaneousErrors（雜項錯誤）T1593搜索開放網站/域.002搜索引擎T1133外部遠程服務T1587開發(fā)功能.004利用工具T1552不安全憑證.001文件中的憑證T1078有效賬戶.004云賬戶T1530云存儲中的數據T1567通過Web服務外泄2.5愛爾蘭出租車軟件公司iCabbi泄露近30萬乘客信息事件時間：2024年4月11日2024年4月，VPNMentor1的安全研究員JeremiahFowler發(fā)現一個未設置密碼的數據庫，其中包括乘客的姓名、電子郵件和電話號碼等個人詳細信息。經Fowler分隨后，Fowler就風險情況通知了iCabbi，該公司承認此次事件，并表示已采取措施并通Fowler提醒用戶警惕來自出租車服務提供商的網絡釣魚攻擊和可疑郵件，尤其是當攻擊由于事件披露的信息中并未提及關于數據庫的更多信息，我們無法做更多的分析。但其原因和事件2在線詞典Glosbe泄露近700萬用戶數據事件相似，均是由于未限制數據庫訪VERIZON事件分類：MiscellaneousErrors（雜項錯誤）T1593搜索開放網站/域.002搜索引擎T1133外部遠程服務T1587開發(fā)功能.004利用工具T1530云存儲中的數據T1567通過Web服務外泄參考鏈接：https://www.independent.ie/business/technology/personal-information-of-287000-taxi-passengers-exposed-in-data-breach/a355367209.html1/2/about-us/2024上半年全球云上數據泄露典型事件解讀2.6巴西游戲開發(fā)公司AsanteeGames泄露數百萬玩家信息事件時間：2024年4月21日泄露規(guī)模：超過1400萬名玩家的個人數據，包括用戶名、電子郵件、設備數據、游戲AsanteeGames1是一家成立于2012年的小型游戲開發(fā)工作室。該公司的《MagicRampage》游戲在Android和iOS平臺上的下載量超過1000萬次。Cybernews研究團隊發(fā)現，該公司發(fā)生了一次嚴重的數據泄露事件，該事件影響了超過1400萬名《MagicRampage》游戲玩家。泄露的數據包括玩家的用戶名、電子郵件、設備數據、游戲統(tǒng)計信息和管理員憑隨后，Cybernews研究團隊將該事件通知了AsanteeGames，雖然該公司反饋已立即采MongoDB是一種面向文檔的數據庫系統(tǒng)，廣泛用于處理非結構化數據。MongoDB社區(qū)版的默認配置不會啟用訪問控制和身份驗證機制，這意味著數據庫在安裝后，如果沒有進一1.br/本次AsanteeGames的泄露事件中，同樣是由于配置錯誤所導致，由于未配置合理的訪問控制策略，因而導致攻擊者能夠輕松使用掃描工具發(fā)現并訪問未保護的數據庫實例，從而VERIZON事件分類：MiscellaneousErrors（雜項錯誤）T1593搜索開放網站/域.002搜索引擎T1133外部遠程服務攻擊者識別暴露服務中的MongoDB服務。T1587開發(fā)功能.004利用工具攻擊者開發(fā)對MongoDB服務進行安全測T1530云存儲中的數據T1567通過Web服務外泄參考鏈接：/security/magic-ramasantee-games-data-leak/2024上半年全球云上數據泄露典型事件解讀2.7全球票務公司Ticketmaster泄露約5.6億用戶信息事件時間：2024年5月28日2024年5月28日，Hackread1報道了一起涉及Ticketmaster2的嚴重數據泄露事件，如圖5所示，Ticketmaster約5.6億用戶的身份信息被黑客組織ShinyHunters3在BreachForum圖5在暗網上售賣的Ticketmaster相關信息2023年5月31日，Ticketmaster的母公司LiveNationEntertainment在向美國證券交易委員會（SEC）提交的一份文件中確認[12]，其1/2/wiki/Ticketmaster3/wiki/ShinyHunters大量未授權訪問。這一事件主要涉及TicketmasterLLC的公司數據。盡管該事件的潛在影響被認為對公司業(yè)務不大，但LiveNationTicketmaster在其官方網站上發(fā)表了聲明，重申用戶的Ticketmaster賬戶是安全的，并強調此次數據泄露源自第三方數據服務供應商。泄露的數據庫包含北美（包括美國、加拿大和墨西哥）活動門票購買者的客戶信息[13]。Ticketmaster表示，他們正在通過電子郵件或書面形式通知受影響的客戶，并與執(zhí)法部門及銀行合作進行調查。此外，為了保護客戶數據安全，Ticketmaster承諾為相關客戶提供12個月的免費身份監(jiān)控服務。Ticketmaster聲稱他們正在郵件或者書面通知受影響的客戶，并與執(zhí)法部門、銀行進行合作調查。同時，Ticketmaster承諾將為相關客戶免費提供12個月的身份監(jiān)控服務，以保雖然LiveNation和Ticketmaster在回應中沒有明確指出具體的第三方公司，但據Hackread的跟蹤報道，涉及的公司可能是SnowflakeInc.[14]。Snowflake是一家提供SaaS化數據庫服務的公司，為超過1萬家公司提供服務1。Snowflake隨后在官方網站上發(fā)表了聲根據Mandiant分享的Snowflake攻擊調查文章，數據泄露事件的根本原因被認定為憑證泄露[16]。報告顯示，在這次數據泄露中，超過79.7%的Snowflake客戶憑證曾被各種信息竊取軟件盜取，涉及的惡意軟件包括VIDAR、RISEPRO、REDLINE、RACOONSTEALER、LUMMA和METASTEALER等。Mandiant的調查還發(fā)現，一名Snowflake前雇員的個人憑證被竊取，攻擊者利用該憑證訪問了Snowflake。然而，Snowflake聲明該賬戶用于測試，且不含敏感數據，與此次數據泄露事件無關聯。這些被植入惡意軟件的設備通常來自Snowflake的客戶或外包公司的服務如圖6所示，如果Snowflake未啟用多因素身份驗證，攻擊者（UNC5537）可以通過被可以通過匿名VPS上的SnowSight（可視化界面）或SnowSQL（命令行工具）連接客戶的Snowflake實例。此外，他們甚至可以分析和收集數據中的其他認證口令，以獲取更多敏感1/en/company/overview/about-snowflake/2024上半年全球云上數據泄露典型事件解讀圖6Snowflake攻擊路徑示意圖VERIZON事件分類：SystemIntrusion(系統(tǒng)入侵）T1589收集受害者身份信息攻擊者可能利用社交媒體或網絡引擎引擎收集受害者電子網郵件T1566網絡釣魚.002魚叉式網絡釣魚-鏈接T1204用戶執(zhí)行.001惡意連接.002惡意文件T1087賬號發(fā)現.004云賬戶通過惡意程序獲取受害者本地信息，發(fā)現Snowflake憑證T1078有效賬戶.004云賬戶通過惡意程序竊取Snowflake憑證，使用Snowflake憑證登錄Snowflake服務。T1041通過C2通道進行參考鏈接：/hackers-ticketmaster-data-breach-560m-users-sale/202.8中國某信息技術公司自建鏡像倉庫存在泄露風險事件時間：2024年5月23日2023年5月23日，綠盟科技創(chuàng)新研究院發(fā)現一個部署在阿里云上的Harbor鏡像倉庫存在未授權訪問的鏡像。能夠訪問的鏡像文件中包含數據庫、對象存儲服務憑證，導致超18研究員通過技術手段定位到該鏡像倉庫的歸屬組織機構為國內某信息技術公司后，第一時間將此情報通報給該公司屬地監(jiān)管單位，并協助監(jiān)管單位對涉事公司存在的數據泄露風險Harbor是一個開源的企業(yè)級DockerRegistry管理項目，由VMware公司開源[17]。Harbor提供了集中式的鏡像管理、安全性控制、鏡像復制等功能，幫助用戶更好地管理和存儲Docker鏡像。雖然Harbor有完整的訪問控制機制，但若使用者將鏡像項目設置為公開，則任意用戶可以對其進行訪問和拉取。