Fighting Eventual Consistency-Based Persistence - An Analysis of notyet
最终一致性 AWS 身份和访问管理 (IAM) 服务中的最终一致性是一个有据可查的现象。简而言之,当在 AWS 中进行 IAM 更改时,这些更改实际上需要几秒钟的时间才能通过 AWS 的内部系统传播。在此传播窗口内,具有正确启动权限的攻击者控制的身份理论上可以检测并逆转 [...]
Top Cloud Privileged Access Management Best Practices to Prevent Privilege Abuse
特权访问滥用是大多数重大云泄露事件的幕后黑手。而且攻击者并不总是经验丰富的攻击者——有时是一个配置错误的服务帐户,两年内没有人审查过,或者是从从未清理过的收购中继承的 IAM 角色。通道就在那里不受控制地等待着。这正是问题云 [...]
How Treating AI Agents as Identities Can Reduce Enterprise AI Risk
AI 代理不再是实验性的。他们运行生产工作负载、调用 API、查询数据库、配置基础设施以及跨云环境做出决策。讽刺的是,这些代理最终往往比构建它们的开发人员拥有更多的访问权限。当出现问题时,他们以真实的凭证、真实的权限和真实的后果进行操作。大多数企业安全 [...]
March Recap: New AWS Privileged Permissions and Services
随着 2026 年 3 月即将结束,最新的 AWS 权限反映了三个不同领域的扩展:客户参与、AI 驱动的 DevOps 自动化和核心数据库基础设施。交易量不大,但风险状况却不容乐观。三月的中心主题是“无声的退化”。这些权限中的每一个都有一个共同的特征:它们所造成的损害[...]
5 AWS AI Controls Every Security Team Should Have
大多数团队在应用层管理 AI 工作负载。他们为其 Bedrock 代理配置护栏,确定每个工作负载的 IAM 角色范围,并围绕批准的模型构建策略。该规则很重要,但当开发人员启动新帐户或直接调用模型而不接触应用程序堆栈时,它就会崩溃。组织级执法 [...]
Feb Recap: New AWS Privileged Permissions and Services
随着 2026 年 2 月即将结束,AWS 权限扩展的重点已从核心基础设施转移到生成式 AI 供应链。本月对新发布的权限的审查凸显了向模型定制和深层遥测的战略支点。虽然新特权操作的数量低于 1 月份,但影响 [...]
Cracks in the Bedrock: Bypassing SCP Enforcement with Long-Lived API Keys
简介 在发布由 AWS Mantle 提供支持的 Amazon Bedrock 后,我发现了一种绕过限制使用 bedrock-mantle IAM 权限的服务控制策略 (SCP) 语句的机制。通过利用由服务特定凭证支持的长期 API 密钥,我能够成功利用 bedrock-mantle:CreateInference,尽管 SCP 声明否认了该操作。 SCP 是 [...]
Jan Recap: New AWS Privileged Permissions and Services
随着 2026 年 1 月即将结束,Sonrai 对新发布的 AWS 权限的最新审查强调了集中在网络、流量控制和协作服务方面的权限急剧扩张。本月的更新主要关注 AWS 网络防火墙、Route 53 Global Resolver、EC2 网络控制和跨账户数据协作,引入了重新路由流量的新方法,[...]
Shift Left Is Dead for Cloud PAM
为什么我停止对用户进行 JIT 处理并开始对权限进行 JIT 处理 作者:Cole HorsmanSonrai SecurityField 首席技术官 我在 2020 年初首次尝试“左移”云身份。我们正在构建一个全新的 AWS 环境,拥有强大的云团队和领导层支持,以正确完成工作。这个想法很熟悉:尽早推动安全决策,为开发人员提供 [...]
Dec Recap: New AWS Privileged Permissions and Services
随着 2025 年 12 月即将结束,Sonrai 对新发布的 AWS 权限的最新审查凸显了云权限的持续扩展。本月的更新涵盖身份、可观察性、人工智能和托管服务基础设施,以及 CloudWatch、CloudFront、Bedrock、EKS、SageMaker 和基于代理的新兴平台的变化。这些权限共同强化了云安全的核心现实:[...]
Preventing This Week's AWS Cryptomining Attacks: Why Detection Fails and Permissions Matter
最近发现的针对亚马逊计算资源的加密挖矿活动凸显了传统云防御的关键差距。攻击者通过利用受损凭证执行合法但有特权的 API 调用(例如 ec2:CreateLaunchTemplate、ecs:RegisterTaskDefinition、ec2:ModifyInstanceAttribute 和 lambda:CreateFunctionUrlConfig)来绕过外围防御。虽然检测工具在异常发生后识别异常,但它们不会阻止执行,横向 [...]
Independent Testing Confirms Sonrai’s Cloud Permissions Firewall Blocks Real AWS Attack Paths
AWS 中的权限升级正在不断发展。经典的 IAM 问题仍然很重要,但攻击者现在利用基于服务的执行路径、编排层以及新的 AI 驱动服务(例如 Bedrock 和 Bedrock AgentCore)。 Sonrai Security 与 Software Secured 合作,利用各种开源夺旗 (CTF) 风格项目中记录的许多已知 AWS 攻击向量。 [...]
Nov Recap: New AWS Privileged Permissions and Services
随着 2025 年 11 月即将结束,Sonrai 对新发布的 AWS 权限的最新审查显示,权限的持续扩展直接影响可观察性、异常检测和基于身份的访问。本月的更新以 Amazon Managed Service for Prometheus 和 AWS Security Token Service 为中心,引入了更改或禁用日志管道、削弱 [...]
Blocking Traffic Manipulation in AWS Starts With IAM
Tl;DR 云中的网络 如果没有域名解析和有效的流量路由,云就会崩溃。上个月证明了这一点,当时影响 AWS us-east-1 DynamoDB API 端点的 DNS 问题中断了数千家公司的运营。虽然这确实是一个极端的例子,但它强调了单个网络问题可以以多快的速度级联,从而导致 [...]
Oct Recap: New and Newly Deniable GCP Privileged Permissions
随着 2025 年 10 月的结束,Sonrai 对 Google Cloud Platform 权限的最新分析揭示了新引入的特权操作以及通过 V2 API 新强制执行的操作,这意味着组织现在可以明确拒绝其使用。本月的更新涵盖发现引擎、云集成以及备份和灾难恢复,反映了 GCP 如何继续 [...]
Oct Recap: New AWS Privileged Permissions and Services
截至 2025 年 10 月,Sonrai 对新 AWS 权限的最新分析揭示了一个持续趋势:增量权限变化带来巨大影响。本月的新增内容涵盖 OpenSearch Ingestion、Aurora DSQL、QuickSight、并行计算服务、ARC Region Switch 和 RTB Fabric,涉及数据分析、计算编排和实时流量系统的关键领域。这些更新引入了功能 [...]
Why GCP’s Two IAM APIs Matter More Than You Think
简介 权限是云中身份和访问管理 (IAM) 的核心构建块。每个主要的云服务提供商都有强大的 IAM 实施,通过授予或拒绝特定权限来控制身份(人类或机器用户)的行为。 Google Cloud (GCP) 也不例外,拥有超过 12,000 个个人权限 [...]
Meet WALLy: Your PAM AI Agent for Cloud
Wally将解决云中的特权问题。 Wally删除了访问危险特权的访问,阻止了对未使用的云服务的访问,删除了站立特权并强制强制使用JIT访问任何特权功能。所有更改均受最终的人类认可和全面审核的约束。沃利(Wally
