Sysdig的威胁研究工程师Crystal Morin对此表示：“我们可以想象这么个场景，组织想为其客户举办一场特殊的节日活动，然后组织决定创建一个微型网站，并为此网站提供了所有的宣传材料、注册表格等。随后开发人员开始工作，他们设计网站，他们在AWS或任何云计算服务上提供了一个全新的虚拟服务器来托管，并提供了一个存储桶来存储网站的数据。云服务提供商将从其可重复使用的IP地址池中，为组织的EC2实例分配一个可公开访问的IP地址，并在其域bucket-name.s3.region-code.amazonaws.com下为组织的存储桶分配了主机名，以便组织可以通过API访问它。”

之后，用户需要访问组织的网站和搜索引擎，机器人需要对其进行索引，所以下一步是在组织的主域名上为其创建一个子域，并将其指向IP地址，这样就可以从组织的子域访问web服务器了。然后，Morin表示，组织会为S3存储桶创建一个子域和DNS CNAME记录，并将其指向存储空间的AWS主机名。“假设组织还有一个移动应用程序，就可以将数据发送到此活动网站，因此主机名也会将其写入应用程序的代码中。由于统计信息跟踪或数据库备份等原因，组织还有其他内部应用程序和工具需要与网站集成。”

现在，组织已经创建了大量不同位置的记录，这些记录基本上指向的都是临时云资源。如果组织删除了这些云资产，但没有删除开发者和基础设施工程师为它们创建的记录，那么这些记录就会产生极大的风险。

最近，TikTok安全工程师Abdullah Al-Sultani在布加勒斯特举行的DefCamp安全会议上，提出了这样的场景：攻击者可以从亚马逊获得相同的IP地址，因为亚马逊提供的IP地址是免费的，并且这些IP地址有组织的子域指向它，这样攻击者就可以创建出钓鱼网站或恶意软件服务网站。由于攻击者在组织应用程序的代码中找到了相关引用，所以他们可以注册一个同名的S3存储桶，这样组织的应用程序就会向攻击者所拥有的存储桶发送敏感数据。

Al-Sultani将此次攻击称为“云抢占”（cloud squatting ）。他表示，其不仅仅是DNS记录，因为一旦账户关闭，云服务的类型和数量就会膨胀起来，这些云服务通常会进行资源和名称的重新分配，而且公司规模越大，影子云记录的问题就会越严重。

在 TikTok 通过漏洞赏金计划收到“记者接管 TikTok 子域”的报告后，Al-Sultani 遇到了“云抢占”问题，他的团队很快意识到，想要找到组织所有过时的云记录将是一项艰巨的任务。TikTok的母公司ByteDance在世界多国拥有超过十万的员工，可想他们的开发和基础设施团队能有多大的规模，同时ByteDance还在不同地区为其不同的应用程序创建了数千个域名。

为了解决这个问题，TikTok的安全团队构建了一个内部工具，该工具迭代了公司的所有域名。通过向AWS、Azure、Google Cloud等云提供商，以及其他第三方服务提供商发送HTTP或DNS请求，其自动测试了所有CNAME记录，并检查了这些IP记录是否仍然有效，是否分配给了TikTok。幸运的是，TikTok在其内部数据库中，已经跟踪了云提供商分配给TikTok资产的IP地址。（许多公司可能不会进行这种跟踪）

Al-Sultani并不是第一个提出“云抢占威胁”的人。去年，宾夕法尼亚州立大学的一个研究小组，他们通过在亚马逊美国东部地区部署的300万台EC2服务器，分析了公共云上IP重复使用的风险，这些服务器收到了150万个一模一样的IP地址，约占该地区可用IP地址池的56%。在这些IP地址的流量中，研究人员发现了金融交易数据、GPS位置数据和个人身份信息。

研究人员在他们的论文中表示：“我们确定了四类云服务、七类第三方服务，以及将DNS作为可利用配置的种种来源。我们发现，可利用的配置很常见，而且在许多情况下又极其危险。在七类第三方服务中，我们确定了数十个可利用的软件系统，其涵盖了数百台服务器（比如数据库、缓存、移动应用程序和web服务）。最后，我们确定了5446个可利用的域，其涵盖了231个eTLD，其中前10000个域里有105个eTLD，前1000个域里有23个eTLD。”

此外，Morin表示，云抢占风险甚至可以从第三方组件上继承。他指出，今年6月，Checkmarx的研究人员警告称，攻击者正在扫描 npm 软件包以查找 S3 存储桶的引用。如果攻击者发现一个不存在的存储桶，他们就会注册它。“在许多情况下，这些包的开发者会选择使用 S3 存储桶，来存储在包安装过程中下载和执行的预编译二进制文件。因此，如果攻击者重新注册废弃的存储桶，他们可以在 npm 软件包的用户系统上执行远程代码，因为这些npm软件包的信任受到了影响，这样攻击者就可以托管自己的恶意二进制文件了。”

