今日頭條
官方微信
官方抖音
資訊頻道
前言
針對云環(huán)境的新型攻擊方式可能尚未引起安全團隊的重視,但這些攻擊所造成的影響可能是災(zāi)難性的。
1 跨云攻擊
安全公司ShieldX的Nedbal說,網(wǎng)絡(luò)攻擊者通常使用公有云環(huán)境滲透到本地數(shù)據(jù)中心。
當(dāng)客戶將其中一個工作負載移動到公有云環(huán)境(如Amazon Web Services或Microsoft Azure)中,并使用Direct Connect(或任何其他VPN隧道)在公有云之間移動到私有云時,就會出現(xiàn)這些類型的威脅。攻擊者如果侵入其中一個環(huán)境,就可以在安全工具的監(jiān)視下橫向移動。
Nedbal說:“第二階段更難檢測,可以從公有云轉(zhuǎn)移到私人數(shù)據(jù)中心。”攻擊者掃描環(huán)境后,可以使用傳統(tǒng)的漏洞在公有云中獲得優(yōu)勢。
他繼續(xù)說,這種威脅可能會在公有云中被捕獲,但防御能力比在本地環(huán)境中更弱。攻擊者在公有云和私有云之間移動具有優(yōu)勢,并且可以利用他的位置在目標網(wǎng)絡(luò)中持久存在。
“網(wǎng)絡(luò)殺傷鏈變成了網(wǎng)絡(luò)殺傷循環(huán),”Nedbal解釋道。“從偵察開始,開始傳播惡意軟件、橫向移動,然后再次啟動偵察。”
2 編排攻擊
云編排用于提供服務(wù)器、獲取和分配存儲容量、處理網(wǎng)絡(luò)、創(chuàng)建虛擬機和管理身份,以及云中的其他任務(wù)。編排攻擊的目標是竊取可以重用的帳戶或密碼密鑰,以便為云資源分配特權(quán)。Nedbal說,例如攻擊者可以使用被盜的帳戶創(chuàng)建新的虛擬機或訪問云存儲。
他指出,他們的成功程度取決于他們竊取賬戶的特權(quán)。然而,一旦業(yè)務(wù)流程帳戶被攻破,攻擊者可以使用其訪問權(quán)限為自己創(chuàng)建備份帳戶,然后使用這些帳戶訪問其他資源。
Nedbal繼續(xù)說,編排攻擊針對的是云API層,因此不能用標準的網(wǎng)絡(luò)流量檢測工具檢測到,安全團隊需要同時觀察基于網(wǎng)絡(luò)的行為和賬戶行為。
3 挖礦型網(wǎng)絡(luò)攻擊
安全公司RedLock的安全專家Chiodi說,噪聲攻擊是整個2018年云計算面臨的主要問題,挖礦型網(wǎng)絡(luò)攻擊就是其中的一種。
他解釋說:“這是一種非常、非常普遍的現(xiàn)象。如果你經(jīng)常關(guān)注這方面的消息,你就會注意到它已經(jīng)影響到加密貨幣的估值,但實際上,網(wǎng)絡(luò)罪犯竊取計算能力比竊取實際數(shù)據(jù)更有利可圖。”
Chiodi繼續(xù)說,黑客專門針對企業(yè)公有云環(huán)境使用加密器,因為它們是彈性計算環(huán)境。許多組織還沒有成熟的云安全程序,這使得它們的云環(huán)境很容易受到攻擊。他指出了兩個同時發(fā)生的因素:云安全平臺的不成熟以及比特幣和以太網(wǎng)等加密貨幣的日益普及。這些因素推動了云中加密劫持的興起。
“各公司都受到了影響,”他指出。云服務(wù)提供商正努力為其平臺的用戶提供更多幫助。“他們最不希望看到的是,人們將公有云視為不安全的。”
Chiodi列出了一些公司可以用來保護自己的對策:定期輪換訪問密鑰、限制出站流量、以及為Web瀏覽器安裝加密攔截器。
4 跨租戶攻擊
Nedbal表示,如果您是云提供商或為云租戶提供計算資源,您的租戶可以請求配置工作負載。租戶可以交換數(shù)據(jù)和共享服務(wù),從現(xiàn)有資源生成流量,這在擁有私有數(shù)據(jù)中心的組織中很常見。不幸的是,這種通信留下了安全漏洞。
由于許多租戶使用相同的云,因此無論資源位于何處,安全邊界都會逐漸消失。這會導(dǎo)致IT組織及其資產(chǎn)增長時出現(xiàn)問題,但相應(yīng)的安全防護設(shè)備不會隨之增長。如果一名員工遭到攻擊,攻擊者可以使用共享服務(wù)滲透到財務(wù)、人力和其他部門。
“如果你在使用云服務(wù)商提供的計算和網(wǎng)絡(luò)資源等服務(wù),比如亞馬遜或AZURE的網(wǎng)絡(luò)服務(wù),那么安全性就更為重要了。”Nedbal說。云租戶可以使用門戶網(wǎng)站上提供的功能來配置私有云, 但是,這些網(wǎng)絡(luò)中的流量通常不是通過傳統(tǒng)的安全控制來發(fā)送的。
