據(jù)Accurics透露，托管基礎(chǔ)設(shè)施服務(wù)的采用正在增加，并且已經(jīng)出現(xiàn)了新的云水坑攻擊。

“水坑攻擊”，黑客攻擊方式之一，顧名思義，是在受害者必經(jīng)之路設(shè)置了一個“水坑(陷阱)”。最常見的做法是，黑客分析攻擊目標的上網(wǎng)活動規(guī)律，尋找攻擊目標經(jīng)常訪問的網(wǎng)站的弱點，先將此網(wǎng)站“攻破”并植入攻擊代碼，一旦攻擊目標訪問該網(wǎng)站就會“中招”。

在發(fā)現(xiàn)的所有違規(guī)中，有23%對應于配置不當?shù)耐泄芊?wù)產(chǎn)品，這在很大程度上是默認安全配置文件或提供過多權(quán)限的配置的結(jié)果。

最容易遭受水坑攻擊的云環(huán)境

正如最近一次備受矚目的黑客所證明的那樣，攻擊者日益努力利用弱點，這些弱點使他們能夠?qū)阂廛浖职l(fā)給最終用戶，獲得對生產(chǎn)環(huán)境或其數(shù)據(jù)的未授權(quán)訪問或完全破壞目標環(huán)境。這種策略被稱為“水坑攻擊”，研究人員已經(jīng)看到它們出現(xiàn)在云環(huán)境中，在云環(huán)境中可能造成更大的破壞。

部分原因是，利用托管服務(wù)的云中開發(fā)流程并未像在內(nèi)部部署環(huán)境中那樣被隱藏在組織內(nèi)部–實際上，它們在很大程度上暴露于網(wǎng)絡(luò)世界。

當犯罪分子能夠利用開發(fā)流程中的錯誤配置時，不僅會給公司造成災難，還會給客戶造成災難。為了解決此風險，企業(yè)應假定整個開發(fā)過程都易于訪問，并將訪問權(quán)限限制為僅需要它的用戶。

Accurics CTO和CISO Om Moolchandani表示：“云原生應用和服務(wù)比以往任何時候都更加重要，而基礎(chǔ)設(shè)施中的任何風險都具有至關(guān)重要的意義。”

“我們的研究表明，許多團隊正在迅速采用托管服務(wù)，這肯定會提高生產(chǎn)力并保持開發(fā)速度。但是，不幸的是，這些團隊無法跟上相關(guān)的風險，我們看到依賴于使用默認的安全配置文件和配置以及過多的權(quán)限。”

“就像幾年前經(jīng)歷的存儲桶一樣，消息服務(wù)和FaaS也正進入采用的危險階段。如果歷史教訓可以作為指導，我們將開始通過圍繞這些服務(wù)的不安全配置來發(fā)現(xiàn)更多的違規(guī)行為。”

在所有環(huán)境中，平均違規(guī)修復時間為25天

平均而言，研究表明，在所有環(huán)境中，糾正違規(guī)問題的平均時間(Mean time to repair，MTTR)為25天，這對于潛在的攻擊者而言是一種奢望。在此報告中，MTTR特別重要，當運行時發(fā)生配置更改時，會導致云風險狀況偏離已建立的安全基準。對于偏離既定的安全基礎(chǔ)設(shè)施態(tài)勢的情況，MTTR總計為8天。

甚至在設(shè)置基礎(chǔ)設(shè)施時建立安全基準的組織也將隨著時間的流逝而發(fā)生漂移，就像在另一個廣為人知的漏洞中所發(fā)生的那樣。在這種情況下，AWS S3存儲桶在2015年添加到環(huán)境時已正確配置，但五個月后為解決問題而進行的配置更改在工作完成后未能正確重置。直到將近五年后，這種漂移才被發(fā)現(xiàn)和解決。

云基礎(chǔ)設(shè)施風險

嘗試實現(xiàn)基于角色的訪問控制(RBAC)的Kubernetes用戶通常無法以適當?shù)牧６榷x角色。這增加了憑證重用和濫用的機會-實際上，評估的組織中有35%對此問題進行了努力。

在Helm圖表中，有48%的問題是由不安全的默認值引起的。最常見的錯誤是對默認名稱空間的不正確使用(在其中運行系統(tǒng)組件)，這可能使攻擊者可以訪問系統(tǒng)組件或機密。

首次在生產(chǎn)環(huán)境中看到通過基礎(chǔ)結(jié)構(gòu)定義為代碼(IaC)的身份和訪問管理，并且此報告中檢測到的IAM漂移中有超過三分之一(35%)源自IaC。這表明IAM已迅速用作代碼，這可能導致角色配置錯誤的風險。

硬編碼的機密幾乎占所識別違規(guī)的10%; 23%與配置不當?shù)耐泄芊?wù)產(chǎn)品相對應。

在接受測試的組織中，有10%實際上為從未啟用的高級安全功能付費。

雖然修復基礎(chǔ)結(jié)構(gòu)錯誤配置的平均時間約為25天，但基礎(chǔ)設(shè)施中最關(guān)鍵的部分通常需要花費最多的時間來修復-例如，負載平衡服務(wù)平均需要149天來修復。由于所有面向用戶的數(shù)據(jù)都流過這些資源，因此理想情況下，應該以最快的速度而不是最慢的速度來固定它們。

保護云基礎(chǔ)設(shè)施需要一種全新的方法，該方法必須在開發(fā)生命周期的早期階段嵌入安全性，并在整個過程中保持安全狀態(tài)。必須在運行時連續(xù)監(jiān)視云基礎(chǔ)設(shè)施以進行配置更改并評估風險。

在配置更改帶來風險的情況下，必須根據(jù)安全基準重新部署云基礎(chǔ)設(shè)施; 這樣可以確保意外或惡意進行的任何危險更改都會被自動覆蓋。

隨著新攻擊的出現(xiàn)和不斷困擾組織的風險，云網(wǎng)絡(luò)彈性現(xiàn)在比以往任何時候都更加重要，并且配置安全至關(guān)重要。