而在另一个类似的例子中，Aqua Security的研究人员表示，已被删除或被重命名的GitHub存储库可以被攻击者重新注册。而如果应用程序或文档仍然指向它们，它们就可以被用来为恶意软件服务。研究人员将这种攻击称为“仓库劫持”（attack RepoJacking）。

Morin强调，虽然云抢占风险的攻击面很大，但组织还是需要着手处理，而且越早越好。其中，IP重用和DNS场景似乎是最普遍的，组织可以通过这几种方式缓解：“比如使用云提供商的保留IP地址，这意味着在组织明确发布之前，它们不会被释放回共享池。通过将自己的IP地址转移到云端，当用户不需要直接访问这些服务器时，可以在服务之间使用私有（内部）IP地址，或者使用云提供商提供的IPv6地址，因为这些地址的数量非常大，所以它们不太可能被重用。”

组织还应强制执行一项策略，就是防止在应用程序内部对IP地址进行硬编码，而是应该为其所有服务使用DNS名称。组织应该定期维护这些记录并删除过时的记录，还应通过DNS寻址所有内容，这样就相当于提供了一个集中的管理位置，而不是追查硬编码的IP地址。

此外，Morin表示，组织和安全人员还可以采取额外的措施来缓解云抢占风险，比如制定并执行相应的安全策略，内容中可包括对云服务的使用、访问控制和数据保护等方面的规定。同时，安全人员应确保所有员工都了解并遵守这些策略，这就涉及到了定期的安全培训，可以是测试模式，也可以是情景模拟，主要的目的是为了提高员工们对网络安全的认识，以及对使用云服务的意识。当然，识别并应对潜在的攻击也很重要，因为说到底，云抢占的最终目的还是为了利用漏洞进行攻击，所以员工们应该学会并具备这样的危机感，同时也要学会保护好自己的账户和密码。

另一方面，组织也应实施严格的访问控制策略，确保只有授权人员能够访问云服务，这包括使用强密码、多因素身份验证、最小权限原则等。Morin指出，组织应实施监控和日志记录功能，以便及时发现任何异常活动或攻击尝试，这可以帮助安全人员快速响应并采取适当的措施来保护云服务。

处在云安全视角，Morin依旧强调了，配置错误仍是云安全事件中最主要的原因，所有组织都应该对此提高警惕。根据Gartner的数据显示，到2023年为止，75%的安全故障是由身份、访问和权限管理不足所导致，而在2020年时这一比例仅为50%。国外网络安全企业Sysdig曾发布过相关报告，他们在对为期90天左右的窗口进行分析时发现，授予非管理员用户的权限只有10%是被利用的。

今年，Sysdig对其客户云环境做了调查，结果发现其中有58%的身份是非人类角色，这一数值低于去年的88%。Sysdig表示，这些非人类角色通常是临时使用的，如果它们不再被使用或未被删除，就是在为不法者提供便捷的访问点。Morin说：“角色类型转变的原因，可能是组织的云使用正在增长，随着云采用的增多，更多的员工被授予了云访问权限，从而改变了人类和非人类角色之间的平衡。”

对此，国内也有安全专家认为，当企业过多的将注意力放到应用、程序的推陈出新上，可能会对云计算平台的配置产生影响。因此，他认为开发人员可以定期对生产代码进行小幅更改，采用变通的方法对应用和程序进行更新，以避免在需要进行调整时，为了获得管理员权限而耗费时间。

此外，企业与第三方或应用程序组件之间的联系越多，出现错误配置的可能性就越大。常见的API错误包括对象级别、用户级别和功能级别的授权中断。而在企业的API中暴露太多信息也可能为黑客提供破解其代码的线索，云原生容器化应用程序也可能构成威胁，因为单个容器中的无意漏洞可能使黑客能够访问企业的整个软件堆栈。

对于云抢占风险会带来怎样的危害，以及云安全该如何建设，国内安全专家如此建议。

知乎相关专家“乐芙兰”表示，为了防范Cloud Squatting攻击，组织可以采取以下措施：

1、使用强密码：确保使用强密码来保护你的云服务账户。强密码应包含大写字母、小写字母、数字和特殊字符，并定期更改密码。

2、启用多因素身份验证：多因素身份验证是一种额外的安全层，可以确保只有授权人员能够访问你的账户。即使有人猜到了你的密码，他们也需要第二因素（如手机验证码或应用程序令牌）才能登录。

