了解云基礎(chǔ)設(shè)施網(wǎng)絡(luò)攻擊鏈

云技術(shù)正在發(fā)展，隨之而來的是新的風(fēng)險(xiǎn)類型。傳統(tǒng)的第一代云漏洞通過公開的管理服務(wù)針對云基礎(chǔ)設(shè)施外圍。但是在下一個(gè)云攻擊的演變過程中，我們看到攻擊者成熟了他們的策略、技術(shù)和過程（TTP）來瞄準(zhǔn)云基礎(chǔ)設(shè)施權(quán)限。最近的違規(guī)行為暴露了系統(tǒng)性問題，包括人賬戶和服務(wù)/機(jī)器賬戶的身份授權(quán)過度。

很可能在某個(gè)時(shí)候，你會(huì)暴露一個(gè)云帳戶。關(guān)鍵是將風(fēng)險(xiǎn)最小化，或者說是一些人所說的“爆炸半徑”。這里的目標(biāo)是增加一個(gè)額外的防御層，用最少的特權(quán)策略實(shí)現(xiàn)每個(gè)帳戶，以限制一旦該帳戶暴露，攻擊者可以做什么。這不僅僅是多因素身份驗(yàn)證（MFA）。重要的是要記住，即使啟用了MFA，開發(fā)人員也可以通過另一種方法訪問環(huán)境。這是通過他們的AWS訪問密鑰完成的。如果這些訪問密鑰是通過在GitHub中發(fā)布嵌入密鑰的代碼而意外暴露的，那么攻擊者就可以提供另一種方法來訪問您的云環(huán)境。

這正是最近發(fā)生的一系列云破壞事件。一旦訪問密鑰被暴露，攻擊者就能夠在云基礎(chǔ)設(shè)施中移動(dòng)，這是由于權(quán)限過大，其中許多權(quán)限從未被身份使用過。為了更好地理解這一點(diǎn)，我們創(chuàng)建了一個(gè)云基礎(chǔ)設(shè)施網(wǎng)絡(luò)殺戮鏈。第一代攻擊主要發(fā)生在偵察階段，攻擊者可以發(fā)現(xiàn)公開暴露的存儲(chǔ)和服務(wù)。第二代攻擊技術(shù)已經(jīng)成熟成為一個(gè)完整的網(wǎng)絡(luò)殺戮鏈。

讓我們逐步分析這些：

• 偵查（Recon）：在此階段，攻擊者正在使用掃描儀和開放源代碼工具來發(fā)現(xiàn)任何低迷的果實(shí)，以發(fā)現(xiàn)公開暴露的資源，服務(wù)和憑據(jù)。對于資源，這可以是公共的且不受保護(hù)的Azure Blob /容器或S3存儲(chǔ)桶，也可以是未經(jīng)身份驗(yàn)證的不受保護(hù)的Web應(yīng)用程序。在此階段公開的數(shù)據(jù)很大程度上與配置錯(cuò)誤和安全衛(wèi)生狀況不佳有關(guān)。

• 滲透：如果通過密碼噴霧或沒有MFA的蠻力攻擊暴露了憑據(jù)，或者通過GitHub或Pastebin獲得了訪問密鑰，則攻擊者可以滲透環(huán)境并確定該帳戶可以訪問哪些資源。這還涉及發(fā)現(xiàn)可能允許敏感數(shù)據(jù)訪問的權(quán)限，以及終止和/或刪除實(shí)例，資源等的能力。從本質(zhì)上講，攻擊者此時(shí)可以竊取數(shù)據(jù)，但許多攻擊者會(huì)進(jìn)入下一階段。

• 特權(quán)升級(jí)：由于攻擊者發(fā)現(xiàn)對資源和權(quán)限的訪問，因此，過度許可的訪問可能允許訪問顯示管理員密碼等內(nèi)容的Azure云外殼文件。然后，這可以使攻擊者轉(zhuǎn)到另一個(gè)帳戶。云中還包含“角色鏈”功能。例如，當(dāng)管理員創(chuàng)建允許用戶從一個(gè)帳戶（或訂閱）跳轉(zhuǎn)到另一個(gè)帳戶的sts-assume策略時(shí)，AWS提供跨帳戶訪問。

