|
云計算環(huán)境攻擊的八種方式
網(wǎng)絡(luò)攻擊的一些方法可能尚未出現(xiàn)在企業(yè)的安全團隊的名單上���,但考慮到它們的影響�,人們應(yīng)該對它們保持警惕。
隨著企業(yè)努力保護他們的云計算環(huán)境�,他們需要知道哪種類型的攻擊最有可能發(fā)生。RedLock公司云計算安全副總裁Matthew Chiodi表示:“云計算已存在多年�����,但云計算安全性在過去一年左右才成為正式規(guī)范���?����!彪S著云計算的發(fā)展����,攻擊者正在尋找一些新的、先進的方式來侵入企業(yè)環(huán)境�。Chiodi說,公共云安全事件通常源于對共享責任模式的不了解�,這種模式將管理云計算用戶和提供商如何承擔安全負擔?�!拔覀冋?wù)摰脑S多威脅都是組織不了解公共云威脅模型的結(jié)果���。”他解釋道��?��?蛻艉茈y在公共云中使用安全工具���,而傳統(tǒng)的企業(yè)工具無法在云計算環(huán)境的動態(tài)特性中運行。
隨著企業(yè)以更快的速度將更多代碼投入生產(chǎn),CA Veracode公司安全研究副總裁ChrisEng強調(diào)了將漏洞避免直接建立在DevOps管道中的重要性�����。ShieldX公司的首席技術(shù)官Manuel Nedbal表示�����,如今的云計算正面臨著幾種類型的威脅�����?���!拔覀兛吹酱蠖鄶?shù)攻擊都是編排或跨云攻擊,或數(shù)據(jù)中心攻擊����,”他說,這些事件的整體上升歸因于云采用率的上升���。
在這里���,兩位云安全專家指出了不同類型的網(wǎng)絡(luò)攻擊���,并解釋了它們?nèi)绾斡绊懺骗h(huán)境。
(1)跨云攻擊
ShieldX的Nedbal說����,網(wǎng)絡(luò)攻擊者通常使用公共云環(huán)境滲透到本地數(shù)據(jù)中心。當客戶將其中一個工作負載移動到公共云環(huán)境中�,并使用Direct Connect(或任何其他VPN隧道)在公共云之間移動到私有云時,就會出現(xiàn)這些類型的威脅����。然后,在安全工具的雷達下����,攻擊者破壞其中一個環(huán)境可以橫向移動。
“第二階段更難以發(fā)現(xiàn)����,可以從公共云遷移到私有數(shù)據(jù)中心���,”Nedbal說���。在攻擊者掃描環(huán)境后���,他可以使用傳統(tǒng)的漏洞和攻擊來獲得公共云的優(yōu)勢。他繼續(xù)說���,這種威脅可能會在公共云中被捕獲����,但防御在那里比在本地環(huán)境中更弱�����。攻擊者在公共云和私有云之間移動方面具有優(yōu)勢����,并且可以利用他的位置在目標網(wǎng)絡(luò)中持久存在?�!熬W(wǎng)絡(luò)殺傷鏈變成了網(wǎng)絡(luò)殺傷循環(huán)�����,”Nedbal解釋道���,“從偵察開始���,開始傳播惡意軟件�����,開始橫向移動�,然后再次啟動偵察�����?����!?
(2)編排攻擊
Nedbal表示�����,云計算協(xié)調(diào)用于配置服務(wù)器��,獲取和分配存儲容量����,處理網(wǎng)絡(luò)�����,創(chuàng)建虛擬機以及管理身份以及云中的其他任務(wù)。編排攻擊旨在竊取可以重用的帳戶或加密密鑰�,以便為云計算資源分配權(quán)限。例如�����,攻擊者可以使用被盜帳戶創(chuàng)建新虛擬機或訪問云存儲�,
他指出,他們?nèi)〉枚啻蟪晒θQ于他們竊取的賬戶的特權(quán)��。但是�����,一旦編排帳戶被破壞�����,攻擊者就可以使用他們的訪問權(quán)限為自己創(chuàng)建備份帳戶���,然后使用這些帳戶訪問其他資源�。Nedbal繼續(xù)說�����,編排攻擊針對的是云計算API層,因此無法使用標準的網(wǎng)絡(luò)流量檢測工具進行檢測�。安全團隊希望觀察基于網(wǎng)絡(luò)的行為和帳戶行為。
(3)加密劫持
RedLock公司Chiodi說�����,2018年人們面臨的威脅仍然是云計算的主要問題�����?����!斑@仍然非常非常普遍���,”他解釋道�,“如果人們關(guān)注這個消息���,就會看到加密估值的起起落落���,但實際上,竊取計算能力的網(wǎng)絡(luò)犯罪分子實際上比偷竊實際數(shù)據(jù)更有利可圖��?��!?
