云時(shí)代的安全問(wèn)題是當(dāng)務(wù)之急,因?yàn)樵茷閻阂庑袨檎咛峁┝吮纫酝嗟哪繕?biāo)集,,并提供了進(jìn)行攻擊的新工具,。這些攻擊所基于的啟動(dòng)點(diǎn)范圍很廣——從一般憑據(jù)(例如被遺忘的或被盜的憑據(jù))到使用AWS Glue和Sage Maker等數(shù)據(jù)科學(xué)工具的新憑證,以及使用Kubernetes等強(qiáng)大的工具實(shí)施的復(fù)雜攻擊等等。
2021年,我們勢(shì)必將看到更多針對(duì)云服務(wù)的攻擊活動(dòng),以下是云安全在接下來(lái)一年的威脅預(yù)測(cè):
持續(xù)性攻擊
當(dāng)創(chuàng)建新實(shí)例并運(yùn)行可以匹配所需任何硬件或軟件環(huán)境的虛擬機(jī)時(shí),,云體系結(jié)構(gòu)可提供完全的靈活性。但是,,這種靈活性(如果不能得到適當(dāng)保護(hù)的話)又會(huì)誘發(fā)惡意行為者發(fā)動(dòng)攻擊,,并在保持對(duì)初始攻擊的控制權(quán)的情況下發(fā)起持續(xù)性攻擊。
像Amazon Web Services這樣的云服務(wù)使開(kāi)發(fā)人員可以輕松地以漸進(jìn)式或間斷式的方法構(gòu)建環(huán)境,。例如,,AWS允許開(kāi)發(fā)人員在每次重新啟動(dòng)Amazon EC2實(shí)例(即為用戶(hù)數(shù)據(jù))時(shí)自動(dòng)執(zhí)行腳本,這就意味著如果黑客設(shè)法使用可能已傳遞到云實(shí)例的有毒shell腳本來(lái)利用實(shí)例,,那么他們將能夠持續(xù)不斷地利用其與服務(wù)器的連接,。
通過(guò)這種方式,黑客將能夠在服務(wù)器內(nèi)橫向移動(dòng),,竊取數(shù)據(jù)或獲取特權(quán),,使他們能夠進(jìn)一步利用組織的資產(chǎn)。當(dāng)然,,管理員可以關(guān)閉此選項(xiàng),,并要求開(kāi)發(fā)人員每次返回環(huán)境時(shí)都要進(jìn)行登錄——但是實(shí)現(xiàn)這一步需要開(kāi)發(fā)人員積極主動(dòng)配合才行。本質(zhì)上來(lái)說(shuō),,AWS的靈活性也正是其弱點(diǎn)所在,;除了過(guò)多的配置選項(xiàng)外,,服務(wù)錯(cuò)誤配置的機(jī)會(huì)也更多,從而給黑客留下了更多的攻擊入口,。
數(shù)據(jù)科學(xué)工具攻擊
事實(shí)證明,,筆記本(Notebook)對(duì)于數(shù)據(jù)科學(xué)家來(lái)說(shuō)是必不可少的存在,能夠幫助他們快速集成和分析數(shù)據(jù),。像是AWS Sage Maker這類(lèi)工具可以使該流程更加高效,,幫助數(shù)據(jù)科學(xué)家構(gòu)建、訓(xùn)練和部署機(jī)器學(xué)習(xí)模型,。但是,,作為一種相對(duì)較新的工具,其受眾范圍并非全是安全領(lǐng)域的人士,,自然地,,安全意識(shí)也會(huì)相對(duì)薄弱,這也給了惡意行為者可乘之機(jī),。
與其他Amazon產(chǎn)品一樣,,Sage Maker之類(lèi)的工具同樣非常靈活,,且具有很多選項(xiàng),。研究表明,惡意行為者可以利用這些選項(xiàng)中一些來(lái)提升他們的特權(quán),,甚至給自己授予更高的管理員特權(quán),。該攻擊路徑可能使惡意行為者能夠打開(kāi)云實(shí)例上的終端功能,并繞過(guò)Amazon GuardDuty(可用于訪問(wèn)高級(jí)角色和權(quán)限)泄露憑證數(shù)據(jù),。同樣地,,惡意行為者還可以利用CloudGoat等開(kāi)源項(xiàng)目,并使用AWS Glue,、CodeBuild和S3以及未使用的組和角色來(lái)進(jìn)行特權(quán)升級(jí),。面對(duì)這種情況,管理員和數(shù)字科學(xué)家也需要熟悉自身正在使用的系統(tǒng)的體系架構(gòu),,以保護(hù)自身安全,,并最大限度地縮小惡意行為者的活動(dòng)空間。
機(jī)器人可能會(huì)感染云遺留資產(chǎn)