•橫向移動(dòng)：無論是AWS中的跨賬戶角色，還是將管理員憑據(jù)暴露在Azure云外殼文件中，還是通過其他某種技術(shù)，攻擊者現(xiàn)在都可以在整個(gè)云基礎(chǔ)架構(gòu)中從一個(gè)帳戶到另一個(gè)帳戶或從訂閱到訂閱進(jìn)行橫向移動(dòng)。這使攻擊者可以發(fā)現(xiàn)更多實(shí)例，虛擬機(jī)，存儲(chǔ)資源，數(shù)據(jù)庫和無服務(wù)器功能。在這一點(diǎn)上，他們傾向于訪問大多數(shù)基礎(chǔ)架構(gòu)，并且可能會(huì)泄漏數(shù)據(jù)，接管云基礎(chǔ)架構(gòu)或通過刪除所有內(nèi)容而造成大規(guī)模破壞。

• 滲透：務(wù)必注意，云中的權(quán)限可能會(huì)無意間允許數(shù)據(jù)滲透。在最突出的漏洞之一中，攻擊者僅因?yàn)榇鎯?chǔ)具有只讀權(quán)限就能夠竊取數(shù)百萬條記錄。這使攻擊者不僅可以讀取數(shù)據(jù)，還可以下載并制作數(shù)據(jù)的副本。

了解針對您的云基礎(chǔ)架構(gòu)的攻擊者使用的TTP，可以使您更好地了解如何加強(qiáng)這些云環(huán)境。其中很大一部分是云權(quán)限。在最近的許多漏洞中，廣泛的過度使用身份使攻擊者可以在云基礎(chǔ)架構(gòu)上橫向移動(dòng)，從而暴露了過多的資源。例如，在一次泄露中，一個(gè)服務(wù)帳戶通常僅用于訪問一個(gè)S3存儲(chǔ)桶存儲(chǔ)，但該帳戶可以訪問大約700個(gè)從未使用過的其他S3存儲(chǔ)桶。

推薦建議

• 監(jiān)視您的正在進(jìn)行的云權(quán)限：這些權(quán)限每天都在變化，并且在沒有監(jiān)視這些權(quán)限并對其進(jìn)行永久性調(diào)整的情況下，許多帳戶被超額使用。為了補(bǔ)充這一點(diǎn)，即時(shí)訪問或按需特權(quán)自動(dòng)化可以使用戶獲得完成工作所需的訪問權(quán)限。

• 監(jiān)視異常：用戶和服務(wù)帳戶在使用情況，一天中的時(shí)間和訪問方面表現(xiàn)出模式和行為。在短時(shí)間內(nèi)就活動(dòng)或大量資源的大量增加發(fā)出警報(bào)，可以幫助發(fā)現(xiàn)異?；驉阂庑袨椋⒃诎l(fā)生違反事件時(shí)及時(shí)做出響應(yīng)。

• 定期分析策略：跨帳戶訪問，策略通配符等可能會(huì)導(dǎo)致對敏感資源的不良訪問。存在許多自動(dòng)工具來發(fā)現(xiàn)高風(fēng)險(xiǎn)措施并調(diào)整這些策略以避免人工監(jiān)督。

管理您的云基礎(chǔ)架構(gòu)安全狀況已不僅僅限于管理外圍。新的挑戰(zhàn)變成了監(jiān)視權(quán)限的持續(xù)變化以及對云中資源的訪問。這歸結(jié)為擺脫基于假設(shè)的策略，現(xiàn)在監(jiān)視正在進(jìn)行的活動(dòng)以了解允許訪問可能導(dǎo)致不良風(fēng)險(xiǎn)的資源的復(fù)雜權(quán)限。

隨著我們轉(zhuǎn)向第二代云安全性，正在進(jìn)行的權(quán)限管理對于保護(hù)您的組織免受下一代云安全威脅并最大程度地減少最近一次云漏洞中的攻擊面至關(guān)重要。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實(shí)，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。