2025-04-02
科技趨勢

防範雲端勒索攻擊!SentinelOne 如何透過 SSE-C 加密保護您的關鍵資料

ALL_news_25D02_fBg7GTc8sT

雲端勒索攻擊與 SSE-C 加密:SentinelOne 的防禦策略

隨著企業將資料逐步遷移至雲端,雲端勒索軟體攻擊日益成為一個嚴重威脅。近年來,AWS S3SSE-C(使用客戶提供金鑰的伺服器端加密) 功能被勒索軟體攻擊者濫用,這一機制原本用來增強資料加密安全性,卻被攻擊者利用進行資料加密和勒索。本文將介紹 SentinelOne 如何防範此類攻擊,保障企業免於資料加密勒索的威脅。

SSE-C 加密概述

SSE-C 是 Amazon S3 的一項功能,允許客戶提供自有的加密金鑰來加密儲存的物件。客戶負責金鑰的管理,而 AWS 只在儲存過程中使用這些金鑰進行加密和解密。雖然這樣提供了對資料加密的完全控制權,但也使得攻擊者有機會濫用這一特性進行勒索攻擊。

勒索攻擊如何濫用 SSE-C?

勒索軟體攻擊者通常通過獲得 AWS 憑證來進行入侵,這些憑證可能來自網路釣魚、憑證填充、或公開的存儲庫。攻擊者成功入侵後,利用 AWS 的 SSE-C 加密,將資料以他們自己的金鑰重新加密。這樣一來,客戶將無法解密這些資料,攻擊者便能要求贖金以換取解密金鑰。

攻擊過程

  1. 憑證洩漏: 攻擊者透過網路釣魚或洩漏的 AWS 憑證獲取存取權限。
  2. 濫用 SSE-C: 攻擊者將資料上傳至 S3 並以自己的金鑰重新加密,這使得客戶無法在未獲得金鑰的情況下存取資料。
  3. 索取贖金: 最終,攻擊者將留下贖金通知,要求企業支付金錢以換取解密金鑰。


為何 SSE-C 成為攻擊目標?

SSE-C 在設計上讓金鑰完全由客戶掌控,這對合法用戶來說是安全保障,但對攻擊者卻是可利用的弱點。攻擊者只需要具備基本的 S3 操作權限(例如 GetObject PutObject),就可以覆蓋資料並加密物件 。此外,AWS 的標準監控服務(如 CloudTrail)雖然記錄了操作日誌,但並未能自動識別 SSE-C 的濫用行為,使得攻擊更加隱蔽。

SentinelOne 如何防範這類勒索攻擊?

1. 即時威脅偵測與回應
SentinelOne 的 Singularity™ 平台 提供強大的即時偵測回應功能,能夠在雲端環境中檢測到異常行為,並即時發出警報。Storyline Active Response (STAR) 引擎基於行為分析,可以識別不尋常的 S3 操作,如對大量物件進行 SSE-C 重新加密覆蓋。透過結合 CloudTrail 資料事件,SentinelOne 能夠對懷疑的勒索攻擊行為進行即時監控並發出警告,幫助安全團隊迅速做出反應。

2. 多層防禦策略
SentinelOne 不僅提供 主動的威脅防禦,還通過 雲端原生安全性(CNAPP) 提供預防性安全策略。平台會掃描雲端資源的配置,發現錯誤配置或漏洞風險,並幫助企業加強儲存桶的安全設置,如確保開啟 S3 版本控制、啟用 MFA Delete 防止資料被刪除,降低勒索軟體對資料的破壞性影響 。

3. 錯誤配置檢測與修復
SentinelOne CNS 會自動識別 S3 儲存桶 中可能的錯誤配置,如未啟用版本控制或缺少 MFA Delete 防護,這些配置會使資料容易受到勒索攻擊的威脅。透過自動檢測與修復,SentinelOne 幫助企業確保資料的完整性與可恢復性,即使遭遇加密攻擊,也能迅速恢復未受影響的舊版本。

4. 防範濫用 SSE-C
對於 SSE-C 的濫用,SentinelOne 透過其強大的 行為監控 功能,能夠識別異常的加密行為。一旦偵測到不正常的 SSE-C 操作,平台會立即進行標註並觸發警報。企業可根據警報快速檢視被加密的物件,並在必要時立即啟動應急響應流程,確保不會對企業資料造成永久性損害。

 

如何降低雲端勒索風險?