這是H212024上半年全球云上數據泄露典型事件解讀最后，該鏡像文件系統(tǒng)中的配置文件中硬編碼了明文數據庫的配置信息，從而導致該信VERIZON事件分類：MiscellaneousErrors（雜項錯誤）T1593搜索開放網站/域.002搜索引擎T1133外部遠程服務T1587開發(fā)功能.004利用工具T1552不安全憑證.001文件中的憑證T1078有效賬戶.004云賬戶T1530云存儲中的數據T1567通過Web服務外泄222.9美國電信巨頭AT&T泄露約1.1億用戶電話記錄事件時間：2024年7月12日攻擊者幾乎竊取了2022年5月1日至2022年10AT&T表示，其已于4月19日發(fā)現了此次數據泄露事件，隨即聘請網絡安全專家展開調查并上報了監(jiān)管機構。AT&T表示本次事件與3月份的數據泄露事件[18]無關，發(fā)言人Huguely向TechCrunch透露，此次泄露的數據是從Snowflake上竊取的。于第三方云平臺的非法下載，目前這些被盜的數據尚未公開，他們正在與執(zhí)法部門合作以逮由于對國家安全或公共安全存在潛在風險，此次數據泄露事件AT&T沒有披露更多細節(jié)。但這是繼事件七全球票務公司Ticketmaster泄露約5.6億用戶信息和美國汽車售后零部件供應商AdvanceAutoParts在Snowflake內存儲的數據被盜事件[20]、QuoteWizard在Snowflake中存儲的數據被竊取事件[21]之后又一起由于Snowflake憑證泄露導致的數據泄露事件，特別是AdvanceAutoParts事件泄露了3.8億份客戶資料，影響范圍之廣泛，令人擔憂。由此看來，Snowflake數據被盜似乎已屢見不鮮。攻擊者利用先前購買或竊取的憑證，直接登錄了未開啟多因素認證的Snowflake賬號，并竊取了其中的用戶數據。值得欣慰的是，Snowflake在最近的申明中表示，其正在制定一VERIZON事件分類：SystemIntrusion(系統(tǒng)入侵）1/wiki/TechCrunch2/232024上半年全球云上數據泄露典型事件解讀T1589收集受害者身份信息T1566網絡釣魚.001魚叉式網絡釣.002魚叉式網絡釣T1204用戶執(zhí)行.001惡意連接.002惡意文件T1087賬號發(fā)現.004云賬戶通過惡意程序獲取受害者本地信息，發(fā)現Snowflake憑證T1078有效賬戶.004云賬戶通過惡意程序竊取Snowflake憑證，使用Snowflake憑證登錄Snowflake服務。T1041通過C2通道進行數參考鏈接：/2024/07/12/att-phone-records-stolen-data-breach/?guccounter=1242.10豐田公司泄露240GB員工和客戶信息事件時間：2024年8月16日泄露規(guī)模：240GB的文件，包含豐田員工和客戶的信息以及合同和財務信息2024年8月16日，黑客組織ZeroSevenGroup表示侵入了一家美國機構，竊取到了240GB文件，其中包含豐田員工和客戶的信息及合同和財務信息。另外，他們還聲稱會提供帶有密碼的所有目標網絡的ADRecon1。雖然豐田沒有透露泄露的日期，但BleepingComputer發(fā)現這些文件可能已于2022年12月25日被盜。表示他們正在與可能受影響的員工和客戶對接，并在需要時提供幫助。最后，他們聲稱這些圖8黑客組織ZeroSevenGroup發(fā)布的事件截圖1ADRecon是一種從AD域環(huán)境中進行信息收集的工具，包括Domain、Trusts、Subnets等。ADRecon可以從能夠連252024上半年全球云上數據泄露典型事件解讀AD域（ActiveDirectoryDomain）是微軟Windows網絡環(huán)境中的一個核心概念，它是微軟提供的一種目錄服務，存儲了網絡中各類資源信息，如用戶賬戶、組、計算機、共享資黑客組織ZeroSevenGroup可能通過某種攻擊方式拿到目標主機權限，并使用ADRecon工具在主機中進行信息收集。最終，ZeroSevenGroup發(fā)現并竊取了240GB的文件，涉及豐田北美公司。