作者 | Raj Rajamani

策劃 | 言征

云已成為攻擊者活動(dòng)的新戰(zhàn)場(chǎng)：CrowdStrike 觀察到，從 2021 年到 2022 年，云利用增加了 95%，涉及直接針對(duì)云的威脅行為者的案件增加了 288%。保護(hù)你的云環(huán)境需要了解威脅行為者的運(yùn)作方式——他們?nèi)绾侮J入和橫向移動(dòng)、他們瞄準(zhǔn)哪些資源以及他們?nèi)绾翁颖軝z測(cè)。

1、云配置錯(cuò)誤帶來地安全問題

云配置錯(cuò)誤（當(dāng)安全設(shè)置選擇不當(dāng)或完全忽略時(shí)出現(xiàn)的漏洞、錯(cuò)誤或漏洞）為攻擊者提供了滲透云的簡(jiǎn)單途徑。多云環(huán)境很復(fù)雜，很難判斷何時(shí)授予了過多的帳戶權(quán)限、配置了不正確的公共訪問或發(fā)生了其他錯(cuò)誤。也很難判斷對(duì)手何時(shí)利用它們。

云中配置錯(cuò)誤的設(shè)置為攻擊者快速行動(dòng)掃清了道路。云中的漏洞可能會(huì)暴露大量敏感信息，包括個(gè)人數(shù)據(jù)、財(cái)務(wù)記錄、知識(shí)產(chǎn)權(quán)和商業(yè)秘密。對(duì)手在不被發(fā)現(xiàn)的情況下通過云環(huán)境尋找和竊取這些數(shù)據(jù)的速度是一個(gè)主要問題。惡意行為者將通過使用云環(huán)境中的本機(jī)工具來加快在云中搜索和查找有價(jià)值數(shù)據(jù)的過程，這與他們必須部署工具的本地環(huán)境不同，這使得他們更難避免檢測(cè)。需要適當(dāng)?shù)脑瓢踩珌矸乐乖斐蓮V泛后果的違規(guī)行為。

2、常見的錯(cuò)誤配置

那么，我們看到威脅行為者最常見的錯(cuò)誤配置是什么，以及對(duì)手如何利用它們來獲取你的數(shù)據(jù)？

無效的網(wǎng)絡(luò)控制：網(wǎng)絡(luò)訪問控制中的間隙和盲點(diǎn)為攻擊者留下了許多大門，讓他們可以直接通過。

不受限制的出站訪問：當(dāng)你對(duì)互聯(lián)網(wǎng)具有不受限制的出站訪問權(quán)限時(shí)，不良行為者可以利用你缺乏出站限制和工作負(fù)載保護(hù)來從你的云平臺(tái)竊取數(shù)據(jù)。你的云實(shí)例應(yīng)限制為特定的 IP 地址和服務(wù)，以防止對(duì)手訪問和竊取你的數(shù)據(jù)。

配置不當(dāng)?shù)墓苍L問：將存儲(chǔ)桶或關(guān)鍵網(wǎng)絡(luò)服務(wù)（例如 SSH（安全外殼協(xié)議）、SMB（服務(wù)器消息塊）或 RDP（遠(yuǎn)程桌面協(xié)議））暴露到互聯(lián)網(wǎng)，甚至是不打算公開的 Web 服務(wù)公開，可能會(huì)迅速導(dǎo)致服務(wù)器的云攻擊以及敏感數(shù)據(jù)的泄露或刪除。

公共快照和映像：意外公開卷快照或計(jì)算機(jī)映像（模板）的情況很少見。當(dāng)這種情況發(fā)生時(shí)，機(jī)會(huì)主義的對(duì)手就可以從該公共圖像中收集敏感數(shù)據(jù)。在某些情況下，該數(shù)據(jù)可能包含密碼、密鑰和證書或 API 憑據(jù)，從而導(dǎo)致云平臺(tái)遭受更大的損害。

開放數(shù)據(jù)庫、緩存和存儲(chǔ)桶：開發(fā)人員有時(shí)會(huì)在沒有足夠的身份驗(yàn)證/授權(quán)控制的情況下公開數(shù)據(jù)庫或?qū)ο缶彺妫瑥亩鴮⒄麄€(gè)數(shù)據(jù)庫或緩存暴露給機(jī)會(huì)主義對(duì)手，以進(jìn)行數(shù)據(jù)盜竊、破壞或篡改。

被忽視的云基礎(chǔ)設(shè)施：你會(huì)驚訝地發(fā)現(xiàn)，有多少次云平臺(tái)為了支持短期需求而啟動(dòng)，但在練習(xí)結(jié)束時(shí)仍保持運(yùn)行，并在團(tuán)隊(duì)繼續(xù)前進(jìn)后被忽視。開發(fā)或安全運(yùn)營(yíng)團(tuán)隊(duì)不維護(hù)被忽視的云基礎(chǔ)設(shè)施，從而使不良行為者可以自由地獲取訪問權(quán)限以搜索可能遺留的敏感數(shù)據(jù)。