機(jī)器人無(wú)所不在,,云端也不例外,;安全公司GlobalDots的一份調(diào)查報(bào)告顯示,超過(guò)80%的“惡意機(jī)器人”(即竊取數(shù)據(jù),、抓取內(nèi)容,、分發(fā)垃圾郵件、運(yùn)行分布式拒絕服務(wù)攻擊等行為的機(jī)器人)都是基于云的數(shù)據(jù)中心運(yùn)行的,。盡管許多機(jī)器人會(huì)投毒其他站點(diǎn)——使用它們控制的服務(wù)器去攻擊其他服務(wù)器和用戶(hù),,但是它們也可以簡(jiǎn)單地控制云基礎(chǔ)架構(gòu)來(lái)為其所有者執(zhí)行任務(wù),。研究表明,在這些任務(wù)中,,更受歡迎的是加密貨幣挖礦(cryptomining),,在某種程度上,它也算是周邊最大的網(wǎng)絡(luò)威脅之一,。
據(jù)研究人員稱(chēng),,如果說(shuō)竊取資源和資金還不夠,那么加密貨幣挖礦惡意軟件的新變種現(xiàn)在還會(huì)竊取AWS憑證,。該蠕蟲(chóng)利用加密貨幣挖礦惡意軟件進(jìn)行封裝,,并尋找未加密的AWS CLI文件,最后會(huì)從中提取憑證數(shù)據(jù),。解決方案是限制對(duì)這些數(shù)據(jù)的訪問(wèn)——但是這點(diǎn)同樣需要管理員的積極配合,。
更多Kubernetes威脅到來(lái)
負(fù)責(zé)上述AWS憑證盜竊的同一網(wǎng)絡(luò)犯罪組織TeamTNT,利用常見(jiàn)的配置錯(cuò)誤問(wèn)題,,開(kāi)發(fā)了濫用可視化和監(jiān)視工具Weave Scope的方法,。黑客使用通過(guò)端口4040授予的默認(rèn)開(kāi)放訪問(wèn)權(quán)限,來(lái)安裝Weave Scope,,并將其用作監(jiān)視系統(tǒng),、利用資源、安裝應(yīng)用程序,、啟動(dòng)或關(guān)閉容器中Shell的后門(mén)程序,,實(shí)現(xiàn)自己想要實(shí)現(xiàn)的一切事情。
根據(jù)網(wǎng)絡(luò)安全公司Intezer和Microsoft發(fā)布的最新研究顯示,,Weave Scope已經(jīng)成功被納入基于云的攻擊中,。
目前,黑客大多使用這些方法來(lái)安裝加密貨幣挖礦惡意軟件,,但是卻找不到辦法阻止它們控制云系統(tǒng)用于惡意目的,。攻擊媒介不斷變化,而且還在持續(xù)增長(zhǎng),。隨著谷歌Kubernetes項(xiàng)目的不斷發(fā)展,,并持續(xù)添加新的特征和功能,越來(lái)越多的企業(yè)和開(kāi)發(fā)人員已經(jīng)將自己的工作轉(zhuǎn)移到了K8S上,。這一切也成功吸引到了惡意行為者的目光,,他們開(kāi)始針對(duì)Kubernetes項(xiàng)目的新功能進(jìn)行滲透測(cè)試并尋找可利用的機(jī)會(huì)——用戶(hù)不太可能填補(bǔ)的漏洞和錯(cuò)誤配置,因?yàn)樗麄兏静恢廊绾巫?,甚至完全不了解Kubernetes,。
搶先防御,先發(fā)制人
隨著越來(lái)越多的企業(yè)組織安裝更多的云應(yīng)用,針對(duì)云的攻擊自然會(huì)不斷增長(zhǎng),。預(yù)計(jì)到2023年,,公司的公共云支出將比2019年的分配額增加一倍以上,但是,,隨著攻擊者不斷尋找他們能夠利用的“最薄弱環(huán)節(jié)”,,相信未來(lái)我們會(huì)看到更多此類(lèi)攻擊以及其他類(lèi)型的攻擊。
可惜的是,,大多數(shù)這些問(wèn)題以及仍在不斷涌現(xiàn)的新問(wèn)題,,事實(shí)上都是可以予以糾正的,只是一般直到發(fā)生問(wèn)題之后,,許多管理員和用戶(hù)才能真正地發(fā)現(xiàn)這些問(wèn)題,。到那時(shí),他們已然成了“受害者”,,受害事跡也被公布在安全公司的博客上,,之后,他們才會(huì)想辦法解決已經(jīng)出現(xiàn)的問(wèn)題,。
為了避免這種情況,,訣竅是通過(guò)發(fā)現(xiàn)“漏洞”或錯(cuò)誤配置為黑客提供的攻擊入口,從而在問(wèn)題演變成現(xiàn)實(shí)攻擊之前就將其解決填補(bǔ),。隨著2021年云應(yīng)用量的持續(xù)增加,,用戶(hù)對(duì)于配置問(wèn)題的安全意識(shí)——以及解決它們的方法,必須同步增長(zhǎng)才行,。