今日頭條
官方微信
官方抖音
資訊頻道
前言
針對(duì)云環(huán)境的新型攻擊方式可能尚未引起安全團(tuán)隊(duì)的重視,但這些攻擊所造成的影響可能是災(zāi)難性的。
1 跨云攻擊
安全公司ShieldX的Nedbal說(shuō),網(wǎng)絡(luò)攻擊者通常使用公有云環(huán)境滲透到本地?cái)?shù)據(jù)中心。
當(dāng)客戶將其中一個(gè)工作負(fù)載移動(dòng)到公有云環(huán)境(如Amazon Web Services或Microsoft Azure)中,并使用Direct Connect(或任何其他VPN隧道)在公有云之間移動(dòng)到私有云時(shí),就會(huì)出現(xiàn)這些類型的威脅。攻擊者如果侵入其中一個(gè)環(huán)境,就可以在安全工具的監(jiān)視下橫向移動(dòng)。
Nedbal說(shuō):“第二階段更難檢測(cè),可以從公有云轉(zhuǎn)移到私人數(shù)據(jù)中心。”攻擊者掃描環(huán)境后,可以使用傳統(tǒng)的漏洞在公有云中獲得優(yōu)勢(shì)。
他繼續(xù)說(shuō),這種威脅可能會(huì)在公有云中被捕獲,但防御能力比在本地環(huán)境中更弱。攻擊者在公有云和私有云之間移動(dòng)具有優(yōu)勢(shì),并且可以利用他的位置在目標(biāo)網(wǎng)絡(luò)中持久存在。
“網(wǎng)絡(luò)殺傷鏈變成了網(wǎng)絡(luò)殺傷循環(huán),”Nedbal解釋道。“從偵察開(kāi)始,開(kāi)始傳播惡意軟件、橫向移動(dòng),然后再次啟動(dòng)偵察。”
2 編排攻擊
云編排用于提供服務(wù)器、獲取和分配存儲(chǔ)容量、處理網(wǎng)絡(luò)、創(chuàng)建虛擬機(jī)和管理身份,以及云中的其他任務(wù)。編排攻擊的目標(biāo)是竊取可以重用的帳戶或密碼密鑰,以便為云資源分配特權(quán)。Nedbal說(shuō),例如攻擊者可以使用被盜的帳戶創(chuàng)建新的虛擬機(jī)或訪問(wèn)云存儲(chǔ)。
他指出,他們的成功程度取決于他們竊取賬戶的特權(quán)。然而,一旦業(yè)務(wù)流程帳戶被攻破,攻擊者可以使用其訪問(wèn)權(quán)限為自己創(chuàng)建備份帳戶,然后使用這些帳戶訪問(wèn)其他資源。
Nedbal繼續(xù)說(shuō),編排攻擊針對(duì)的是云API層,因此不能用標(biāo)準(zhǔn)的網(wǎng)絡(luò)流量檢測(cè)工具檢測(cè)到,安全團(tuán)隊(duì)需要同時(shí)觀察基于網(wǎng)絡(luò)的行為和賬戶行為。
3 挖礦型網(wǎng)絡(luò)攻擊
安全公司RedLock的安全專家Chiodi說(shuō),噪聲攻擊是整個(gè)2018年云計(jì)算面臨的主要問(wèn)題,挖礦型網(wǎng)絡(luò)攻擊就是其中的一種。
他解釋說(shuō):“這是一種非常、非常普遍的現(xiàn)象。如果你經(jīng)常關(guān)注這方面的消息,你就會(huì)注意到它已經(jīng)影響到加密貨幣的估值,但實(shí)際上,網(wǎng)絡(luò)罪犯竊取計(jì)算能力比竊取實(shí)際數(shù)據(jù)更有利可圖。”
Chiodi繼續(xù)說(shuō),黑客專門針對(duì)企業(yè)公有云環(huán)境使用加密器,因?yàn)樗鼈兪菑椥杂?jì)算環(huán)境。許多組織還沒(méi)有成熟的云安全程序,這使得它們的云環(huán)境很容易受到攻擊。他指出了兩個(gè)同時(shí)發(fā)生的因素:云安全平臺(tái)的不成熟以及比特幣和以太網(wǎng)等加密貨幣的日益普及。這些因素推動(dòng)了云中加密劫持的興起。
