了解云基礎設施網絡攻擊鏈

云技術正在發展,隨之而來的是新的風險類型。傳統的第一代云漏洞通過公開的管理服務針對云基礎設施外圍。但是在下一個云攻擊的演變過程中,我們看到攻擊者成熟了他們的策略、技術和過程(TTP)來瞄準云基礎設施權限。最近的違規行為暴露了系統性問題,包括人賬戶和服務/機器賬戶的身份授權過度。


1598434545973262.jpg


很可能在某個時候,你會暴露一個云帳戶。關鍵是將風險最小化,或者說是一些人所說的“爆炸半徑”。這里的目標是增加一個額外的防御層,用最少的特權策略實現每個帳戶,以限制一旦該帳戶暴露,攻擊者可以做什么。這不僅僅是多因素身份驗證(MFA)。重要的是要記住,即使啟用了MFA,開發人員也可以通過另一種方法訪問環境。這是通過他們的AWS訪問密鑰完成的。如果這些訪問密鑰是通過在GitHub中發布嵌入密鑰的代碼而意外暴露的,那么攻擊者就可以提供另一種方法來訪問您的云環境。

這正是最近發生的一系列云破壞事件。一旦訪問密鑰被暴露,攻擊者就能夠在云基礎設施中移動,這是由于權限過大,其中許多權限從未被身份使用過。為了更好地理解這一點,我們創建了一個云基礎設施網絡殺戮鏈。第一代攻擊主要發生在偵察階段,攻擊者可以發現公開暴露的存儲和服務。第二代攻擊技術已經成熟成為一個完整的網絡殺戮鏈。

讓我們逐步分析這些:

? 偵查(Recon):在此階段,攻擊者正在使用掃描儀和開放源代碼工具來發現任何低迷的果實,以發現公開暴露的資源,服務和憑據。對于資源,這可以是公共的且不受保護的Azure Blob /容器或S3存儲桶,也可以是未經身份驗證的不受保護的Web應用程序。在此階段公開的數據很大程度上與配置錯誤和安全衛生狀況不佳有關。

? 滲透:如果通過密碼噴霧或沒有MFA的蠻力攻擊暴露了憑據,或者通過GitHub或Pastebin獲得了訪問密鑰,則攻擊者可以滲透環境并確定該帳戶可以訪問哪些資源。這還涉及發現可能允許敏感數據訪問的權限,以及終止和/或刪除實例,資源等的能力。從本質上講,攻擊者此時可以竊取數據,但許多攻擊者會進入下一階段。

? 特權升級:由于攻擊者發現對資源和權限的訪問,因此,過度許可的訪問可能允許訪問顯示管理員密碼等內容的Azure云外殼文件。然后,這可以使攻擊者轉到另一個帳戶。云中還包含“角色鏈”功能。例如,當管理員創建允許用戶從一個帳戶(或訂閱)跳轉到另一個帳戶的sts-assume策略時,AWS提供跨帳戶訪問。

?橫向移動:無論是AWS中的跨賬戶角色,還是將管理員憑據暴露在Azure云外殼文件中,還是通過其他某種技術,攻擊者現在都可以在整個云基礎架構中從一個帳戶到另一個帳戶或從訂閱到訂閱進行橫向移動。這使攻擊者可以發現更多實例,虛擬機,存儲資源,數據庫和無服務器功能。在這一點上,他們傾向于訪問大多數基礎架構,并且可能會泄漏數據,接管云基礎架構或通過刪除所有內容而造成大規模破壞。

? 滲透:務必注意,云中的權限可能會無意間允許數據滲透。在最突出的漏洞之一中,攻擊者僅因為存儲具有只讀權限就能夠竊取數百萬條記錄。這使攻擊者不僅可以讀取數據,還可以下載并制作數據的副本。

了解針對您的云基礎架構的攻擊者使用的TTP,可以使您更好地了解如何加強這些云環境。其中很大一部分是云權限。在最近的許多漏洞中,廣泛的過度使用身份使攻擊者可以在云基礎架構上橫向移動,從而暴露了過多的資源。例如,在一次泄露中,一個服務帳戶通常僅用于訪問一個S3存儲桶存儲,但該帳戶可以訪問大約700個從未使用過的其他S3存儲桶。

推薦建議

? 監視您的正在進行的云權限:這些權限每天都在變化,并且在沒有監視這些權限并對其進行永久性調整的情況下,許多帳戶被超額使用。為了補充這一點,即時訪問或按需特權自動化可以使用戶獲得完成工作所需的訪問權限。

? 監視異常:用戶和服務帳戶在使用情況,一天中的時間和訪問方面表現出模式和行為。在短時間內就活動或大量資源的大量增加發出警報,可以幫助發現異?;驉阂庑袨?,并在發生違反事件時及時做出響應。

? 定期分析策略:跨帳戶訪問,策略通配符等可能會導致對敏感資源的不良訪問。存在許多自動工具來發現高風險措施并調整這些策略以避免人工監督。

管理您的云基礎架構安全狀況已不僅僅限于管理外圍。新的挑戰變成了監視權限的持續變化以及對云中資源的訪問。這歸結為擺脫基于假設的策略,現在監視正在進行的活動以了解允許訪問可能導致不良風險的資源的復雜權限。

隨著我們轉向第二代云安全性,正在進行的權限管理對于保護您的組織免受下一代云安全威脅并最大程度地減少最近一次云漏洞中的攻擊面至關重要。

聲明:文章"了解云基礎設施網絡攻擊鏈"為相王科技 原創文章,轉載請注明出處,謝謝合作!
国产精品免费视频每日更新_久久AV七七AV_被多人玩弄的烂货_国产片手机永久免费观看