Chiodi繼續(xù)說����,黑客是專門針對企業(yè)公共云環(huán)境的加密器進行攻擊����,因為它們是彈性計算環(huán)境。許多組織還沒有成熟的云計算安全計劃�����,使其云端容易受到攻擊���。他指出了兩個同時發(fā)生的因素:云計算安全平臺的不成熟以及比特幣和以太網(wǎng)等加密貨幣的日益普及���,這推動了云中加密劫持的興起?����!捌髽I(yè)將全面受到影響,”他指出��。云計算提供商本身正在嘗試采取更多措施來幫助其平臺用戶��?����!昂诳拖胍龅淖詈笠患戮褪亲屓藗冊谀X海中等同于公共云是不安全的��?�!薄肮救媸艿接绊?����,”他指出���。云提供商本身正在嘗試采取更多措施來幫助其平臺用戶��。
Chiodi引用了企業(yè)可以采取的一些保護措施:定期輪換訪問密鑰�,限制出站流量�����,并為Web瀏覽器安裝加密攔截器。
(4)跨租戶攻擊
ShieldX公司的Nedbal表示����,如果企業(yè)是云計算提供商或為某些租戶提供計算�����,其租戶可以請求配置工作負載���。租戶可以交換數(shù)據(jù)和共享服務(wù)���,從現(xiàn)有資源生成流量,這在擁有私有數(shù)據(jù)中心的組織中很常見���。不幸的是�,這種流量留下了安全漏洞��。由于許多租戶使用相同的云平臺�,因此無論資源位于何處,周邊安全性都會逐漸消失�����。這會導(dǎo)致IT組織及其資產(chǎn)增長時出現(xiàn)問題,但外圍或安全設(shè)備不會隨之增長����。如果一名員工的業(yè)務(wù)遭到攻擊,攻擊者可以使用共享服務(wù)滲透財務(wù)����、人力資源和其他部門。
租戶可以使用門戶來配置虛擬私有云����;但是,這些網(wǎng)絡(luò)中的流量通常不是通過傳統(tǒng)的安全控制來發(fā)送的��?����!捌髽I(yè)必須擴展私人數(shù)據(jù)中心或私有云�,為租戶提供服務(wù)?�!彼a充道�����。隨著私有數(shù)據(jù)中心的發(fā)展以及企業(yè)依賴公共云服務(wù),這將繼續(xù)成為一個問題�����。
(5)跨數(shù)據(jù)中心攻擊
據(jù)ShieldX的Nedbal稱�����,一旦進入數(shù)據(jù)中心��,攻擊者通常不會面臨獲取敏感資源的界限�。使用交付點(PoD)或協(xié)同工作以提供服務(wù)的模塊來管理數(shù)據(jù)中心�����。隨著數(shù)據(jù)中心的擴展���,連接這些模塊并添加更多內(nèi)容是很常見的��。應(yīng)通過多層系統(tǒng)重定向流量來保護PoD���,但許多企業(yè)忽略了這一點�����,開辟了潛在的攻擊向量��。如果PoD的一部分受到攻擊��,攻擊者可以從一個數(shù)據(jù)中心擴散到另一個數(shù)據(jù)中心�。
(6)即時元數(shù)據(jù)API的誤用
RedDock公司Chiodi說�,即時元數(shù)據(jù)API是所有云計算提供商提供的特定功能。沒有錯誤或漏洞利用�,但鑒于它不存在于本地數(shù)據(jù)中心,它通常不能得到妥善保護或監(jiān)控�����。攻擊者可能以兩種可能的方式利用它����。