“各公司都受到了影響,”他指出。云服務(wù)提供商正努力為其平臺(tái)的用戶提供更多幫助。“他們最不希望看到的是,人們將公有云視為不安全的。”
Chiodi列出了一些公司可以用來(lái)保護(hù)自己的對(duì)策:定期輪換訪問(wèn)密鑰、限制出站流量、以及為Web瀏覽器安裝加密攔截器。
4 跨租戶攻擊
Nedbal表示,如果您是云提供商或?yàn)樵谱鈶籼峁┯?jì)算資源,您的租戶可以請(qǐng)求配置工作負(fù)載。租戶可以交換數(shù)據(jù)和共享服務(wù),從現(xiàn)有資源生成流量,這在擁有私有數(shù)據(jù)中心的組織中很常見(jiàn)。不幸的是,這種通信留下了安全漏洞。
由于許多租戶使用相同的云,因此無(wú)論資源位于何處,安全邊界都會(huì)逐漸消失。這會(huì)導(dǎo)致IT組織及其資產(chǎn)增長(zhǎng)時(shí)出現(xiàn)問(wèn)題,但相應(yīng)的安全防護(hù)設(shè)備不會(huì)隨之增長(zhǎng)。如果一名員工遭到攻擊,攻擊者可以使用共享服務(wù)滲透到財(cái)務(wù)、人力和其他部門。
“如果你在使用云服務(wù)商提供的計(jì)算和網(wǎng)絡(luò)資源等服務(wù),比如亞馬遜或AZURE的網(wǎng)絡(luò)服務(wù),那么安全性就更為重要了。”Nedbal說(shuō)。云租戶可以使用門戶網(wǎng)站上提供的功能來(lái)配置私有云, 但是,這些網(wǎng)絡(luò)中的流量通常不是通過(guò)傳統(tǒng)的安全控制來(lái)發(fā)送的。
他補(bǔ)充說(shuō):“為了向租戶提供服務(wù),你必須擴(kuò)大私有數(shù)據(jù)中心或私有云的規(guī)模。”隨著私人數(shù)據(jù)中心的增長(zhǎng)以及企業(yè)對(duì)公有云服務(wù)的依賴,這將繼續(xù)是一個(gè)問(wèn)題。“采用的云越多,相關(guān)的跨云攻擊就越多。”
5 跨數(shù)據(jù)中心攻擊
據(jù)安全公司ShieldX的Nedbal稱,一旦進(jìn)入數(shù)據(jù)中心,攻擊者在獲取敏感資源時(shí)通常不會(huì)受到限制。
數(shù)據(jù)中心使用交付點(diǎn)(PoD)進(jìn)行管理,或者使用模塊一起工作來(lái)交付服務(wù)。隨著數(shù)據(jù)中心的擴(kuò)展,連接這些模塊并添加更多內(nèi)容是很常見(jiàn)的。應(yīng)通過(guò)多層系統(tǒng)重定向流量來(lái)保護(hù)PoD,但許多企業(yè)忽略了這一點(diǎn),開(kāi)辟了潛在的攻擊媒介。如果PoD的一部分受到攻擊,攻擊者可以從一個(gè)數(shù)據(jù)中心擴(kuò)散到另一個(gè)數(shù)據(jù)中心。
6 濫用即時(shí)元數(shù)據(jù)APIs
Chiodi說(shuō),即時(shí)元數(shù)據(jù)API是所有云提供商提供的一種特殊功能。雖然沒(méi)有bug或漏洞,但是考慮到它并不在本地運(yùn)行,通常得不到適當(dāng)?shù)谋Wo(hù)或監(jiān)控。攻擊者可能以兩種方式利用它。
