云安全服務(wù)提供商Orca Security公司日前表示，網(wǎng)絡(luò)攻擊者通常能夠在兩分鐘內(nèi)發(fā)現(xiàn)暴露的“秘密”，即允許訪問受害者云計(jì)算環(huán)境的敏感信息，在許多情況下，網(wǎng)絡(luò)攻擊者幾乎立即開始利用這些秘密，這凸顯了對(duì)全面云安全的迫切需求。

該公司的這項(xiàng)研究是在2023年1月至5月期間進(jìn)行的，首先在9個(gè)不同的云計(jì)算環(huán)境中創(chuàng)建“蜜罐”，模擬云中錯(cuò)誤配置的資源，以吸引網(wǎng)絡(luò)攻擊者。

云蜜罐

Orca Security公司創(chuàng)建的每個(gè)云蜜罐都包含一個(gè)AWS密鑰，然后對(duì)它們進(jìn)行監(jiān)控，測試網(wǎng)絡(luò)攻擊者是否以及何時(shí)會(huì)上鉤，以了解哪些云計(jì)算服務(wù)最常被攻擊，網(wǎng)絡(luò)攻擊者訪問公共資源或容易訪問的資源需要多長時(shí)間，以及網(wǎng)絡(luò)攻擊者發(fā)現(xiàn)和使用泄露的秘密需要多長時(shí)間。

Orca Security公司云計(jì)算威脅研究團(tuán)隊(duì)負(fù)責(zé)人Bar Kaduri表示：“雖然這一策略因資源而異，但我們的研究表明，如果一個(gè)秘密被曝光，它就會(huì)被利用?！?/p>

Kaduri繼續(xù)說道，“我們的研究表明，網(wǎng)絡(luò)攻擊者發(fā)現(xiàn)暴露的秘密的速度非常快，而且不需要很長時(shí)間就能將其武器化。在這種環(huán)境下，企業(yè)必須確保他們的數(shù)據(jù)資產(chǎn)不會(huì)被公開獲取，除非絕對(duì)必要，并確保秘密得到妥善管理?！?/p>

雖然Orca Security公司預(yù)計(jì)網(wǎng)絡(luò)攻擊者會(huì)很快找到蜜罐，但研究小組仍然對(duì)一些蜜罐被發(fā)現(xiàn)和利用的速度感到驚訝。

蜜罐的發(fā)現(xiàn)和利用

(1)易受攻擊的資產(chǎn)幾乎立即被發(fā)現(xiàn)

錯(cuò)誤配置和易受攻擊的資產(chǎn)可以在幾分鐘內(nèi)被發(fā)現(xiàn)。GitHub、HTTP和SSH上暴露的秘密都在五分鐘內(nèi)被發(fā)現(xiàn)，在不到一個(gè)小時(shí)的時(shí)間內(nèi)發(fā)現(xiàn)了AWS S3存儲(chǔ)桶。

(2)密鑰使用時(shí)間因數(shù)據(jù)資產(chǎn)類型而異

Orca Security公司在兩分鐘內(nèi)觀察到GitHub上的密鑰使用情況，這意味著暴露的密鑰幾乎立即被泄露。對(duì)于其他資產(chǎn)，這個(gè)過程要慢一些。對(duì)于S3存儲(chǔ)桶，密鑰泄露大約需要8個(gè)小時(shí)，而對(duì)于Elastic Container Registry，這個(gè)過程需要將近4個(gè)月。

(3)并非所有數(shù)據(jù)資產(chǎn)都會(huì)一視同仁

數(shù)據(jù)資產(chǎn)越受歡迎，訪問越容易，包含敏感信息的可能性越大，網(wǎng)絡(luò)攻擊者就越傾向于進(jìn)行偵察。某些數(shù)據(jù)資產(chǎn)(如SSH)是惡意軟件和加密挖掘的高度目標(biāo)。

(4)防御者不應(yīng)該依賴于自動(dòng)密鑰保護(hù)

除了GitHub之外，暴露的AWS密鑰權(quán)限立即被鎖定，Orca Security公司沒有檢測到任何對(duì)其他測試資源的自動(dòng)保護(hù)。

(5)沒有哪個(gè)地方是安全的

盡管所有觀察到的暴露的AWS密鑰使用中有50%發(fā)生在美國，但幾乎所有國家和地區(qū)都有使用，包括加拿大、亞太地區(qū)、歐洲和南美地區(qū)。

Orca Security公司研究技術(shù)主管托Tohar Braun表示：“網(wǎng)絡(luò)攻擊者根據(jù)資源的不同采取不同的策略，說明防御者需要針對(duì)每種情況采用量身定制的防御措施?！?/p>

他總結(jié)道：“這份研究報(bào)告對(duì)攻擊技術(shù)進(jìn)行了細(xì)分，并提出了降低泄密風(fēng)險(xiǎn)的最佳實(shí)踐建議?！?/p>