泄露文件內容包含：聯系人、財務、客戶、計劃、員工、照片、數據庫、網絡VERIZON事件分類：SystemIntrusion（系統(tǒng)入侵）T1588獲得能力.002工具T1059命令行和腳本解釋器.001PowerShellT1552不安全憑證.001文件中的憑證T1530云存儲中的數據T1567通過Web服務外泄參考鏈接：/news/security/toyota-confirms-third-party-data-breach-impacting-customers/27前文我們對全球上半年云上數據泄露事件進行了詳細解讀，如圖9所示，從事件分類模式上看，雜項錯誤是導致數據泄露的主要原因，占比高達60%。其次為系統(tǒng)入侵和基礎Web應用攻擊，分別占30%和10%。圖92024上半年云上數據泄露事件類型分布其中，雜項錯誤主要是錯誤配置導致的未授權訪問，系統(tǒng)入侵則是通過社工、掃描攻擊主要是通過爬蟲等技術獲取憑證或未授權的服務訪問路徑。下面我們將針對上述事件分類模3.1針對雜項錯誤的安全建議2024年上半年云上數據泄露事件中，其中絕大多數事件是由于服務訪問控制策略配置不當導致的。這些云服務包含公有云提供的服務也包括自建類服務，如MongoDB、GoogleCloudStorage和AmazonS3對象存儲等均是因為配置了公開訪問才進一步導致數據泄露。1.通過配置防火墻、訪問控制列表（ACL）、角色訪問控制（RBAC）或者服務監(jiān)聽策28略等方式縮小服務暴露范圍。例如通過配置bindIp參數，限制MongoDB只監(jiān)聽特定的私有網絡地址。如圖10所示，在mongod.conf中設置：圖10MongoDB監(jiān)聽配置2.禁止服務匿名訪問策略，如修改m"enabled”，禁止MongoDB匿名訪問；3.監(jiān)控和記錄所有訪問請求，并配置異常活動告警。如公有云服務可直接開啟云審計和告警服務。例如，使用awscloudtrailcreate-trail配置跟蹤訪問日志，并設置告警以監(jiān)測異常3.2針對系統(tǒng)入侵的安全建議1.設置網絡隔離策略，如根據資產或業(yè)務設置多個微分段網絡2.啟用多因素身份驗證（MFA增強高敏感系統(tǒng)和數據的訪3.定期輪換服務賬戶的訪問密鑰和API密鑰，并及時撤銷不再使用的密鑰?？衫迷茝S商的密鑰管理服務（KeyManagementServiceKMS4.實施集中憑證管理，防止憑證泄露。如使用AWSSecretsManager或AzureKeyVault；5.定期為員工提供云安全培訓，內容涵蓋配置管理、數據保護、憑證管理、安全監(jiān)控和7.對所有敏感數據進行加密處理，無論是靜態(tài)存儲還是傳輸過程中的數據，確保即使數291.建立Web應用反爬機制，如針對頻2.建議強制啟用多因素身份驗證（MFA即使攻擊者獲取了用戶名和密碼，也無法輕4.服務定期提醒用戶修改密碼，若未及時修改3.4其他建議除以上針對性建議外，用戶還可以參考通用1.使用外部攻擊面管理平臺（EASM）方案，掃描和監(jiān)控網絡資產，識別公網暴露資產、漏洞和配置錯誤，結合真實攻擊路徑評估可能存在泄露風險的資產和數據。借助這些自動化2.實施供應商訪問控制管理，限制第三方對內部系統(tǒng)和數據的訪問權限，如云廠商提供31包括主流云攻擊手法和配置錯誤等人為因素。為了更清晰地描述云上數據泄露的攻擊路徑，我們引用了MITREATT&CK模型中的攻擊手法并進行了說明，有助綠盟科技創(chuàng)新研究院在云上風險發(fā)現和數據泄露領域已經開展了多年的研究。借助Fusion數據泄露偵察平臺，我們已監(jiān)測到數萬個云端暴露資產存在未授權訪問的情況，包括Fusion是由綠盟科技創(chuàng)新研究院研發(fā)的一款面向數據泄露測繪的創(chuàng)新產品，集探測、識別、泄露數據偵察于一體，針對互聯網中暴露的泛云組件進行測繪，識別組件關聯的組織機圖11Fusion能力全景圖Fusion的云上風險事件發(fā)現組件具有如下主要特色能力：資產掃描探測：通過多個分布式節(jié)點對目標網段/資產進行分布式掃描探測，同時獲取外部平臺相關資產進行融合，利用本