Google Cloud 最新資料顯示，即使威脅活動日益複雜，基本安全失誤仍然是大多數雲端入侵事件的主因。分析指出，在觀察到的雲端安全事件中，有 47.1% 源於薄弱或缺失的憑證，使身分遭入侵成為最常見的初始存取向量。錯誤設定佔 29.4%，而遭入侵的 API 或使用者介面佔 11.8%，凸顯身分控制不佳與雲端設定實務不足所帶來的持續曝險。

在《Cloud Threat Horizons Report H2 2025》中，Google Cloud 指出，威脅行為者在雲端環境中採取越來越具適應性的戰術。研究人員觀察到攻擊者濫用合法雲端基礎設施（包括儲存服務與開發者儲存庫）來託管惡意檔案或誘餌文件，以觸發惡意軟體下載。在多起案例中，對手亦利用社交工程與遭竊的工作階段 Cookie 來繞過多因素驗證並維持對雲端資源的持續存取。

一旦進入環境，攻擊者通常會嘗試橫向移動，以尋找憑證、私鑰與存取權杖，進而取得對工作負載與敏感資料更深入的控制權。研究結果凸顯強化身分安全、最小權限存取控制及持續監控雲端設定的重要性，以降低資料外洩與營運中斷風險。

與 2024 年下半年相比，Google Cloud 觀察到基於錯誤設定的存取下降 4.9%，API/UI 入侵下降 5.3%。然而，這部分下降似乎被外洩憑證增加所吸收，2025 年上半年外洩憑證佔初始存取的 2.9%。這突顯一項緊迫且持續演變的風險：攻擊者利用暗網來源發現的憑證，顯示快速偵測與修復策略的必要性。Google Cloud 已與合作夥伴整合機制，用以識別並通知客戶憑證外洩情況，並可在威脅行為者自動利用前停用外洩金鑰。

Google 亦提及遠端程式碼執行（RCE）向量，2025 年上半年佔初始存取的 2.9%。該比例雖與過往報告一致，但其持續存在突顯即時且有效的修補管理至關重要。Google Cloud CISO 安全工程（CCSE）雲端弱點研究團隊在 2024 年第四季主動發現 Rsync 關鍵漏洞。若遭利用，可能導致 RCE 並引發重大供應鏈入侵。

Google Cloud 補充表示，2025 年第一季與美國國土安全部網路安全與基礎設施安全局及產業夥伴進行協調揭露，展現其致力於改善全球雲端安全並處理這些普遍威脅。為減緩報告中識別的初始存取向量，需要採取縱深防禦策略，結合強化身分治理、主動威脅偵測與持續雲端安全態勢監控。

1. 組織應首先強化身分與存取管理控制

對人員與服務帳戶授予的權限應定期稽核，以移除過度權限並符合最小權限原則。Google IAM Recommender 等工具可協助自動識別與降低不必要權限，定期審查 IAM 政策可減少憑證遭入侵或 API 金鑰外洩所帶來的影響。

強化雲端安全需超越傳統網路防禦，聚焦於身分導向防護與持續可視性。實施 Identity-Aware Proxy 可透過身分驗證與授權建立集中控制點，降低憑證竊取與漏洞利用風險。組織亦應透過整合機制監控外洩憑證，並在濫用前自動停用。

2. 其次，維持雲端環境的高度可視性至關重要

Google Security Command Center 提供持續監控錯誤設定、漏洞與主動威脅；Artifact Registry 的漏洞偵測與容器映像掃描有助於識別應用程式與作業系統弱點。即時修補仍是防範 RCE 攻擊最有效的防禦措施之一。

Google Cloud 警告，勒索軟體等破壞性攻擊已超越技術層面，造成長期業務中斷與重大財務損失。根據 M-Trends 2025，出於財務動機的網路犯罪分子已不僅鎖定生產系統與資料，亦積極攻擊備份基礎設施與復原平台。

Mandiant 事件應變團隊指出，傳統僅聚焦技術復原的災難復原策略往往不足，因為組織還必須重建與合作夥伴及第三方之間的營運信任。

威脅行為者日益攻擊備份環境以破壞復原作業。例如，使用 RansomHub 的 UNC2165 被觀察到存取受害者雲端備份、刪除備份例行程序與資料並變更權限。類似活動亦與 UNC4393（曾與 Black Basta 有關）及 UNC2465（與 DarkSide 與 LockBit 有關）相關。

報告指出，大規模勒索攻擊的復原常因備份資料不可用、生產能力受限、復原時間延長、復原計畫不可存取及復原目標未明確等因素而延誤。攻擊亦可能破壞 Active Directory、DNS、DHCP、虛擬化平台與安全工具等核心依賴服務。

常見復原策略聚焦於事件後如何恢復系統與資料，其成效取決於攻擊後環境狀態與事前準備程度。組織應依業務復原時間目標（RTO）設計復原架構，並結合對威脅戰術的理解以平衡風險與取捨。

其中一種選項為雲端隔離復原環境（Cloud Isolated Recovery Environment, CIRE），結合安全資料保險庫與專屬復原環境。另一策略為隔離資料保險庫復原；第三種為依賴生產整合備份。

Google Cloud 建議採用 CIRE 作為更廣泛網路韌性策略的一部分。CIRE 包含：

✔  隔離資料保險庫（不可變備份）

✔  隔離驗證環境（恢復、測試與清理）

✔  受保護的服務層

該架構依賴邏輯隔離與分段、不可變儲存、彈性運算服務，以及雲端原生安全工具與多區域地理備援。

報告亦指出，國家級威脅行為者持續鎖定雲端環境。Google Threat Intelligence Group 正追蹤 UNC4899，其與 Reconnaissance General Bureau 相關，並與 TraderTraitor 行動重疊。

駭客亦日益濫用合法雲端儲存平台作為初始攻擊鏈的一部分，託管誘餌檔案（常為 PDF）。APT 組織與網路犯罪分子利用此戰術混淆正常工作行為，使偵測更為困難。攻擊者常誘使受害者開啟含惡意巨集的文件，背景程式執行同時顯示無害 PDF，掩蓋惡意活動。

資料來源：https://industrialcyber.co/reports/google-cloud-warns-cloud-misconfigurations-and-identity-security-gaps-pose-growing-risks-to-critical-infrastructure-systems/