網(wǎng)絡(luò)分段不充分：網(wǎng)絡(luò)安全組等現(xiàn)代云網(wǎng)絡(luò)概念使 ACL （訪問控制列表）等陳舊、繁瑣的做法成為過去。但是，安全組管理實(shí)踐不足可能會(huì)創(chuàng)建一個(gè)環(huán)境，使攻擊者可以根據(jù)“網(wǎng)絡(luò)內(nèi)部是安全的”和“只需要前端防火墻”這一隱含的架構(gòu)假設(shè)，在主機(jī)之間、服務(wù)之間自由移動(dòng)。” 由于不利用安全組功能僅允許需要通信的主機(jī)組進(jìn)行通信，并阻止不必要的出站流量，云防御者錯(cuò)過了阻止涉及基于云的端點(diǎn)的大多數(shù)違規(guī)行為的機(jī)會(huì)。

監(jiān)控和警報(bào)差距：集中查看所有服務(wù)的日志和警報(bào)，使搜索異常變得更加容易。

禁用日志記錄：云安全事件的有效數(shù)據(jù)記錄對(duì)于檢測(cè)惡意威脅行為者行為至關(guān)重要。然而，在許多情況下，云平臺(tái)上默認(rèn)禁用日志記錄，或者禁用日志記錄以減少維護(hù)日志的開銷。如果禁用日志記錄，則不會(huì)記錄任何事件，因此無法檢測(cè)潛在的惡意事件或操作。應(yīng)將啟用和管理日志記錄作為最佳實(shí)踐。

缺少警報(bào)：大多數(shù)云提供商和所有云安全態(tài)勢(shì)管理提供商都會(huì)針對(duì)重要的錯(cuò)誤配置提供警報(bào)，并且大多數(shù)會(huì)檢測(cè)異?；蚩赡艿膼阂饣顒?dòng)。不幸的是，防御者通常不會(huì)在他們的雷達(dá)上發(fā)現(xiàn)這些警報(bào)，這要么是由于太多的低相關(guān)性信息（警報(bào)疲勞），要么是因?yàn)檫@些警報(bào)源與他們尋找警報(bào)的位置（例如 SIEM）之間缺乏聯(lián)系。安全信息和事件管理）工具。

無效的身份架構(gòu)：用戶帳戶的存在不植根于單一身份提供商，該身份提供商強(qiáng)制執(zhí)行有限的會(huì)話時(shí)間和多因素身份驗(yàn)證 (MFA)，并且可以標(biāo)記或阻止不規(guī)則或高風(fēng)險(xiǎn)簽名活動(dòng)的登錄，這是導(dǎo)致以下問題的核心原因：云數(shù)據(jù)泄露，因?yàn)閼{證使用被盜的風(fēng)險(xiǎn)非常高。

公開的訪問密鑰：訪問密鑰作為安全主體用于與云服務(wù)平面進(jìn)行交互。暴露的密鑰可能會(huì)被未經(jīng)授權(quán)的人員迅速濫用來竊取或刪除數(shù)據(jù)；威脅行為者還可能要求贖金，以換取不出售或泄露的承諾。雖然這些密鑰可以保密，盡管有一些困難，但最好讓它們過期，或者使用自動(dòng)輪換的短期訪問密鑰，并限制它們的使用地點(diǎn)（來自哪些網(wǎng)絡(luò)和 IP 地址）。

帳戶權(quán)限過多：大多數(shù)帳戶（角色、服務(wù)）都有一組有限的正常操作和稍大一些的偶爾操作。當(dāng)他們被提供了遠(yuǎn)大于所需的特權(quán)并且這些特權(quán)被威脅行為者濫用時(shí)，“爆炸半徑”就不必要地大了。過多的權(quán)限會(huì)導(dǎo)致橫向移動(dòng)、持久性和權(quán)限升級(jí)，這可能會(huì)導(dǎo)致數(shù)據(jù)泄露、破壞和代碼篡改等更嚴(yán)重的影響。

3、寫在最后

如今云無處不在。許多組織在做出節(jié)省成本和靈活性的決定時(shí)，沒有考慮這種新基礎(chǔ)設(shè)施帶來的安全挑戰(zhàn)。如果沒有必要的培訓(xùn)，安全團(tuán)隊(duì)就無法理解云安全。維護(hù)云安全態(tài)勢(shì)管理的最佳實(shí)踐將幫助你避免導(dǎo)致云安全漏洞的常見錯(cuò)誤配置。