從找到一個(gè)有效的憑證到發(fā)起攻擊，網(wǎng)絡(luò)攻擊者總共只花了10分鐘，其中有5分鐘是停留時(shí)間。

當(dāng)網(wǎng)絡(luò)攻擊者可以進(jìn)入云計(jì)算環(huán)境并以這樣的速度發(fā)動(dòng)攻擊時(shí)，防御者很難檢測(cè)到入侵并阻止網(wǎng)絡(luò)攻擊的發(fā)生。

在沒有特定目標(biāo)的機(jī)會(huì)攻擊中，網(wǎng)絡(luò)攻擊者在掃描漏洞(例如配置錯(cuò)誤)之后，平均不到兩分鐘就能找到公開暴露的憑證。然后，他們平均需要21分鐘才能發(fā)起網(wǎng)絡(luò)攻擊。

云原生安全服務(wù)商Sysdig公司的研究人員將網(wǎng)絡(luò)攻擊的速度歸因于自動(dòng)化技術(shù)的武器化，并警告說(shuō)網(wǎng)絡(luò)攻擊者正在關(guān)注身份和訪問管理(IAM)，并使用不斷發(fā)展的憑證訪問、特權(quán)升級(jí)和橫向移動(dòng)技術(shù)。

雖然從發(fā)現(xiàn)憑證到開始攻擊的時(shí)間以分鐘為單位進(jìn)行衡量，但該研究團(tuán)隊(duì)指出，網(wǎng)絡(luò)攻擊者可能需要數(shù)小時(shí)才能確定合適的目標(biāo)，這取決于動(dòng)機(jī)和可見性。

網(wǎng)絡(luò)攻擊者獲取秘密在很大程度上取決于存儲(chǔ)位置。例如，使用AWS S3存儲(chǔ)桶，網(wǎng)絡(luò)攻擊者可能需要花費(fèi)幾天時(shí)間來(lái)搜索特定的公共名稱。

在云計(jì)算環(huán)境中越來(lái)越強(qiáng)調(diào)“一切都是代碼”，這導(dǎo)致了防御者面臨一些挑戰(zhàn)。該報(bào)告指出：“在為適當(dāng)?shù)脑L問和特權(quán)編寫代碼時(shí)出現(xiàn)的語(yǔ)法錯(cuò)誤可能是防御者面臨的障礙?！?/p>

據(jù)稱，網(wǎng)絡(luò)攻擊者對(duì)無(wú)服務(wù)器功能代碼和基礎(chǔ)設(shè)施即代碼(IaC)軟件(例如Cloud Formation和Terraform)特別感興趣，因?yàn)檫@些文件可能包含憑證或秘密，但可能被安全掃描忽略。

企業(yè)的供應(yīng)鏈中有什么?

研究人員還考慮了容器的狀態(tài)。該技術(shù)本質(zhì)上是一個(gè)提供應(yīng)用程序所需的所有內(nèi)置功能的軟件包，可以使它們成為惡意代碼的理想交付機(jī)制。

在分析了13000張Dockerhub圖片后，研究人員發(fā)現(xiàn)819張圖片是惡意的。然而，由于采用了隱藏惡意代碼的先進(jìn)技術(shù)，其中10%的漏洞無(wú)法被檢測(cè)到。只有在運(yùn)行時(shí)才能檢測(cè)到威脅。

對(duì)容器內(nèi)的內(nèi)容執(zhí)行靜態(tài)掃描只能到此為止，不足以確保安全。

研究人員舉了一個(gè)例子，一個(gè)威脅行為者創(chuàng)建了11個(gè)賬戶，所有賬戶都托管了30個(gè)相同的容器圖像。其圖像本身看起來(lái)是無(wú)害的，但在運(yùn)行時(shí)卻啟動(dòng)了一個(gè)偽裝的加密礦工。

因此，企業(yè)需要一個(gè)運(yùn)行時(shí)(runtime)威脅檢測(cè)工具，以及靜態(tài)圖像分析和漏洞掃描工具。

網(wǎng)絡(luò)攻擊目標(biāo)有哪些?

近三分之二(65%)的云計(jì)算攻擊專門針對(duì)電信和金融行業(yè)。

研究人員沒有評(píng)論為什么這些行業(yè)如此頻繁地成為網(wǎng)絡(luò)攻擊者的目標(biāo)，但它們都是世界上最有價(jià)值的行業(yè)之一，都持有高度敏感的信息。

對(duì)于電信行業(yè)來(lái)說(shuō)，除了收集個(gè)人信息之外，收集到的數(shù)據(jù)還可能被用于SIM卡交換——有效地接管受害者的移動(dòng)設(shè)備，并能夠通過(guò)雙因素身份驗(yàn)證(2FA)對(duì)其他重要賬戶進(jìn)行身份驗(yàn)證

醫(yī)療保健和國(guó)防部門排在電信和金融行業(yè)之后，考慮到可能被盜的數(shù)據(jù)類型，這一發(fā)現(xiàn)令研究人員感到驚訝。

其他目標(biāo)包括資源劫持，網(wǎng)絡(luò)攻擊者將通過(guò)加密采礦實(shí)例并利用現(xiàn)有實(shí)例發(fā)起新的攻擊來(lái)尋求快速貨幣化資產(chǎn)。

網(wǎng)絡(luò)攻擊緩解措施和趨勢(shì)

研究人員表示，網(wǎng)絡(luò)安全防御和減輕攻擊需要多管齊下的方法。

例如，AWS公司等供應(yīng)商將掃描GitHub以獲取任何AWS憑據(jù)，并附加隔離策略以限制潛在損害。根據(jù)發(fā)布的研究報(bào)告，GitHub也在檢查幾種秘密格式的提交，并可以自動(dòng)拒絕它們。

但是，必須認(rèn)識(shí)到用戶繞過(guò)為其安全設(shè)置的保護(hù)措施的決心。

隨著云計(jì)算技術(shù)繼續(xù)向一切都是代碼和容器技術(shù)發(fā)展，復(fù)雜性將繼續(xù)增加，網(wǎng)絡(luò)攻擊者將利用所犯的任何錯(cuò)誤。

報(bào)告指出，盡管供應(yīng)商在安全方面不斷改進(jìn)，但新型云計(jì)算服務(wù)的快速發(fā)展給網(wǎng)絡(luò)攻擊者提供了新的機(jī)會(huì)。盡管攻擊時(shí)間表不太可能比觀察到的速度減短，但攻擊本身將隨著自動(dòng)化變得更加普遍而繼續(xù)發(fā)展。