Oct Recap: New and Newly Deniable GCP Privileged Permissions
随着 2025 年 10 月的结束,Sonrai 对 Google Cloud Platform 权限的最新分析揭示了新引入的特权操作以及通过 V2 API 新强制执行的操作,这意味着组织现在可以明确拒绝其使用。本月的更新涵盖发现引擎、云集成以及备份和灾难恢复,反映了 GCP 如何继续 [...]
Oct Recap: New AWS Privileged Permissions and Services
截至 2025 年 10 月,Sonrai 对新 AWS 权限的最新分析揭示了一个持续趋势:增量权限变化带来巨大影响。本月的新增内容涵盖 OpenSearch Ingestion、Aurora DSQL、QuickSight、并行计算服务、ARC Region Switch 和 RTB Fabric,涉及数据分析、计算编排和实时流量系统的关键领域。这些更新引入了功能 [...]
Why GCP’s Two IAM APIs Matter More Than You Think
简介 权限是云中身份和访问管理 (IAM) 的核心构建块。每个主要的云服务提供商都有强大的 IAM 实施,通过授予或拒绝特定权限来控制身份(人类或机器用户)的行为。 Google Cloud (GCP) 也不例外,拥有超过 12,000 个个人权限 [...]
Meet WALLy: Your PAM AI Agent for Cloud
Wally将解决云中的特权问题。 Wally删除了访问危险特权的访问,阻止了对未使用的云服务的访问,删除了站立特权并强制强制使用JIT访问任何特权功能。所有更改均受最终的人类认可和全面审核的约束。沃利(Wally
Sept Recap: New AWS Privileged Permissions and Regions
随着2025年9月的总结,我们回到了最新发布的新发布的AWS特权权限的综述,并且云攻击表面再次不断发展。本月的更新涵盖关键服务,包括AWS IoT,Glue,GuardDuty,Directory Service,Prometheus的托管服务等等,每个服务都介绍了控制访问,修改加密或[…]
AWS Ransomware: Why CNAPPs & Traditional PAM Miss the Mark
tl; dr:AWS中的云勒索软件云中的云软件问题勒索软件与服务器或端点上的勒索软件根本不同。而不是依靠恶意软件有效载荷,攻击者:在这个新模型中,每个动作看起来都像普通的云活动。没有恶意软件有效载荷可以扫描,也没有不寻常的二进制文件可以标记。那就是[…]
Privileged AWS Permissions You Should Restrict Immediately (Top 25 + Bonus)
鼓声,请…🥁经过五个星期的倒计时,崩溃和一些非常活跃的对话,我们终于达到了前25名最有风险的AWS特权许可,以及对AWS组织的特殊奖金。这些权限不仅是“潜在的风险”。他们在现实世界中被滥用,以窃取数据,绕过控制和升级[…]
在我的第一篇有关基岩代理代码解释器的文章中,我证明可以将自定义代码解释器强制以通过非主张身份执行AWS控制平面操作。这提出了一条新颖的途径升级,任何具有自定义代码口译员访问的用户都可以有效地使用分配给这些代码解释者的任何特权。 […]
August Recap: New AWS Privileged Permissions
2025年8月即将结束,我们回到了最新发布的新发布的AWS特权权限的综述,并且云安全边界的范围再次不断扩大。本月,AWS引入了从干净的房间和SES到基岩,批次,可观察性管理和RE:POST PRIVATE的服务的影响。这些加法[…]
July Recap: New AWS Services and Privileged Permissions
随着2025年7月的结束,我们回到了本月的新发布的AWS特权许可证 - 这次,几项新服务首次亮相,每个服务都带有可以重塑您的云安全边界的权限。本月在Amazon Bedrock,Oracle Database@aws,S3矢量和Sagemaker中介绍新的功能,所有[…]
AWS AgentCore: The Overlooked Privilege Escalation Path in Bedrock’s AI Tooling
在AWS中使用非个人身份的特权升级并不是什么新鲜事物。 EC2实例角色和lambda执行角色被充分理解为如果不正确锁定,则可以提高自己的特权的机制。不太了解的是以AI为中心身份的概念 - 代理工作流程如何获得执行的特权[…]
AI in AWS? Lock Down IAM First
AWS BEDROCK使云团队易于构建和部署生成的AI应用程序。只需单击几下,开发人员就可以站起来可以查询公司数据,自动化工作流以及与AWS服务互动的代理。但是这些新功能引入了新的风险。当AI代理进入基础架构的那一刻,您需要[…]
June Recap: New AWS Services and Privileged Permissions
随着2025年6月的总结,我们将每月一次的AWS特权许可更改和服务更新,可以重塑您的云安全姿势。每个月都会带来一波新的许可,并随之而来的是未经授权访问,逃避政策和滥用信任边界的潜在途径。本月的亮点包括敏感[…]
Cloud Privilege Is a Mess. Legacy PAM Can’t Fix It.
多年来,组织一直试图将特权访问管理(PAM)工具改造到公共云中。跳箱。拱顶。会话记录。手动配置。它都没有缩放,也不会刮擦云特权问题的表面。因为云特权与管理员登录或共享的根密码无关。这是关于权限。他们中的成千上万。 […]
May Recap: New AWS Services and Privileged Permissions
2025年5月结束时,我们又回到了AWS特权许可更新和服务级别的最新综述,以重塑云安全性。跟踪这些变化至关重要,因为新引入的权限通常可以深入访问关键服务,这是针对横向移动,数据暴露和逃避安全控制的风险的门。 […]
April Recap: New AWS Sensitive Permissions
随着2025年4月的总结,我们又回到了AWS敏感许可更新和关键服务开发的最新综述,以塑造云安全景观。跟上这些更改对于保护您的环境至关重要,尤其是由于新引入的权限可以为横向移动,数据剥落和命令执行等风险打开途径。本月,[…]
A Smarter Alternative to Entra Permissions Management
微软宣布退休ENTRA许可管理(以前是CloudKnox),销售额为2025年6月30日。但是对于许多组织来说,这种可见性带有大量的手册开销:政策改写,更改窗口和耗时的调查。作为EPM日落,[…]
March Recap: New AWS Sensitive Permissions and Services
2025年3月即将结束,我们回到了最新一轮的AWS敏感许可更新,新支持的服务以及整个云景观的主要发展。保持这些变化的最新状态对于维持安全良好的环境至关重要,尤其是随着新的许可继续出现,有可能影响[…]
