Кибернападателите променят начина, по който атакуват облачните среди, като все повече се фокусират върху компрометиране на идентичността, неправилни конфигурации и злоупотреба с услуги на база изкуствен интелект.
В света на киберпрестъпността се забелязва отдалечаване от традиционния зловреден софтуер като основен път към облачните системи. Вместо това атакуващите разчитат на легитимни идентификационни данни, инструменти, разработени в облака, и стандартни интерфейси, като например API.
Този подход им позволява по-лесно промъкване, тъй като може да направи подозрителната активност да изглежда като рутинна администрация за отговорниците по киберзащитата. Изводът е от нов доклад на Google Cloud – „Cloud Threat Horizons“ за първото полугодие на 2026 г.
Анализът е изготвен от офиса на CISO на Google Cloud с участието на Google Threat Intelligence Group, консултантските екипи на Mandiant и други изследователи по сигурността.
Периметър на идентичността
Идентичността е представена като водещ проблем за сигурността на облака. Компрометираните идентификационни данни, свръхпривилегированите акаунти за услуги и слабото управление на идентичностите са често срещани входни врати за пробиви в облака.
Веднъж влезли вътре, атакуващите могат да се движат между ресурсите, използвайки легитимни облачни инструменти и API.
По-ранни проучвания на Google Cloud идентифицираха слабите или липсващи идентификационни данни и грешките в конфигурацията като основни фактори за инцидентите в облака. Новият доклад поддържа този фокус и поставя защитата на самоличността в центъра на стратегията за облачна сигурност.
Промяната става все по-важна, тъй като организациите често използват средства за автоматизация, интеграции и машинни идентичности в хибридни и многооблачни среди. Наличието на повече връзки между услуги и автоматизирани работни процеси увеличава броя на самоличностите, които трябва да бъдат управлявани, наблюдавани и преглеждани.
Пропуски в конфигурациите
Неправилните конфигурации остават ахилесовата пета на облачните среди. Те могат да осигурят първоначален достъп или да позволят ескалация на привилегиите. Докладът свързва този риск с нарастващата архитектурна сложност, тъй като предприятията внедряват множество платформи, управлявани услуги и канали за разработка.
Екипите по сигурността трябва да проследяват голям брой настройки, разрешения и мрежови експозиции в различни акаунти и проекти. Малките грешки могат се окажат широко отворена порта за нападателите. Докладът определя това като перманентно предизвикателство за хигиената на сигурността, а не като нишов технически проблем.
Изследването също така отбелязва, че много атаки сега злоупотребяват с легитимни услуги или административни функции, вместо да внедряват персонализиран зловреден софтуер. Това може да позволи на нападателите да останат незабелязани, докато преследват цели като кражба на данни, внедряване на рансъмуер или прекъсване на услуги.
Добре прицелени AI услуги
Докладът подчертава нарастващия интерес на нападателите към услуги с изкуствен интелект и машинно обучение, хоствани в облака. Тъй като организациите внедряват инструменти с изкуствен интелект в бизнес-дейностите си, атакуващите проучват начини да експлоатират именно тези услуги като входни портали за атаки.
Компрометираните AI ресурси могат да създадат нови рискове, включително кражба на данни и манипулиране на модели. Докладът също така предупреждава, че нападателите могат да използват AI ресурси за по-нататъшна злонамерена дейност, включително автоматизирани фишинг кампании и разработване на зловреден софтуер.
Констатациите отразяват по-цялостните нагласи сред анализаторите по сигурността, че изкуственият интелект ще играе по-голяма роля в кибероперациите. Докладът предполага, че нападателите биха могли да използват технологията, за да увеличат мащаба и скоростта на дейността си и да повишат сложността.
Облакът като прикритие
Нападателите не само се прицелват в облачните среди; те също така използват легитимна облачна инфраструктура, за да управляват някои аспекти от своите дейности. Докладът казва, че киберпрестъпниците разчитат на облачни услуги за хостване на зловреден софтуер, управление на системи за командване и контрол и организиране на атаки.
Работата в добре познати облачни платформи може да направи злонамерения трафик да изглежда по-надежден и да намали ефективността на по-старите подходи за сигурност, които разчитат на блокиране на непозната инфраструктура.
Докладът призовава организациите да наблюдават както собствените си облачни инфраструктури, така и инфраструктурата, хоствана в облака, използвана от злонамерени лица.
Приоритети в защитата
Докладът препоръчва да се даде приоритет на контрола на идентичностите, непрекъснатото наблюдение и по-строгата хигиена на облачната сигурност. Той призовава за достъп с най-малки привилегии. Необходимо е да се прилага подобрено управление на идентификационните данни и да се правят редовни одити на конфигурациите.
Разузнаването и атоматизирането на дейностите по сигурността също фигурират в препоръките. Интегрирането на разузнавателните дейности и автоматизацията в облачни среди може да подобри откриването и да ускори реагирането.
Тъй като организациите продължават да мигрират критични дейности в облачни среди, докладът описва облачната сигурност като стратегически приоритет, който трябва да се развива с промяната на тактиките на нападателите.