他解釋說,首先是易受攻擊的反向代理�。反向代理在公共云環(huán)境中很常見,并且可以通過某人可以設(shè)置主機來調(diào)用即時元數(shù)據(jù)API并獲取憑據(jù)的方式進行配置��。如果有人在云環(huán)境中啟動代理���,則可以通過以下方式對其進行配置:如果其中一個云計算實例通過該反向代理訪問全球互聯(lián)網(wǎng)��,則可以存儲這些憑據(jù)��?!叭绻橙藳]有正確設(shè)置該特定實例的訪問憑證的權(quán)限,他們可以做任何權(quán)限授予該實例的任何內(nèi)容����,”他說。
第二種方式是通過惡意Docker鏡像����。Chiodi解釋說��,開發(fā)人員通過DockerHub共享Docker鏡像���,但易用性導(dǎo)致了公開信任可能利用惡意命令來提取訪問密鑰的圖像的行為��。網(wǎng)絡(luò)攻擊可能會從受感染的容器擴展到攻擊者訪問公共云帳戶����?����!斑@是一個很棒的功能,但你必須知道如何處理它�����,”他說��。Chiodi建議監(jiān)控云中的用戶行為���,并在頒發(fā)憑證時遵循最小權(quán)限原則���。
(7)無服務(wù)器攻擊
ShieldX公司Nedbal稱這是云計算攻擊的“下一級”。無服務(wù)器或功能即服務(wù)(FaaS)架構(gòu)相對較新且流行����,因為用戶無需部署、維護和擴展自己的服務(wù)器��。雖然它使管理變得簡單��,但無服務(wù)器架構(gòu)的棘手部分是實施安全控制的挑戰(zhàn)����。
FaaS服務(wù)通常具有可寫的臨時文件系統(tǒng)���,因此攻擊者可以在臨時文件系統(tǒng)中使用其攻擊工具。FaaS功能可以訪問具有敏感數(shù)據(jù)的公司數(shù)據(jù)庫�。因此,攻擊者可以使用他們的攻擊工具泄漏數(shù)據(jù)并泄露數(shù)據(jù)���。使用錯誤的權(quán)限���,F(xiàn)aaS功能可以幫助他們創(chuàng)建新的虛擬機,訪問云存儲或創(chuàng)建新帳戶或租戶�。“傳統(tǒng)的安全控制措施真的很少�����,因為無服務(wù)器甚至可以從安全管理員手中奪走虛擬網(wǎng)絡(luò)���,”Nedbal說,“無服務(wù)器攻擊非常難以應(yīng)對傳統(tǒng)的安全控制�,而.對于無服務(wù)器攻擊,企業(yè)需要一種在流量功能即服務(wù)之前重定向流量的方法��?!?
(8)跨工作負載攻擊
ShieldX公司Nedbal說�����,這些類型的攻擊發(fā)生在同一個租戶中���,沒有什么可以阻止工作負載在同一租戶或虛擬網(wǎng)絡(luò)中相互通信,因此對虛擬桌面的攻擊可能會擴散到虛擬Web服務(wù)器或數(shù)據(jù)庫�。企業(yè)通常使用不受信任的虛擬機來瀏覽和下載在線內(nèi)容。如果受到感染���,并且它與具有敏感數(shù)據(jù)的其他工作負載在同一租戶上運行����,那么這些可能會受到影響���。
為了降低違規(guī)風險�,具有不同安全要求的工作負載應(yīng)該位于不同的時區(qū)�。Nedbal在一篇博客文章中表示,“應(yīng)該使用一系列豐富的安全控制措施來檢查遍布這些區(qū)域的流量�����,例如就像南北周邊防御系統(tǒng)所預(yù)期的安全控制措施?���!比欢a充說�����,在工作負載之間添加安全控制很困難�����。
|