  1. 啟用版本控制與 MFA Delete
    企業應開啟 S3 版本控制,確保儲存桶中的所有物件都會保留歷史版本,避免攻擊者重新加密並覆蓋資料後,導致資料無法恢復。此外,啟用 MFA Delete 增加刪除物件或停用版本控制的難度,即使攻擊者獲得 AWS 憑證,也無法輕易刪除舊版本資料,從而保證資料的可恢復性。
  2. 嚴格的身份與存取管理(IAM)策略
    企業應該實施 最小權限原則,確保只有經過授權的使用者和應用程式才能存取 S3 儲存桶和執行必要操作。此外,應使用 多重身份驗證(MFA) 防止憑證洩漏後的濫用。
  3. 限制 SSE-C 的使用
    若不必要使用 SSE-C,應限制其在企業中的應用。通過配置 S3 儲存桶策略AWS Organizations 的服務控制策略(SCP),僅允許特定工作流使用 SSE-C,從而降低未經授權的加密操作風險 。
  4. 定期監控與警報設置
    最後,定期開啟並監控 CloudTrail 資料事件,設置 自動警報,以及建立 異常偵測規則。當發現有異常的加密或覆蓋行為時,系統會立刻發出警報,並協助企業快速處理,防止攻擊擴大。

結論

隨著雲端環境的普及,SSE-C 加密功能雖然提升了資料的安全性,但也被勒索軟體攻擊者濫用來加密資料,增加了企業遭受攻擊的風險。SentinelOne 的 Singularity™ 平台 提供了多層防禦,結合 即時威脅偵測與回應、雲端原生安全防護以及異常行為檢測,幫助企業有效識別與防範此類勒索攻擊。透過強化資料存儲策略、限制不必要的加密功能、並實施嚴格的身份驗證和權限管理,企業能夠大幅降低因為 SSE-C 濫用而遭遇勒索攻擊的風險。


透過 SentinelOne,企業不僅能及時偵測和回應勒索攻擊,還能加強對雲端環境的全面保護,保證資料安全並確保業務持續運營。

 

SentinelOne為您守護端點安全,免費試用30天中

想了解SentinelOne更多應用與功能,歡迎隨時與樂雲聯絡試用,或參閱產品介紹

 

 

我們使用 Cookie 以允許我們網站的正常工作、個性化設計內容和廣告、提供社交媒體功能並分析流量。我們還同社交媒體、廣告和分析合作夥伴分享有關您使用我們網站的信息

管理Cookies

隱私權偏好設定中心

我們使用 Cookie 以允許我們網站的正常工作、個性化設計內容和廣告、提供社交媒體功能並分析流量。我們還同社交媒體、廣告和分析合作夥伴分享有關您使用我們網站的信息

查看隱私權政策

管理同意設定

必要的Cookie

一律啟用

網站運行離不開這些 Cookie 且您不能在系統中將其關閉。通常僅根據您所做出的操作(即服務請求)來設置這些 Cookie,如設置隱私偏好、登錄或填充表格。您可以將您的瀏覽器設置為阻止或向您提示這些 Cookie,但可能會導致某些網站功能無法工作。

行銷的Cookie

行銷 Cookie 能用來追蹤訪客造訪網站的歷程。目的是用來顯示與個別使用者相關或吸引他們的廣告,因此對發佈者或第三方廣告商而言比較重要。

定向 Cookie
這些 Cookie 由廣告合作夥伴通過我們的網站進行設置。這些公司可能利用 Cookie 構建您的興趣分佈圖並向您展示其他網站上的相關廣告。它們只需識別您的瀏覽器和設備便可發揮作用。如果您不允許使用這些 Cookie,您將不能體驗不同網站上的定向廣告。

社交媒體 Cookie
這些 Cookie 由我們已添加到網站上的一系列社交媒體服務設置,使您能夠與朋友和網絡共享我們的內容。它們能夠通過其他網站跟踪您的瀏覽器並構建您的興趣分佈圖。這可能會影響您在訪問其他網站時所查看的內容和消息。如果您不允許使用這些 Cookie,您可能無法使用或查看這些共享工具。