雲已成為攻擊者活動的新戰場:CrowdStrike 觀察到,從 2021 年到 2022 年,雲利用增加瞭 95%,涉及直接針對雲的威脅行為者的案件增加瞭 288%。保護你的雲環境需要瞭解威脅行為者的運作方式——他們如何闖入和橫向移動、他們瞄準哪些資源以及他們如何逃避檢測。
附上參考數據:
1、雲配置錯誤帶來地安全問題
雲配置錯誤(當安全設置選擇不當或完全忽略時出現的漏洞、錯誤或漏洞)為攻擊者提供瞭滲透雲的簡單途徑。多雲環境很復雜,很難判斷何時授予瞭過多的帳戶權限、配置瞭不正確的公共訪問或發生瞭其他錯誤。也很難判斷對手何時利用它們。
雲中配置錯誤的設置為攻擊者快速行動掃清瞭道路。雲中的漏洞可能會暴露大量敏感信息,包括個人數據、財務記錄、知識產權和商業秘密。對手在不被發現的情況下通過雲環境尋找和竊取這些數據的速度是一個主要問題。惡意行為者將通過使用雲環境中的本機工具來加快在雲中搜索和查找有價值數據的過程,這與他們必須部署工具的本地環境不同,這使得他們更難避免檢測。需要適當的雲安全來防止造成廣泛後果的違規行為。
2、常見的錯誤配置
那麼,我們看到威脅行為者最常見的錯誤配置是什麼,以及對手如何利用它們來獲取你的數據?
無效的網絡控制:網絡訪問控制中的間隙和盲點為攻擊者留下瞭許多大門,讓他們可以直接通過。
不受限制的出站訪問:當你對互聯網具有不受限制的出站訪問權限時,不良行為者可以利用你缺乏出站限制和工作負載保護來從你的雲平臺竊取數據。你的雲實例應限制為特定的 IP 地址和服務,以防止對手訪問和竊取你的數據。
配置不當的公共訪問:將存儲桶或關鍵網絡服務(例如 SSH(安全外殼協議)、SMB(服務器消息塊)或 RDP(遠程桌面協議))暴露到互聯網,甚至是不打算公開的 Web 服務公開,可能會迅速導致服務器的雲攻擊以及敏感數據的泄露或刪除。
公共快照和映像:意外公開卷快照或計算機映像(模板)的情況很少見。當這種情況發生時,機會主義的對手就可以從該公共圖像中收集敏感數據。在某些情況下,該數據可能包含密碼、密鑰和證書或 API 憑據,從而導致雲平臺遭受更大的損害。
開放數據庫、緩存和存儲桶:開發人員有時會在沒有足夠的身份驗證/授權控制的情況下公開數據庫或對象緩存,從而將整個數據庫或緩存暴露給機會主義對手,以進行數據盜竊、破壞或篡改。
被忽視的雲基礎設施:你會驚訝地發現,有多少次雲平臺為瞭支持短期需求而啟動,但在練習結束時仍保持運行,並在團隊繼續前進後被忽視。開發或安全運營團隊不維護被忽視的雲基礎設施,從而使不良行為者可以自由地獲取訪問權限以搜索可能遺留的敏感數據。
網絡分段不充分:網絡安全組等現代雲網絡概念使 ACL (訪問控制列表)等陳舊、繁瑣的做法成為過去。但是,安全組管理實踐不足可能會創建一個環境,使攻擊者可以根據“網絡內部是安全的”和“隻需要前端防火墻”這一隱含的架構假設,在主機之間、服務之間自由移動。” 由於不利用安全組功能僅允許需要通信的主機組進行通信,並阻止不必要的出站流量,雲防禦者錯過瞭阻止涉及基於雲的端點的大多數違規行為的機會。
監控和警報差距:集中查看所有服務的日志和警報,使搜索異常變得更加容易。
禁用日志記錄:雲安全事件的有效數據記錄對於檢測惡意威脅行為者行為至關重要。然而,在許多情況下,雲平臺上默認禁用日志記錄,或者禁用日志記錄以減少維護日志的開銷。如果禁用日志記錄,則不會記錄任何事件,因此無法檢測潛在的惡意事件或操作。應將啟用和管理日志記錄作為最佳實踐。
缺少警報:大多數雲提供商和所有雲安全態勢管理提供商都會針對重要的錯誤配置提供警報,並且大多數會檢測異常或可能的惡意活動。不幸的是,防禦者通常不會在他們的雷達上發現這些警報,這要麼是由於太多的低相關性信息(警報疲勞),要麼是因為這些警報源與他們尋找警報的位置(例如 SIEM)之間缺乏聯系。安全信息和事件管理)工具。
無效的身份架構:用戶帳戶的存在不植根於單一身份提供商,該身份提供商強制執行有限的會話時間和多因素身份驗證 (MFA),並且可以標記或阻止不規則或高風險簽名活動的登錄,這是導致以下問題的核心原因:雲數據泄露,因為憑證使用被盜的風險非常高。
公開的訪問密鑰:訪問密鑰作為安全主體用於與雲服務平面進行交互。暴露的密鑰可能會被未經授權的人員迅速濫用來竊取或刪除數據;威脅行為者還可能要求贖金,以換取不出售或泄露的承諾。雖然這些密鑰可以保密,盡管有一些困難,但最好讓它們過期,或者使用自動輪換的短期訪問密鑰,並限制它們的使用地點(來自哪些網絡和 IP 地址)。
帳戶權限過多:大多數帳戶(角色、服務)都有一組有限的正常操作和稍大一些的偶爾操作。當他們被提供瞭遠大於所需的特權並且這些特權被威脅行為者濫用時,“爆炸半徑”就不必要地大瞭。過多的權限會導致橫向移動、持久性和權限升級,這可能會導致數據泄露、破壞和代碼篡改等更嚴重的影響。
3、寫在最後
如今雲無處不在。許多組織在做出節省成本和靈活性的決定時,沒有考慮這種新基礎設施帶來的安全挑戰。如果沒有必要的培訓,安全團隊就無法理解雲安全。維護雲安全態勢管理的最佳實踐將幫助你避免導致雲安全漏洞的常見錯誤配置。
文章出處: