随着越来越多的企业组织将业务迁移到云计算环境,针对他们的网络犯罪分子也将目光投向了云计算环境。了解最新的云攻击技术可以帮助组织更好地为即将到来的威胁做好准备。网络安全厂商WhiteHatSecurity的首席技术官(CTO)安东尼贝蒂尼(AnthonyBettini)在最近的RSA安全大会上的小组讨论中表示:每当你看到技术变革时,我想你也会看到泛滥的网络。攻击技术变革或驾驭变革浪潮的攻击者。“当组织未能考虑到这些威胁并直接迁移到云端时,它们可能会使安全团队不堪重负,并将其数据和流程置于严重风险之中。网络攻击者一直在寻找利用云计算技术进行攻击的新方法。以最近发现的“CloudSnooper”攻击为例,该攻击使用Rootkit通过受害者的AmazonWebServices(AWS)环境和对基于云的服务器的本地访问来汇集恶意流量。随着这些问题的不断出现,许多犯罪分子依靠久经考验的方法,例如暴力破解凭据或访问存储在错误配置的S3存储桶中的数据。据安全专家称,企业云安全之路漫长而艰难,安全团队必须跟上步伐技术发展。在谈到云平台中的网络攻击链时,Securosis分析师兼DisruptOps首席信息安全官(CISO)RichMogull,说:“当你利用现有的安全技能并进入一个完全不同的环境时,首先弄清楚你真正需要关注的是什么以及真正发生的事情可能是一个巨大的挑战。接下来,我们将讨论其中一些常见的攻击链,以及其他云攻击技术,这些都是安全专业人员和网络犯罪分子最关心的问题。1.凭据泄露导致的账号劫持是云平台中的高危攻击链。Mogull在RSA大会上的演讲中说:“这种特殊的攻击确实是最常见的攻击类型之一。他说,使用静态凭证(在AWS中,静态凭证是访问密钥和秘密密钥,类似于用户名和密码,但用于AWSAPI调用),攻击者可以登录帐户并转移资金,同时伪装成用户因为这些凭据通常用于登录和授权交易中的操作。我们必须使用这些密码的原因是因为用户希望某些本地数据中心在与云平台凭据通信时具有某种用户名/密码。当攻击者获得这些访问密钥之一时,他们可以在其控制的主机或平台上使用它,并执行API调用以进行恶意操作或权限提升。这些密钥通常通过GitHub、BitBucket、共享图像、公共快照等方式获得。网络攻击者反编译GooglePlayStore应用程序并提取静态凭据,然后可以使用这些凭据。有人可以侵入开发人员的笔记本电脑或实例并查看他们的命令历史记录或配置文件,以找到允许他们进入云计算环境的访问密钥。“我认为这确实是当今云中最大的单一攻击媒介……众多方法之一,”Mogull说。尤其是公开的帖子。他建议,用户应尽量减少使用其凭据并扫描代码存储库和公司GitHub。因为一旦这些密钥被公开,网络攻击者只需几分钟就可以尝试对您的基础设施进行攻击。2.配置错误星巴克公司全球首席信息安全官(CISO)安迪·柯克兰(AndyKirkland)在今年的CSA信息峰会上发表演讲时说,配置错误在很大程度上或至少部分是“影子IT的品牌重塑”。几乎任何人都可以得到一个S3存储桶并用它做任何他们想做的事。与错误配置相关的网络攻击仍在发生,因为组织通常无法保护他们存储在公共云中的信息。访问控制可以设置为公开或匿名;存储桶策略或网络安全策略可能过于宽松;或者公共内容分发网络(CDN)设置为访问私有数据。面对这些情况,可以肯定的是,放置在对象存储(ObjectStorage)Data中的敏感数据没有得到妥善保护。网络攻击者可以通过扫描任何公共数据存储轻松提取他们想要的数据。Mogull说这些默认值是安全的,但可以很容易地替换它们。公众暴露。云提供商提供了减少这种情况的工具,但这仍然是企业组织的痛点。他建议,组织可以进行持续评估并特别注意对象级权限:在更改存储桶级权限时,您并不总是更改对象级权限。“这些问题真的很难解决,因为一些组织在这些环境中有数以千计的对象,现在他们必须设法找到它们,”他说。“而做到这一点的最好方法是使用控制‘不要让任何人暴露这些信息’。”’”。”如果你确实需要暴露一些东西,你可以配置你的环境,让一切保持原样,但以后不会暴露任何其他东西。“越来越多的关键工作负载在公共云中运行。甲骨文云安全产品管理高级总监约翰尼·康斯坦塔斯(JohnnieKonstantas)说:“我认为……公共云提供商有责任进行对话并讨论下一步。”3.主流云计算服务是热门目标组织将业务转移到云环境中,网络犯罪分子也将注意力集中在网络钓鱼攻击中,这一点在模仿流行云计算服务(如Office365)登录页面的网络钓鱼攻击中尤为明显。网络犯罪分子正在寻找可以让他们访问云计算的凭据TrendMicroInc.全球威胁通信主管JonClay表示:“不幸的是,许多组织仍在使用弱凭证来攻击云基础设施和账户。”