今日頭條
官方微信
官方抖音
資訊頻道
前言
針對云環境的新型攻擊方式可能尚未引起安全團隊的重視,但這些攻擊所造成的影響可能是災難性的。
1 跨云攻擊
安全公司ShieldX的Nedbal說,網絡攻擊者通常使用公有云環境滲透到本地數據中心。
當客戶將其中一個工作負載移動到公有云環境(如Amazon Web Services或Microsoft Azure)中,并使用Direct Connect(或任何其他VPN隧道)在公有云之間移動到私有云時,就會出現這些類型的威脅。攻擊者如果侵入其中一個環境,就可以在安全工具的監視下橫向移動。
Nedbal說:“第二階段更難檢測,可以從公有云轉移到私人數據中心。”攻擊者掃描環境后,可以使用傳統的漏洞在公有云中獲得優勢。
他繼續說,這種威脅可能會在公有云中被捕獲,但防御能力比在本地環境中更弱。攻擊者在公有云和私有云之間移動具有優勢,并且可以利用他的位置在目標網絡中持久存在。
“網絡殺傷鏈變成了網絡殺傷循環,”Nedbal解釋道。“從偵察開始,開始傳播惡意軟件、橫向移動,然后再次啟動偵察。”
2 編排攻擊
云編排用于提供服務器、獲取和分配存儲容量、處理網絡、創建虛擬機和管理身份,以及云中的其他任務。編排攻擊的目標是竊取可以重用的帳戶或密碼密鑰,以便為云資源分配特權。Nedbal說,例如攻擊者可以使用被盜的帳戶創建新的虛擬機或訪問云存儲。
他指出,他們的成功程度取決于他們竊取賬戶的特權。然而,一旦業務流程帳戶被攻破,攻擊者可以使用其訪問權限為自己創建備份帳戶,然后使用這些帳戶訪問其他資源。
Nedbal繼續說,編排攻擊針對的是云API層,因此不能用標準的網絡流量檢測工具檢測到,安全團隊需要同時觀察基于網絡的行為和賬戶行為。
3 挖礦型網絡攻擊
安全公司RedLock的安全專家Chiodi說,噪聲攻擊是整個2018年云計算面臨的主要問題,挖礦型網絡攻擊就是其中的一種。
他解釋說:“這是一種非常、非常普遍的現象。如果你經常關注這方面的消息,你就會注意到它已經影響到加密貨幣的估值,但實際上,網絡罪犯竊取計算能力比竊取實際數據更有利可圖。”
Chiodi繼續說,黑客專門針對企業公有云環境使用加密器,因為它們是彈性計算環境。許多組織還沒有成熟的云安全程序,這使得它們的云環境很容易受到攻擊。他指出了兩個同時發生的因素:云安全平臺的不成熟以及比特幣和以太網等加密貨幣的日益普及。這些因素推動了云中加密劫持的興起。
“各公司都受到了影響,”他指出。云服務提供商正努力為其平臺的用戶提供更多幫助。“他們最不希望看到的是,人們將公有云視為不安全的。”
Chiodi列出了一些公司可以用來保護自己的對策:定期輪換訪問密鑰、限制出站流量、以及為Web瀏覽器安裝加密攔截器。
4 跨租戶攻擊
Nedbal表示,如果您是云提供商或為云租戶提供計算資源,您的租戶可以請求配置工作負載。租戶可以交換數據和共享服務,從現有資源生成流量,這在擁有私有數據中心的組織中很常見。不幸的是,這種通信留下了安全漏洞。
由于許多租戶使用相同的云,因此無論資源位于何處,安全邊界都會逐漸消失。這會導致IT組織及其資產增長時出現問題,但相應的安全防護設備不會隨之增長。如果一名員工遭到攻擊,攻擊者可以使用共享服務滲透到財務、人力和其他部門。
“如果你在使用云服務商提供的計算和網絡資源等服務,比如亞馬遜或AZURE的網絡服務,那么安全性就更為重要了。”Nedbal說。云租戶可以使用門戶網站上提供的功能來配置私有云, 但是,這些網絡中的流量通常不是通過傳統的安全控制來發送的。
