云技術(shù)正在發(fā)展,隨之而來(lái)的是新的風(fēng)險(xiǎn)類(lèi)型。傳統(tǒng)的第一代云漏洞通過(guò)公開(kāi)的管理服務(wù)針對(duì)云基礎(chǔ)設(shè)施外圍。但是在下一個(gè)云攻擊的演變過(guò)程中,我們看到攻擊者成熟了他們的策略、技術(shù)和過(guò)程(TTP)來(lái)瞄準(zhǔn)云基礎(chǔ)設(shè)施權(quán)限。最近的違規(guī)行為暴露了系統(tǒng)性問(wèn)題,包括人賬戶和服務(wù)/機(jī)器賬戶的身份授權(quán)過(guò)度。
很可能在某個(gè)時(shí)候,你會(huì)暴露一個(gè)云帳戶。關(guān)鍵是將風(fēng)險(xiǎn)最小化,或者說(shuō)是一些人所說(shuō)的“爆炸半徑”。這里的目標(biāo)是增加一個(gè)額外的防御層,用最少的特權(quán)策略實(shí)現(xiàn)每個(gè)帳戶,以限制一旦該帳戶暴露,攻擊者可以做什么。這不僅僅是多因素身份驗(yàn)證(MFA)。重要的是要記住,即使啟用了MFA,開(kāi)發(fā)人員也可以通過(guò)另一種方法訪問(wèn)環(huán)境。這是通過(guò)他們的AWS訪問(wèn)密鑰完成的。如果這些訪問(wèn)密鑰是通過(guò)在GitHub中發(fā)布嵌入密鑰的代碼而意外暴露的,那么攻擊者就可以提供另一種方法來(lái)訪問(wèn)您的云環(huán)境。
這正是最近發(fā)生的一系列云破壞事件。一旦訪問(wèn)密鑰被暴露,攻擊者就能夠在云基礎(chǔ)設(shè)施中移動(dòng),這是由于權(quán)限過(guò)大,其中許多權(quán)限從未被身份使用過(guò)。為了更好地理解這一點(diǎn),我們創(chuàng)建了一個(gè)云基礎(chǔ)設(shè)施網(wǎng)絡(luò)殺戮鏈。第一代攻擊主要發(fā)生在偵察階段,攻擊者可以發(fā)現(xiàn)公開(kāi)暴露的存儲(chǔ)和服務(wù)。第二代攻擊技術(shù)已經(jīng)成熟成為一個(gè)完整的網(wǎng)絡(luò)殺戮鏈。
讓我們逐步分析這些:
• 偵查(Recon):在此階段,攻擊者正在使用掃描儀和開(kāi)放源代碼工具來(lái)發(fā)現(xiàn)任何低迷的果實(shí),以發(fā)現(xiàn)公開(kāi)暴露的資源,服務(wù)和憑據(jù)。對(duì)于資源,這可以是公共的且不受保護(hù)的Azure Blob /容器或S3存儲(chǔ)桶,也可以是未經(jīng)身份驗(yàn)證的不受保護(hù)的Web應(yīng)用程序。在此階段公開(kāi)的數(shù)據(jù)很大程度上與配置錯(cuò)誤和安全衛(wèi)生狀況不佳有關(guān)。
• 滲透:如果通過(guò)密碼噴霧或沒(méi)有MFA的蠻力攻擊暴露了憑據(jù),或者通過(guò)GitHub或Pastebin獲得了訪問(wèn)密鑰,則攻擊者可以滲透環(huán)境并確定該帳戶可以訪問(wèn)哪些資源。這還涉及發(fā)現(xiàn)可能允許敏感數(shù)據(jù)訪問(wèn)的權(quán)限,以及終止和/或刪除實(shí)例,資源等的能力。從本質(zhì)上講,攻擊者此時(shí)可以竊取數(shù)據(jù),但許多攻擊者會(huì)進(jìn)入下一階段。
• 特權(quán)升級(jí):由于攻擊者發(fā)現(xiàn)對(duì)資源和權(quán)限的訪問(wèn),因此,過(guò)度許可的訪問(wèn)可能允許訪問(wèn)顯示管理員密碼等內(nèi)容的Azure云外殼文件。然后,這可以使攻擊者轉(zhuǎn)到另一個(gè)帳戶。云中還包含“角色鏈”功能。例如,當(dāng)管理員創(chuàng)建允許用戶從一個(gè)帳戶(或訂閱)跳轉(zhuǎn)到另一個(gè)帳戶的sts-assume策略時(shí),AWS提供跨帳戶訪問(wèn)。
•橫向移動(dòng):無(wú)論是AWS中的跨賬戶角色,還是將管理員憑據(jù)暴露在Azure云外殼文件中,還是通過(guò)其他某種技術(shù),攻擊者現(xiàn)在都可以在整個(gè)云基礎(chǔ)架構(gòu)中從一個(gè)帳戶到另一個(gè)帳戶或從訂閱到訂閱進(jìn)行橫向移動(dòng)。這使攻擊者可以發(fā)現(xiàn)更多實(shí)例,虛擬機(jī),存儲(chǔ)資源,數(shù)據(jù)庫(kù)和無(wú)服務(wù)器功能。在這一點(diǎn)上,他們傾向于訪問(wèn)大多數(shù)基礎(chǔ)架構(gòu),并且可能會(huì)泄漏數(shù)據(jù),接管云基礎(chǔ)架構(gòu)或通過(guò)刪除所有內(nèi)容而造成大規(guī)模破壞。
• 滲透:務(wù)必注意,云中的權(quán)限可能會(huì)無(wú)意間允許數(shù)據(jù)滲透。在最突出的漏洞之一中,攻擊者僅因?yàn)榇鎯?chǔ)具有只讀權(quán)限就能夠竊取數(shù)百萬(wàn)條記錄。這使攻擊者不僅可以讀取數(shù)據(jù),還可以下載并制作數(shù)據(jù)的副本。
了解針對(duì)您的云基礎(chǔ)架構(gòu)的攻擊者使用的TTP,可以使您更好地了解如何加強(qiáng)這些云環(huán)境。其中很大一部分是云權(quán)限。在最近的許多漏洞中,廣泛的過(guò)度使用身份使攻擊者可以在云基礎(chǔ)架構(gòu)上橫向移動(dòng),從而暴露了過(guò)多的資源。例如,在一次泄露中,一個(gè)服務(wù)帳戶通常僅用于訪問(wèn)一個(gè)S3存儲(chǔ)桶存儲(chǔ),但該帳戶可以訪問(wèn)大約700個(gè)從未使用過(guò)的其他S3存儲(chǔ)桶。
推薦建議
• 監(jiān)視您的正在進(jìn)行的云權(quán)限:這些權(quán)限每天都在變化,并且在沒(méi)有監(jiān)視這些權(quán)限并對(duì)其進(jìn)行永久性調(diào)整的情況下,許多帳戶被超額使用。為了補(bǔ)充這一點(diǎn),即時(shí)訪問(wèn)或按需特權(quán)自動(dòng)化可以使用戶獲得完成工作所需的訪問(wèn)權(quán)限。
• 監(jiān)視異常:用戶和服務(wù)帳戶在使用情況,一天中的時(shí)間和訪問(wèn)方面表現(xiàn)出模式和行為。在短時(shí)間內(nèi)就活動(dòng)或大量資源的大量增加發(fā)出警報(bào),可以幫助發(fā)現(xiàn)異?;驉阂庑袨椋⒃诎l(fā)生違反事件時(shí)及時(shí)做出響應(yīng)。
• 定期分析策略:跨帳戶訪問(wèn),策略通配符等可能會(huì)導(dǎo)致對(duì)敏感資源的不良訪問(wèn)。存在許多自動(dòng)工具來(lái)發(fā)現(xiàn)高風(fēng)險(xiǎn)措施并調(diào)整這些策略以避免人工監(jiān)督。
管理您的云基礎(chǔ)架構(gòu)安全狀況已不僅僅限于管理外圍。新的挑戰(zhàn)變成了監(jiān)視權(quán)限的持續(xù)變化以及對(duì)云中資源的訪問(wèn)。這歸結(jié)為擺脫基于假設(shè)的策略,現(xiàn)在監(jiān)視正在進(jìn)行的活動(dòng)以了解允許訪問(wèn)可能導(dǎo)致不良風(fēng)險(xiǎn)的資源的復(fù)雜權(quán)限。
隨著我們轉(zhuǎn)向第二代云安全性,正在進(jìn)行的權(quán)限管理對(duì)于保護(hù)您的組織免受下一代云安全威脅并最大程度地減少最近一次云漏洞中的攻擊面至關(guān)重要。
- 蜜度索驥:以跨模態(tài)檢索技術(shù)助力“企宣”向上生長(zhǎng)
- 京東2024年終獎(jiǎng)定了!京東零售平均17薪,A+可達(dá)20薪
- 百萬(wàn)級(jí)硬件說(shuō)用就用,小鵬G9用料到底有多厚道?
- 天璣 8400 移動(dòng)芯片發(fā)布,開(kāi)啟高階智能手機(jī)全大核計(jì)算時(shí)代
- GitLab將停止為中國(guó)區(qū)用戶提供服務(wù),建議遷移到極狐,不遷或被刪賬號(hào)
- SUSE發(fā)布2025年技術(shù)趨勢(shì)預(yù)測(cè):私有AI平臺(tái)的采用將會(huì)增加
- 重新定義金融服務(wù)體驗(yàn) 奇富科技發(fā)布AI伴侶 “小奇”
- 大模型創(chuàng)企階躍星辰完成數(shù)億美元B輪融資 騰訊投資、啟明創(chuàng)投等有投資
- 百川智能發(fā)布全鏈路領(lǐng)域增強(qiáng)金融大模型Baichuan4-Finance,整體準(zhǔn)確率領(lǐng)先GPT-4o近20%
- 央視曝光未成年人可輕松繞開(kāi)“防沉迷”系統(tǒng):租號(hào)玩游戲最低僅需4元
- 知乎發(fā)布2024“年度十問(wèn)”:《黑神話:悟空》、諾貝爾物理學(xué)獎(jiǎng)等問(wèn)題在列
免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。