根据Accurics最新报告,随着云服务托管基础设施的快速增长,“云水坑攻击”呈爆发式增长。所谓水坑攻击,就是黑客利用平台的弱点,提前“埋伏”,向使用平台服务的终端用户(如网站等公网资源)散布恶意软件,获取其未经授权的访问权限。生产环境和数据,或彻底破坏目标环境。根据该报告,在已发现的所有“云水坑攻击”事件中,有23%是针对配置不当的托管服务产品。所谓配置不当,主要是指使用默认安全配置或提供过多权限的错误配置。研究人员指出,水坑攻击可能在云环境中造成更大的破坏,因为托管的云开发过程暴露在互联网上,而不是像本地环境中的开发过程那样隐藏在组织内部。当犯罪分子成功利用基于云的开发管道中的错误配置时,这不仅会给公司带来灾难,也会给客户带来灾难。为了减轻这种风险,组织应该假设整个开发过程容易受到未经授权的访问,并遵循最小特权原则,将访问权限限制在需要的人手中。向云开发是不可逆转的趋势,越来越多的团队正在加速采用托管服务,这必将提高生产力并加快开发速度。但不幸的是,这些团队的安全意识和能力跟不上相关风险——例如使用默认安全配置文件和过度授权。报告指出:根据历史经验,就像几年前经历的存储桶业务一样,消息服务和FaaS也正在进入网络安全问题集中爆发的危险阶段,这些服务的不安全配置将导致更多的违规行为。研究表明,所有环境中威胁缓解的平均时间(MTTR)为25天,这为潜在的攻击者提供了极其宽松的时间窗口。MTTR对于云安全尤为重要,因为它与漂移有关,当运行时的配置更改导致云风险配置文件偏离既定的安全基线,而偏离安全基线的MTTR约为8天。即使是在配置其基础设施时已经建立安全基线的组织也可能随着时间的推移而发生偏差,一个众所周知的例子是AmazonAWSS3存储桶。2015年AWSS3bucket加入云环境时配置是正确的,但五个月后,为解决问题所做的配置更改在工作完成后并没有正确重置,直到将近五年后,这个Deviations被发现并解决。云基础架构的主要风险:尝试部署基于角色的访问控制(RBAC)的Kubernetes用户通常无法以适当的粒度定义角色。这增加了帐户重复使用和滥用的机会。事实上,35%的企业和机构在这方面表现不佳。在Helm图表中,48%的问题是由不安全的默认值引起的。最常见的错误是不正确地使用默认名称空间(在其中运行系统组件),这可能允许攻击者访问系统组件或机密。该报告首次确定了生产环境中基础架构即代码(IaC)定义的身份和访问管理,并且在该报告中检测到的IAM偏差中有超过三分之一(35%)源于IaC。这表明IAM即代码(IAMasCode)正在迅速普及,但可能导致角色配置错误的风险。硬编码机密信息占泄露事件的近10%,其中23%是由于用户错误配置托管服务产品所致。10%的受访企业实际上为从未启用的高级安全功能付费。虽然修复基础架构错误配置的平均时间约为25天,但修复基础架构最关键的部分通常需要最多的时间。例如,负载平衡服务平均需要149天才能修复。由于所有面向用户的数据都需要流经负载均衡服务,因此理想情况下应优先考虑尽快修复此类资产。结论保护云基础设施需要一种全新的方法,安全性必须在开发生命周期的早期嵌入并始终得到维护。企业需要持续监控云基础设施运行时配置变化并评估风险。当配置更改带来风险时,必须根据安全基线重新部署云基础架构,以确保意外或恶意进行的任何更改都会被自动覆盖。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