他補充說:“為了向租戶提供服務,你必須擴大私有數據中心或私有云的規模。”隨著私人數據中心的增長以及企業對公有云服務的依賴,這將繼續是一個問題。“采用的云越多,相關的跨云攻擊就越多。”
5 跨數據中心攻擊
據安全公司ShieldX的Nedbal稱,一旦進入數據中心,攻擊者在獲取敏感資源時通常不會受到限制。
數據中心使用交付點(PoD)進行管理,或者使用模塊一起工作來交付服務。隨著數據中心的擴展,連接這些模塊并添加更多內容是很常見的。應通過多層系統重定向流量來保護PoD,但許多企業忽略了這一點,開辟了潛在的攻擊媒介。如果PoD的一部分受到攻擊,攻擊者可以從一個數據中心擴散到另一個數據中心。
6 濫用即時元數據APIs
Chiodi說,即時元數據API是所有云提供商提供的一種特殊功能。雖然沒有bug或漏洞,但是考慮到它并不在本地運行,通常得不到適當的保護或監控。攻擊者可能以兩種方式利用它。
第一種方法是脆弱的反向代理。反向代理在公有云環境中很常見,可以通過設置主機來調用即時元數據API并獲得憑證的方式進行配置。如果在云環境中打開代理,可以將其配置為通過反向代理訪問Internet,則可以存儲這些憑證。他說:“如果沒有為特定的實例正確設置這些訪問憑證的權限,他們就可以做該實例被授權的所有事情。”
第二種方法是通過惡意Docker鏡像。開發人員通過Docker Hub共享Docker鏡像,但是這種便捷性導致了公開信任鏡像的行為,可以利用惡意命令來獲取訪問密鑰。攻擊者可能從受損的容器訪問公有云帳戶。
“即時元數據API是一個很好的功能,但你必須知道如何處理它。”Chiodi建議監視云中的用戶行為,并在頒發憑證時遵循最小特權原則。
7 無服務器攻擊
Nedbal稱這是“下一級”的云攻擊。無服務器或功能即服務(FaaS)體系結構是相對較新的和流行的,因為用戶不必部署、維護和擴展他們自己的服務器。雖然它使管理變得容易,但是無服務器架構的棘手部分是實現安全控制的挑戰。
FaaS服務通常有一個可寫的臨時文件系統,因此攻擊者可以將他們的攻擊工具保存在臨時文件系統中。FaaS功能可以訪問具有敏感數據的企業數據庫,因此,攻擊者可能會泄露數據,并使用攻擊工具竊取數據。使用錯誤的特權,FaaS功能可以幫助他們創建新的虛擬機、訪問云存儲或創建新帳戶或租戶。
Nedbal說:“傳統的安全控制幾乎無法做到這一點,因為無服務器或功能及服務(FaaS)體系架構甚至能從安全管理員手中奪走虛擬網絡。”傳統的安全控制很難對付無服務器的攻擊,對于無服務器的攻擊,你需要一種方法在流量到達函數即服務之前重定向流量。
8 跨工作負載攻擊
這些類型的攻擊發生在同一個租戶中,沒有什么可以阻止工作負載在同一租戶或虛擬網絡中相互通信,因此對虛擬桌面的攻擊可能會擴散到虛擬Web服務器或數據庫。
企業通常使用不受信任的虛擬機來瀏覽和下載在線內容。如果任何人受到感染,并且它與具有敏感數據的其他工作負載在同一租戶上運行,那么這些可能會受到影響。
“為了降低違規風險,具有不同安全要求的工作負載應該在不同的安全區域,”Nedbal說,“應該使用一套豐富的安全控制措施來檢查穿越這些區域的通信流量,就像對南北向流量采取的安全措施一樣。” 但是,他補充道,在工作負載之間添加安全控制是很困難的。
北京市公安局海淀分局備案號:11010802023656號