第一種方法是脆弱的反向代理。反向代理在公有云環(huán)境中很常見(jiàn),可以通過(guò)設(shè)置主機(jī)來(lái)調(diào)用即時(shí)元數(shù)據(jù)API并獲得憑證的方式進(jìn)行配置。如果在云環(huán)境中打開(kāi)代理,可以將其配置為通過(guò)反向代理訪問(wèn)Internet,則可以存儲(chǔ)這些憑證。他說(shuō):“如果沒(méi)有為特定的實(shí)例正確設(shè)置這些訪問(wèn)憑證的權(quán)限,他們就可以做該實(shí)例被授權(quán)的所有事情。”
第二種方法是通過(guò)惡意Docker鏡像。開(kāi)發(fā)人員通過(guò)Docker Hub共享Docker鏡像,但是這種便捷性導(dǎo)致了公開(kāi)信任鏡像的行為,可以利用惡意命令來(lái)獲取訪問(wèn)密鑰。攻擊者可能從受損的容器訪問(wèn)公有云帳戶。
“即時(shí)元數(shù)據(jù)API是一個(gè)很好的功能,但你必須知道如何處理它。”Chiodi建議監(jiān)視云中的用戶行為,并在頒發(fā)憑證時(shí)遵循最小特權(quán)原則。
7 無(wú)服務(wù)器攻擊
Nedbal稱這是“下一級(jí)”的云攻擊。無(wú)服務(wù)器或功能即服務(wù)(FaaS)體系結(jié)構(gòu)是相對(duì)較新的和流行的,因?yàn)橛脩舨槐夭渴稹⒕S護(hù)和擴(kuò)展他們自己的服務(wù)器。雖然它使管理變得容易,但是無(wú)服務(wù)器架構(gòu)的棘手部分是實(shí)現(xiàn)安全控制的挑戰(zhàn)。
FaaS服務(wù)通常有一個(gè)可寫的臨時(shí)文件系統(tǒng),因此攻擊者可以將他們的攻擊工具保存在臨時(shí)文件系統(tǒng)中。FaaS功能可以訪問(wèn)具有敏感數(shù)據(jù)的企業(yè)數(shù)據(jù)庫(kù),因此,攻擊者可能會(huì)泄露數(shù)據(jù),并使用攻擊工具竊取數(shù)據(jù)。使用錯(cuò)誤的特權(quán),F(xiàn)aaS功能可以幫助他們創(chuàng)建新的虛擬機(jī)、訪問(wèn)云存儲(chǔ)或創(chuàng)建新帳戶或租戶。
Nedbal說(shuō):“傳統(tǒng)的安全控制幾乎無(wú)法做到這一點(diǎn),因?yàn)闊o(wú)服務(wù)器或功能及服務(wù)(FaaS)體系架構(gòu)甚至能從安全管理員手中奪走虛擬網(wǎng)絡(luò)。”傳統(tǒng)的安全控制很難對(duì)付無(wú)服務(wù)器的攻擊,對(duì)于無(wú)服務(wù)器的攻擊,你需要一種方法在流量到達(dá)函數(shù)即服務(wù)之前重定向流量。
8 跨工作負(fù)載攻擊
這些類型的攻擊發(fā)生在同一個(gè)租戶中,沒(méi)有什么可以阻止工作負(fù)載在同一租戶或虛擬網(wǎng)絡(luò)中相互通信,因此對(duì)虛擬桌面的攻擊可能會(huì)擴(kuò)散到虛擬Web服務(wù)器或數(shù)據(jù)庫(kù)。
企業(yè)通常使用不受信任的虛擬機(jī)來(lái)瀏覽和下載在線內(nèi)容。如果任何人受到感染,并且它與具有敏感數(shù)據(jù)的其他工作負(fù)載在同一租戶上運(yùn)行,那么這些可能會(huì)受到影響。
“為了降低違規(guī)風(fēng)險(xiǎn),具有不同安全要求的工作負(fù)載應(yīng)該在不同的安全區(qū)域,”Nedbal說(shuō),“應(yīng)該使用一套豐富的安全控制措施來(lái)檢查穿越這些區(qū)域的通信流量,就像對(duì)南北向流量采取的安全措施一樣。” 但是,他補(bǔ)充道,在工作負(fù)載之間添加安全控制是很困難的。
北京市公安局海淀分局備案號(hào):11010802023656號(hào)