Cloud Threat Horizons Report – 2026 H1
A Google Cloud jelentése a felhőalapú infrastruktúrákat érő kibertámadások trendjeit elemzi a Google Threat Intelligence Group és a Mandiant tapasztalatai alapján. A jelentés szerint a felhőkörnyezetek elleni támadások egyre inkább identitás- és hozzáférés-alapú kompromittálásokra, valamint a legitim felhőszolgáltatások visszaélésszerű használatára épülnek, miközben a klasszikus malware-alapú támadások relatív jelentősége csökken.
A felhőinfrastruktúrák elleni támadások egyik legfontosabb kiindulópontja továbbra is a hitelesítési adatok kompromittálása. A támadók gyakran gyenge jelszavakat, hiányzó többfaktoros hitelesítést vagy kiszivárgott API-kulcsokat használnak a kezdeti hozzáférés megszerzésére. Az ilyen identitás-alapú támadások különösen veszélyesek, mert a megszerzett fiókok legitim jogosultságokkal rendelkeznek, így a támadók sok esetben anélkül hajthatnak végre műveleteket, hogy klasszikus kártevőt kellene telepíteniük a rendszerbe.
A támadási lánc következő szakaszában a fenyegetési szereplők tipikusan a felhőplatform natív eszközeit és API-jait használják ki. Ez a módszer – living-off-the-cloud – lehetővé teszi számukra, hogy a környezet saját adminisztrációs funkcióit használják laterális mozgásra, adatgyűjtésre vagy jogosultság-kiterjesztésre. Ilyenkor a támadó például módosíthat hozzáférési szabályokat, új szolgáltatásfiókokat hozhat létre vagy automatizált API-hívásokkal tömegesen exportálhat adatokat a tárolórendszerekből.
A jelentés szerint a felhőkörnyezetek kompromittálásának egyik leggyakoribb következménye az adatexfiltráció, amelyet a támadók gyakran saját felhőinfrastruktúrájukba irányítanak. A felhőszolgáltatások használata az exfiltráció során azért hatékony, mert az ilyen forgalom gyakran legitimnek tűnik a hálózati monitorozó rendszerek számára, így nehezebb elkülöníteni a normál üzleti forgalomtól. A támadók emellett saját felhőszolgáltatásaikat is használják malware-hostingra, phishing-infrastruktúrára vagy C2 kommunikációra.
A felhőbiztonsági incidensek jelentős része nem kifinomult technikai exploitokból ered, hanem konfigurációs hibákból és biztonsági alapgyakorlatok hiányából. A nem megfelelően konfigurált tárolók, nyilvánosan elérhető szolgáltatások vagy túl széles jogosultságokkal rendelkező fiókok gyakran egyszerű belépési pontot biztosítanak a támadók számára. Emiatt a jelentés hangsúlyozza a cloud hygiene fontosságát, vagyis a hozzáférések minimalizálását, az identitáskezelés erősítését és a folyamatos konfiguráció-ellenőrzést.
A jelentés stratégiai következtetése szerint a felhőbiztonság egyre inkább identitás- és infrastruktúra-biztonsági problémává válik. A szervezeteknek ezért a klasszikus periméter-védelem helyett olyan megközelítésekre kell építeniük, mint a zero-trust architektúra, a folyamatos identitás-ellenőrzés, a felhőkonfigurációk automatizált ellenőrzése és a naplózási-monitorozási képességek fejlesztése. Ezek az intézkedések lehetővé teszik, hogy a szervezetek gyorsabban észleljék a kompromittált fiókokat vagy a gyanús felhőműveleteket, amelyek a modern felhőalapú támadások legfontosabb indikátorai közé tartoznak.
