Dec Recap: New AWS Privileged Permissions and Services
随着 2025 年 12 月即将结束,Sonrai 对新发布的 AWS 权限的最新审查凸显了云权限的持续扩展。本月的更新涵盖身份、可观察性、人工智能和托管服务基础设施,以及 CloudWatch、CloudFront、Bedrock、EKS、SageMaker 和基于代理的新兴平台的变化。这些权限共同强化了云安全的核心现实:[...]
Preventing This Week's AWS Cryptomining Attacks: Why Detection Fails and Permissions Matter
最近发现的针对亚马逊计算资源的加密挖矿活动凸显了传统云防御的关键差距。攻击者通过利用受损凭证执行合法但有特权的 API 调用(例如 ec2:CreateLaunchTemplate、ecs:RegisterTaskDefinition、ec2:ModifyInstanceAttribute 和 lambda:CreateFunctionUrlConfig)来绕过外围防御。虽然检测工具在异常发生后识别异常,但它们不会阻止执行,横向 [...]
Independent Testing Confirms Sonrai’s Cloud Permissions Firewall Blocks Real AWS Attack Paths
AWS 中的权限升级正在不断发展。经典的 IAM 问题仍然很重要,但攻击者现在利用基于服务的执行路径、编排层以及新的 AI 驱动服务(例如 Bedrock 和 Bedrock AgentCore)。 Sonrai Security 与 Software Secured 合作,利用各种开源夺旗 (CTF) 风格项目中记录的许多已知 AWS 攻击向量。 [...]
Nov Recap: New AWS Privileged Permissions and Services
随着 2025 年 11 月即将结束,Sonrai 对新发布的 AWS 权限的最新审查显示,权限的持续扩展直接影响可观察性、异常检测和基于身份的访问。本月的更新以 Amazon Managed Service for Prometheus 和 AWS Security Token Service 为中心,引入了更改或禁用日志管道、削弱 [...]
Blocking Traffic Manipulation in AWS Starts With IAM
Tl;DR 云中的网络 如果没有域名解析和有效的流量路由,云就会崩溃。上个月证明了这一点,当时影响 AWS us-east-1 DynamoDB API 端点的 DNS 问题中断了数千家公司的运营。虽然这确实是一个极端的例子,但它强调了单个网络问题可以以多快的速度级联,从而导致 [...]
Oct Recap: New and Newly Deniable GCP Privileged Permissions
随着 2025 年 10 月的结束,Sonrai 对 Google Cloud Platform 权限的最新分析揭示了新引入的特权操作以及通过 V2 API 新强制执行的操作,这意味着组织现在可以明确拒绝其使用。本月的更新涵盖发现引擎、云集成以及备份和灾难恢复,反映了 GCP 如何继续 [...]
Oct Recap: New AWS Privileged Permissions and Services
截至 2025 年 10 月,Sonrai 对新 AWS 权限的最新分析揭示了一个持续趋势:增量权限变化带来巨大影响。本月的新增内容涵盖 OpenSearch Ingestion、Aurora DSQL、QuickSight、并行计算服务、ARC Region Switch 和 RTB Fabric,涉及数据分析、计算编排和实时流量系统的关键领域。这些更新引入了功能 [...]
Why GCP’s Two IAM APIs Matter More Than You Think
简介 权限是云中身份和访问管理 (IAM) 的核心构建块。每个主要的云服务提供商都有强大的 IAM 实施,通过授予或拒绝特定权限来控制身份(人类或机器用户)的行为。 Google Cloud (GCP) 也不例外,拥有超过 12,000 个个人权限 [...]
Meet WALLy: Your PAM AI Agent for Cloud
Wally将解决云中的特权问题。 Wally删除了访问危险特权的访问,阻止了对未使用的云服务的访问,删除了站立特权并强制强制使用JIT访问任何特权功能。所有更改均受最终的人类认可和全面审核的约束。沃利(Wally
Sept Recap: New AWS Privileged Permissions and Regions
随着2025年9月的总结,我们回到了最新发布的新发布的AWS特权权限的综述,并且云攻击表面再次不断发展。本月的更新涵盖关键服务,包括AWS IoT,Glue,GuardDuty,Directory Service,Prometheus的托管服务等等,每个服务都介绍了控制访问,修改加密或[…]
AWS Ransomware: Why CNAPPs & Traditional PAM Miss the Mark
tl; dr:AWS中的云勒索软件云中的云软件问题勒索软件与服务器或端点上的勒索软件根本不同。而不是依靠恶意软件有效载荷,攻击者:在这个新模型中,每个动作看起来都像普通的云活动。没有恶意软件有效载荷可以扫描,也没有不寻常的二进制文件可以标记。那就是[…]
Privileged AWS Permissions You Should Restrict Immediately (Top 25 + Bonus)
鼓声,请…🥁经过五个星期的倒计时,崩溃和一些非常活跃的对话,我们终于达到了前25名最有风险的AWS特权许可,以及对AWS组织的特殊奖金。这些权限不仅是“潜在的风险”。他们在现实世界中被滥用,以窃取数据,绕过控制和升级[…]
在我的第一篇有关基岩代理代码解释器的文章中,我证明可以将自定义代码解释器强制以通过非主张身份执行AWS控制平面操作。这提出了一条新颖的途径升级,任何具有自定义代码口译员访问的用户都可以有效地使用分配给这些代码解释者的任何特权。 […]
August Recap: New AWS Privileged Permissions
2025年8月即将结束,我们回到了最新发布的新发布的AWS特权权限的综述,并且云安全边界的范围再次不断扩大。本月,AWS引入了从干净的房间和SES到基岩,批次,可观察性管理和RE:POST PRIVATE的服务的影响。这些加法[…]
July Recap: New AWS Services and Privileged Permissions
随着2025年7月的结束,我们回到了本月的新发布的AWS特权许可证 - 这次,几项新服务首次亮相,每个服务都带有可以重塑您的云安全边界的权限。本月在Amazon Bedrock,Oracle Database@aws,S3矢量和Sagemaker中介绍新的功能,所有[…]
AWS AgentCore: The Overlooked Privilege Escalation Path in Bedrock’s AI Tooling
在AWS中使用非个人身份的特权升级并不是什么新鲜事物。 EC2实例角色和lambda执行角色被充分理解为如果不正确锁定,则可以提高自己的特权的机制。不太了解的是以AI为中心身份的概念 - 代理工作流程如何获得执行的特权[…]
AI in AWS? Lock Down IAM First
AWS BEDROCK使云团队易于构建和部署生成的AI应用程序。只需单击几下,开发人员就可以站起来可以查询公司数据,自动化工作流以及与AWS服务互动的代理。但是这些新功能引入了新的风险。当AI代理进入基础架构的那一刻,您需要[…]
June Recap: New AWS Services and Privileged Permissions
随着2025年6月的总结,我们将每月一次的AWS特权许可更改和服务更新,可以重塑您的云安全姿势。每个月都会带来一波新的许可,并随之而来的是未经授权访问,逃避政策和滥用信任边界的潜在途径。本月的亮点包括敏感[…]
