信息安全专业人士可能听说过用于识别和预防网络入侵的网络攻击链框架。该模型由洛克希德马丁公司构建,并遵循用于描述和处理网络威胁每个阶段的军事术语。这些阶段称为侦察、武器化、投递、利用、安装、指挥和控制,最后是对目标的行动。虽然该模型适用于物理威胁和网络威胁,但需要注意的是,并非每次网络攻击都使用攻击链的所有步骤。例如,第一阶段“侦察”和最后阶段“行动”通常仅以针对性攻击为特征。攻击的持续时间也可能因攻击的性质而异。机会主义攻击必须迅速执行,恶意行为者的最终价值通常取决于受害者的数量,而不是他们的质量。攻击链一词在网络安全中的使用受到了一些批评。有人说它加强了传统的基于边界和恶意软件预防的防御策略,并且不能充分防御内部威胁。然而,该模型自诞生以来已经发生了相当大的变化,如今它有助于了解它的常用方式,并有助于对抗APT的针对性攻击,以及勒索软件、网络钓鱼或加密攻击等机会主义威胁。但当然,网络攻击的发展速度与其所针对的技术一样快,信息安全专业人员现在呼吁更好地了解攻击链如何随着云计算应用程序的出现而发生变化,这是可以理解的。如果没有得到适当的保护,云计算服务会增加组织的攻击面,在攻击链中有多个阶段。因此,它考察了组织如何使用攻击链方法来解决对其关键云计算应用程序的这种新型攻击。信息安全专业人员解决基于云的安全问题的最佳方式是密切关注攻击链的每个阶段,评估恶意活动在何处使用云计算来规避传统安全技术。侦察阶段是一个很好的起点。在攻击链的这个阶段,恶意行为者可以使用多种方法从受害者那里收集情报,越来越多地采用云计算服务只会为攻击者提供额外的切入点。攻击者可以研究受害者使用哪些云计算服务(这样他们就可以为受害者使用的应用程序构建自定义钓鱼页面或恶意插件),或者扫描配置错误或可公开访问的云计算资源,然后利用它们进入目标公司。他们还可以利用看似无害的云服务中共享的敏感信息。武器化阶段看到恶意行为者为他们的工作建立必要的基础设施:从网络钓鱼页面和恶意软件分发点到命令和控制域。今天,这些资源可以很容易地托管在云服务上,恶意活动越来越普遍地从云计算服务分发他们的有效载荷,甚至使用云计算服务作为他们指挥和控制的安全港。重要的是,云计算应用程序通常没有得到足够的定期检查,或者通过不能有效识别和分析环境的传统技术被完全列入白名单。在这里可以看到云计算在利用阶段的作用。上下文感知系统会注意到数据被放入AWS或Azure云平台,例如,在组织外部,但传统的安全技术无法做到这一点。因此,网络犯罪分子使用云计算服务来逃避持续监视的检测。一旦构建了恶意基础设施,下一个合乎逻辑的步骤就是从云端传递攻击向量。现在可以从云中提供网络钓鱼页面,就像任何其他潜在的恶意负载一样。还发现了滥用云计算服务作为目标恶意软件分发站点的重定向器的广告活动。安装恶意软件后,它需要连接到其命令和控制基础设施。攻击者可以使用此连接来泄露信息,控制僵尸网络中受损的端点以发起DDoS攻击或垃圾邮件活动,或者建立立足点以横向移动并深入挖掘受害组织的数据。同样,云计算在此阶段发挥着重要作用,因为攻击者可以使用AWS和GoogleDrive等受信任的云服务来隐藏通信渠道。原因总是一样的:逃避。云计算的特性也在这些阶段发挥着重要作用。一旦他们直接或通过受感染的端点访问云计算服务,攻击者就可以横向移动并跨云平台移动。他们不仅可以更改云中托管的关键服务的配置、提升权限以获得更多访问权限、窃取数据并清除其痕迹,而且还可以出于恶意目的启动新实例,例如加密攻击。当然,当人们思考和应对攻击链时,不包围或分离云计算攻击向量和表面当然是非常重要的。攻击可以结合使用传统攻击媒介,例如Web和电子邮件,以及云计算服务。术语“混合威胁”用于定义利用这种混合方法的攻击。如何克服基于云的挑战通过查看攻击链的每个阶段,您会发现信息安全专业人员谨慎行事是正确的。各种企业和行业的云采用率已达到96%,虽然本地资源不太可能在不久的将来消失,但云计算现在是大多数IT基础设施和战略的基础。可以看出,云计算应用程序对安全性提出了重大而独特的挑战,而云原生时代最大的挑战可能是云计算基础设施和服务一直在发展。抵御云原生威胁的唯一方法是使用云原生安全技术。也许很明显,只有云原生技术才能检测和缓解云原生威胁,而像Netskope这样的统一威胁感知和实例感知平台可以更全面地了解用户位置、发现混合威胁并执行使用策略.一旦技术到位,就会有许多单独的计划可以帮助解决基于云的安全挑战。这些涉及需要对所有IaaS资源执行定期、持续的安全评估,以防止可能被恶意行为者利用的错误配置,并对受制裁的云应用程序中的任何外部共享内容执行常规数据丢失防护(DLP)扫描,以防止无意中被恶意行为者利用而泄露的信息。组织必须为未经批准的服务和未经批准的云计算服务实例做好准备,并确保员工在安全可靠地使用云计算服务方面得到有效培训。许多漏洞是由于人为错误造成的,因此警告用户注意云计算应用程序中的缺陷非常重要,例如警告他们避免执行来自不受信任来源的未签名宏,即使该来源看起来是合法的云服务。此外,组织必须警告用户避免执行任何文件,除非他们非常确定它们是良性的,并建议不要打开不受信任的附件,无论其扩展名或文件名如何。要实施的示例策略包括要求扫描从非托管设备到批准所有恶意软件上传的云计算应用程序。一个不错的选择是阻止已批准/知名云应用程序的未批准实例,以防止攻击者利用用户对云的信任,或防止将数据传输到组织外部的S3存储桶。虽然这看起来很有限,但它显着降低了通过云平台进行恶意软件渗透尝试的风险。显然,正如云计算在过去十年彻底改变了数据和应用程序的部署方式一样,它也从根本上改变了IT安全要求。事实上,虽然传统的安全流程在保护现代工作负载方面仍可能发挥作用,但完全致力于云计算带来的安全和合规性需求的组织必须彻底改革其云原生时代的安全策略。