他補充說:“為了向租戶提供服務(wù),你必須擴大私有數(shù)據(jù)中心或私有云的規(guī)模。”隨著私人數(shù)據(jù)中心的增長以及企業(yè)對公有云服務(wù)的依賴,這將繼續(xù)是一個問題。“采用的云越多,相關(guān)的跨云攻擊就越多。”
5 跨數(shù)據(jù)中心攻擊
據(jù)安全公司ShieldX的Nedbal稱,一旦進入數(shù)據(jù)中心,攻擊者在獲取敏感資源時通常不會受到限制。
數(shù)據(jù)中心使用交付點(PoD)進行管理,或者使用模塊一起工作來交付服務(wù)。隨著數(shù)據(jù)中心的擴展,連接這些模塊并添加更多內(nèi)容是很常見的。應(yīng)通過多層系統(tǒng)重定向流量來保護PoD,但許多企業(yè)忽略了這一點,開辟了潛在的攻擊媒介。如果PoD的一部分受到攻擊,攻擊者可以從一個數(shù)據(jù)中心擴散到另一個數(shù)據(jù)中心。
6 濫用即時元數(shù)據(jù)APIs
Chiodi說,即時元數(shù)據(jù)API是所有云提供商提供的一種特殊功能。雖然沒有bug或漏洞,但是考慮到它并不在本地運行,通常得不到適當(dāng)?shù)谋Wo或監(jiān)控。攻擊者可能以兩種方式利用它。
第一種方法是脆弱的反向代理。反向代理在公有云環(huán)境中很常見,可以通過設(shè)置主機來調(diào)用即時元數(shù)據(jù)API并獲得憑證的方式進行配置。如果在云環(huán)境中打開代理,可以將其配置為通過反向代理訪問Internet,則可以存儲這些憑證。他說:“如果沒有為特定的實例正確設(shè)置這些訪問憑證的權(quán)限,他們就可以做該實例被授權(quán)的所有事情。”
第二種方法是通過惡意Docker鏡像。開發(fā)人員通過Docker Hub共享Docker鏡像,但是這種便捷性導(dǎo)致了公開信任鏡像的行為,可以利用惡意命令來獲取訪問密鑰。攻擊者可能從受損的容器訪問公有云帳戶。
“即時元數(shù)據(jù)API是一個很好的功能,但你必須知道如何處理它。”Chiodi建議監(jiān)視云中的用戶行為,并在頒發(fā)憑證時遵循最小特權(quán)原則。
7 無服務(wù)器攻擊
Nedbal稱這是“下一級”的云攻擊。無服務(wù)器或功能即服務(wù)(FaaS)體系結(jié)構(gòu)是相對較新的和流行的,因為用戶不必部署、維護和擴展他們自己的服務(wù)器。雖然它使管理變得容易,但是無服務(wù)器架構(gòu)的棘手部分是實現(xiàn)安全控制的挑戰(zhàn)。
FaaS服務(wù)通常有一個可寫的臨時文件系統(tǒng),因此攻擊者可以將他們的攻擊工具保存在臨時文件系統(tǒng)中。FaaS功能可以訪問具有敏感數(shù)據(jù)的企業(yè)數(shù)據(jù)庫,因此,攻擊者可能會泄露數(shù)據(jù),并使用攻擊工具竊取數(shù)據(jù)。使用錯誤的特權(quán),F(xiàn)aaS功能可以幫助他們創(chuàng)建新的虛擬機、訪問云存儲或創(chuàng)建新帳戶或租戶。
Nedbal說:“傳統(tǒng)的安全控制幾乎無法做到這一點,因為無服務(wù)器或功能及服務(wù)(FaaS)體系架構(gòu)甚至能從安全管理員手中奪走虛擬網(wǎng)絡(luò)。”傳統(tǒng)的安全控制很難對付無服務(wù)器的攻擊,對于無服務(wù)器的攻擊,你需要一種方法在流量到達函數(shù)即服務(wù)之前重定向流量。
8 跨工作負載攻擊
這些類型的攻擊發(fā)生在同一個租戶中,沒有什么可以阻止工作負載在同一租戶或虛擬網(wǎng)絡(luò)中相互通信,因此對虛擬桌面的攻擊可能會擴散到虛擬Web服務(wù)器或數(shù)據(jù)庫。
企業(yè)通常使用不受信任的虛擬機來瀏覽和下載在線內(nèi)容。如果任何人受到感染,并且它與具有敏感數(shù)據(jù)的其他工作負載在同一租戶上運行,那么這些可能會受到影響。
“為了降低違規(guī)風(fēng)險,具有不同安全要求的工作負載應(yīng)該在不同的安全區(qū)域,”Nedbal說,“應(yīng)該使用一套豐富的安全控制措施來檢查穿越這些區(qū)域的通信流量,就像對南北向流量采取的安全措施一樣。” 但是,他補充道,在工作負載之間添加安全控制是很困難的。
北京市公安局海淀分局備案號:11010802023656號