3、最小权限原则：不要将账户或角色设置为超级管理员或其他具有广泛权限的角色。只给予必要的权限，并定期审查和调整权限。

4、及时更新软件：确保你的云服务提供商、操作系统、应用程序和库都及时更新到最新版本。这些更新通常包含安全补丁和漏洞修复，可以减少被攻击的风险。

5、备份数据：定期备份你的数据，并存储在安全的地方。这样，即使你的云服务账户被攻击或数据被篡改，你仍然可以从备份中恢复数据。

6、限制外部访问：只允许必要的外部访问你的云服务。例如，如果你的应用程序不需要从互联网访问数据库，那么你应该阻止外部访问数据库的IP地址。

7、监控和日志记录：启用监控和日志记录功能，以便及时发现任何异常活动或攻击尝试。这可以帮助你快速响应并采取适当的措施来保护你的云服务。

8、使用安全的开发实践：遵循安全的开发实践，例如输入验证、输出编码、参数化查询等，以减少应用程序中的漏洞。

9、定期审计：定期对你的云服务账户和相关活动进行审计。这可以帮助你发现任何不寻常的活动或潜在的威胁。

10、寻求专业帮助：如果你不确定如何正确地保护你的云服务或存在其他安全问题，寻求专业的安全咨询或服务可以帮助你加强安全措施并减少风险。

某有限公司安全架构师孙瑜表示，云计算已然改变了IT世界的格局，其优势如成本低、处理海量数据效率高、虚拟化技术将资源池动态分配给用户、容错和自动失效节点检测技术保证服务的高可用性等。然而你，云计算带来便利的同时，安全问题也带来了相应的挑战。用户将数据迁移到云平台上，当不再需要了，就会由云服务商进行销毁，但一直以来容易被忽视的问题是“数据是否真的被彻底销毁了”？这也就是所谓的数据残留问题，如果数据没有被擦除或擦除后可以被恢复，就容易被其他用户非法获取。

孙瑜介绍了几种会造成数据残留的场景：

1.为了获得资源的最佳利用，云服务提供商会将数据迁移，但往往不会销毁原始位置的数据；

2.云服务提供商删除数据时，未删除彻底，用户又无从知晓；

3.删除数据时忘记删除备份数据；

4.物理介质原因导致数据删除后可恢复。

孙瑜说，针对上述问题，Kirch J在《虚拟机安全指导》中提出了一种对虚拟机映像加密的方式，以防止数据泄露后造成机密数据被非法访问。而复旦大学的张逢喆等人提出了Dissolver系统，利用可信计算技术监控用户数据，并按照用户指令对数据彻底销毁，即使云服务器的特权管理员，也无法绕过安全机制获取用户数据。

孙瑜表示，数据残留的问题还缺乏广泛应用的技术手段，特别是在物理层缺乏数据彻底销毁的方法。为此，孙瑜介绍了几种彻底销毁数据的方式：

1.覆写法，使用随机序列反复多次覆盖介质上的数据；

2.高温销毁，将磁盘等介质高温熔化无法复原；

3.消磁，对磁性介质使用强磁场销毁；

4.数据加密，使用安全加密算法对数据加密，并保证加密密钥的安全存储，使数据即便被窃取也无法解密。

某企业安全负责人李达指出，“Cloud squatting”是一种网络攻击方法，其中攻击者会利用已被删除但其记录尚未完全清楚的云资源，比如子域名或代码库中指定的云资产等。李达表示，其存在的风险包括但不限于：

1、钓鱼网站：攻击者可以使用企业的子域名创建看起来合法的钓鱼网站，诱骗用户输入敏感信息。

2、恶意软件分发：利用这些子域名分发恶意软件，感染访问者的设备。

3、数据泄露：应用程序或服务仍然指向被攻击者占用的云资源，导致敏感数据泄露。

李达认为，企业可以通过以下的一些方式来应对该风险：

1、使用保留IP地址：向云服务提供商申请保留IP地址，这样即使删除了云资源，这些IP地址也不会立即被释放回共享池。

2、使用私有IP地址：对于内部服务，使用私有IP地址，以减少外部攻击的风险。

3、DNS管理：避免在应用程序中hard-code IP地址，而是使用DNS名称，这样可以在一个中央位置管理所有记录。

4、定期维护：定期检查和删除过时的DNS记录，避免遗留可被攻击者利用的记录。

5、监控和预防：构建内部工具，监控所有指向云服务提供商IP范围的域名和子域名，确保它们仍然有效且安全。