Imperva在其最新的《网络威胁指数》调查报告中表示,网络犯罪分子正在更多地利用公有云子源,报告发现,在2019年11月至2019年12月期间,源自公有云的Web攻击环比增长了16%。其中,AmazonWebServices(AWS)是最受欢迎的来源,占源自公共云的所有网络攻击的52.9%。在一个关于主要云服务滥用的单独问题中,研究人员报告了一种主要用于下载远程访问的新下载器特洛伊木马和信息窃取程序。据Proofpoint报道:“GuLoader在多个威胁组织中越来越受欢迎,并且通常将加密的有效负载存储在GoogleDrive或MicrosoftOneDrive上。它通常嵌入在.iso或.rar等容器文件中,研究人员发现它可以直接从云计算托管平台下载。4.加密挖矿一旦进入云端,许多网络入侵者就会继续挖矿:这是大多数企业面临的一种低威胁、高概率的攻击类型。Mogull说每个拥有云计算帐户的人都遇到过这个问题。这种攻击是如何进行的?网络攻击者可以获得RunInstance、虚拟机或容器凭证,运行大型实例或虚拟机,运行并注入Cryptominer并连接到网络,然后筛选结果。或者,他们可以破坏泄漏的实例、虚拟机或容器,并向其中注入Cryptominer。星巴克首席安全架构师ShawnHarris表示:“在所有网络攻击中,78%的网络攻击是出于利益动机。而加密货币挖掘是一种非常快速的货币化访问方式。服务器仍然是最好的加密平台,但攻击者TrendMicro的Clay表示,具有访问权限的人正在采取措施隐藏他们的活动。过去,攻击者习惯于“抓取系统上的所有内容”,这种炫耀的方式很容易被受害者注意到。现在,他们已经学会了适度5.Server-siderequestforgeryServer-siderequestforgery(SSRF)是指利用漏洞伪造服务器端发起的请求,以突破客户端获取不到数据的限制。这是一种危险的攻击方式,在云计算环境中越来越严重。由于元数据API的使用,它允许应用程序访问配置、日志、凭据和其他信息,这使得SSRF威胁。元数据API只能在本地访问,但是,SSRF漏洞使其可以从Internet访问。一旦被利用,网络攻击者就有能力实现横向移动并进行网络侦察。这是一种更复杂的攻击类型,Mogull补充说,攻击者首先会识别具有潜在服务器端请求伪造(SSRF)漏洞的实例或容器,并使用它通过元数据服务提取凭据,然后将此凭据在攻击者的环境中用于建立会话。从那里,攻击者可以执行API调用来提升权限或采取其他恶意操作。但是,要使服务器端请求伪造(SSRF)成功,还需要做一些额外的工作:某些东西必须暴露在互联网上,它必须包含服务器端请求伪造(SSRF)漏洞,并且它必须具有身份和访问管理(IAM)允许它在其他地方工作的权限。除其他事项外,它必须具有元数据服务的版本。6、云供应链的缺口Splunk高级副总裁兼安全市场总经理宋海燕认为,企业组织没有充分考虑到云数字供应链的潜在安全风险,也没有考虑到云数字供应链的作用。这种环境中的事件响应。意义。她解释说,我们使用的许多服务和应用程序……不仅来自一家公司。例如,当您通过共享应用程序订购汽车时,会涉及多个参与者:一家处理交易的支付公司,另一家提供GPS数据的公司。如果有人破坏了部分流程并将人员派往错误的地方,那么当所有这些API都由不同的供应商控制时,您如何进行事件响应?对此,宋海燕补充说,我们处于API经济之中。应用程序是使用API服务构建的,但如果云中出现问题,其背后的组织将需要适当的可见性和流程来处理它。是否有服务水平协议(SLA)和事件响应程序?我们如何提供可见性和可追溯性?您知道您的服务提供商是谁吗?您了解他们的声誉现状吗?业务合作将对您的业务非常有帮助。7.暴力攻击和访问即服务(Access-as-a-Service)对于趋势科技的克莱来说,暴力攻击是重中之重。他说,网络攻击者已经开始制作网络钓鱼电子邮件,其中包含指向与云计算基础设施和帐户相关的恶意页面的链接。弹出窗口可能会诱骗受害者在模仿Office365和其他云计算应用程序的虚假登录页面中输入用户名和密码。网络威胁行为者都在寻找登录凭据。一些攻击者使用此访问权限进行加密货币挖掘活动或查找有价值的数据。其他攻击者什么都不做:他们只是在暗网上购买“访问即服务”。网络攻击者可以获得对组织的云计算环境的访问权限,然后为另一个威胁组管理该访问权限。例如,运营商Emotet可能会将其访问权限出售给Sodinokibi或Ryuk勒索软件运营商。Clay指出,访问即服务(Access-as-a-Service)在勒索软件社区中非常流行,因为它们可以省去危害目标企业的过程。提供“访问即服务”的人从犯罪团伙那里赚钱,而犯罪团伙又从受害者那里赚钱。随着这种方法越来越流行,我们也会看到更少的恶意软件和更多直接的黑客活动。
