2021年雲安全威脅預測
雲時代的安全問題是當務之急,因為云為惡意行為者提供了比以往更多的目標集,並提供了進行攻擊的新工具。這些攻擊所基於的啟動點範圍很廣——從一般憑據(例如被遺忘的或被盜的憑據)到使用AWS Glue和Sage Maker等數據科學工具的新憑證,以及使用Kubernetes等強大的工具實施的複雜攻擊等等。
2021年,我們勢必將看到更多針對雲服務的攻擊活動,以下是雲安全在接下來一年的威脅預測:
持續性攻擊
當創建新實例並運行可以匹配所需任何硬體或軟體環境的虛擬機時,雲體系結構可提供完全的靈活性。但是,這種靈活性(如果不能得到適當保護的話)又會誘發惡意行為者發動攻擊,並在保持對初始攻擊的控制權的情況下發起持續性攻擊。
像Amazon Web Services這樣的雲服務使開發人員可以輕鬆地以漸進式或間斷式的方法構建環境。例如,AWS允許開發人員在每次重新啟動Amazon EC2實例(即為用戶數據)時自動執行腳本,這就意味著如果黑客設法使用可能已傳遞到雲實例的有毒shell腳本來利用實例,那麼他們將能夠持續不斷地利用其與伺服器的連接。
通過這種方式,黑客將能夠在伺服器內橫向移動,竊取數據或獲取特權,使他們能夠進一步利用組織的資產。當然,管理員可以關閉此選項,並要求開發人員每次返迴環境時都要進行登錄——但是實現這一步需要開發人員積極主動配合才行。本質上來說,AWS的靈活性也正是其弱點所在;除了過多的配置選項外,服務錯誤配置的機會也更多,從而給黑客留下了更多的攻擊入口。
數據科學工具攻擊
事實證明,筆記本(Notebook)對於數據科學家來說是必不可少的存在,能夠幫助他們快速集成和分析數據。像是AWS Sage Maker這類工具可以使該流程更加高效,幫助數據科學家構建、訓練和部署機器學習模型。但是,作為一種相對較新的工具,其受眾範圍並非全是安全領域的人士,自然地,安全意識也會相對薄弱,這也給了惡意行為者可乘之機。
與其他Amazon產品一樣,Sage Maker之類的工具同樣非常靈活,且具有很多選項。研究表明,惡意行為者可以利用這些選項中一些來提升他們的特權,甚至給自己授予更高的管理員特權。該攻擊路徑可能使惡意行為者能夠打開雲實例上的終端功能,並繞過Amazon GuardDuty(可用於訪問高級角色和許可權)泄露憑證數據。同樣地,惡意行為者還可以利用CloudGoat等開源項目,並使用AWS Glue、CodeBuild和S3以及未使用的組和角色來進行特權升級。面對這種情況,管理員和數字科學家也需要熟悉自身正在使用的系統的體系架構,以保護自身安全,並最大限度地縮小惡意行為者的活動空間。
機器人可能會感染雲遺留資產
機器人無所不在,雲端也不例外;安全公司GlobalDots的一份調查報告顯示,超過80%的「惡意機器人」(即竊取數據、抓取內容、分發垃圾郵件、運行分散式拒絕服務攻擊等行為的機器人)都是基於雲的數據中心運行的。儘管許多機器人會投毒其他站點——使用它們控制的伺服器去攻擊其他伺服器和用戶,但是它們也可以簡單地控制雲基礎架構來為其所有者執行任務。研究表明,在這些任務中,更受歡迎的是加密貨幣挖礦(cryptomining),在某種程度上,它也算是周邊最大的網路威脅之一。
據研究人員稱,如果說竊取資源和資金還不夠,那麼加密貨幣挖礦惡意軟體的新變種現在還會竊取AWS憑證。該蠕蟲利用加密貨幣挖礦惡意軟體進行封裝,並尋找未加密的AWS CLI文件,最後會從中提取憑證數據。解決方案是限制對這些數據的訪問——但是這點同樣需要管理員的積極配合。
更多Kubernetes威脅到來
負責上述AWS憑證盜竊的同一網路犯罪組織TeamTNT,利用常見的配置錯誤問題,開發了濫用可視化和監視工具Weave Scope的方法。黑客使用通過埠4040授予的默認開放訪問許可權,來安裝Weave Scope,並將其用作監視系統、利用資源、安裝應用程序、啟動或關閉容器中Shell的後門程序,實現自己想要實現的一切事情。
根據網路安全公司Intezer和Microsoft發布的最新研究顯示,Weave Scope已經成功被納入基於雲的攻擊中。
目前,黑客大多使用這些方法來安裝加密貨幣挖礦惡意軟體,但是卻找不到辦法阻止它們控制雲系統用於惡意目的。攻擊媒介不斷變化,而且還在持續增長。隨著谷歌Kubernetes項目的不斷發展,並持續添加新的特徵和功能,越來越多的企業和開發人員已經將自己的工作轉移到了K8S上。這一切也成功吸引到了惡意行為者的目光,他們開始針對Kubernetes項目的新功能進行滲透測試並尋找可利用的機會——用戶不太可能填補的漏洞和錯誤配置,因為他們根本不知道如何做,甚至完全不了解Kubernetes。
搶先防禦,先發制人
隨著越來越多的企業組織安裝更多的雲應用,針對雲的攻擊自然會不斷增長。預計到2023年,公司的公共雲支出將比2019年的分配額增加一倍以上,但是,隨著攻擊者不斷尋找他們能夠利用的「最薄弱環節」,相信未來我們會看到更多此類攻擊以及其他類型的攻擊。
可惜的是,大多數這些問題以及仍在不斷湧現的新問題,事實上都是可以予以糾正的,只是一般直到發生問題之後,許多管理員和用戶才能真正地發現這些問題。到那時,他們已然成了「受害者」,受害事迹也被公布在安全公司的博客上,之後,他們才會想辦法解決已經出現的問題。
為了避免這種情況,訣竅是通過發現「漏洞」或錯誤配置為黑客提供的攻擊入口,從而在問題演變成現實攻擊之前就將其解決填補。隨著2021年雲應用量的持續增加,用戶對於配置問題的安全意識——以及解決它們的方法,必須同步增長才行。
參考及來源:https://www.darkreading.com/cloud/cloud-security-threats-for-2021/a/d-id/1339454
