安全專家對(duì)網(wǎng)絡(luò)攻擊者針對(duì)企業(yè)云計(jì)算環(huán)境實(shí)施的常見(jiàn)和相關(guān)的攻擊方法進(jìn)行了闡述和分析。

隨著越來(lái)越多的企業(yè)將業(yè)務(wù)遷移到云計(jì)算環(huán)境，尋求攻擊的網(wǎng)絡(luò)犯罪分子也是如此。而了解最新的攻擊技術(shù)可以幫助企業(yè)更好地應(yīng)對(duì)未來(lái)的威脅。

安全廠商WhiteHat Security公司首席技術(shù)官Anthony Bettini在日前召開(kāi)的RSA安全大會(huì)上的一個(gè)小組討論中說(shuō)：“每當(dāng)看到技術(shù)變革時(shí)，人們就會(huì)看到網(wǎng)絡(luò)攻擊泛濫成災(zāi)，他們或者對(duì)技術(shù)變革進(jìn)行攻擊，或者駕馭變革浪潮?！碑?dāng)企業(yè)在沒(méi)有考慮安全狀況的情況下而直接進(jìn)入云平臺(tái)中時(shí)，其安全團(tuán)隊(duì)可能不知所措，從而使數(shù)據(jù)和流程面臨風(fēng)險(xiǎn)。

網(wǎng)絡(luò)攻擊者一直在尋找利用云計(jì)算技術(shù)進(jìn)行攻擊的新方法。以最近發(fā)現(xiàn)的“Cloud Snooper”攻擊為例，這一攻擊使用rootkit攻擊企業(yè)的AWS云平臺(tái)環(huán)境和內(nèi)部部署防火墻，然后再將遠(yuǎn)程訪問(wèn)木馬軟件植入到基于云計(jì)算的服務(wù)器上。隨著這些問(wèn)題的不斷出現(xiàn)，許多犯罪分子都采用經(jīng)過(guò)實(shí)踐檢驗(yàn)的方法，例如強(qiáng)行使用憑據(jù)或訪問(wèn)存儲(chǔ)在錯(cuò)誤配置的S3存儲(chǔ)桶中的數(shù)據(jù)。安全專家表示，企業(yè)的安全團(tuán)隊(duì)還有很多事情要跟上技術(shù)發(fā)展的步伐。

Securosis公司首席信息安全官Rich Mogull在RSA大會(huì)上談到云平臺(tái)中的網(wǎng)絡(luò)攻擊鏈時(shí)說(shuō)，“當(dāng)企業(yè)要利用現(xiàn)有的安全技能并且要進(jìn)入一個(gè)完全不同的環(huán)境時(shí)，要弄清楚需要關(guān)注的重點(diǎn)以及真實(shí)情況到底是什么，這將是一個(gè)巨大的挑戰(zhàn)?！?/p>

以下將討論其中一些常見(jiàn)的攻擊鏈以及其他云計(jì)算攻擊技術(shù)，這些都是安全專家和網(wǎng)絡(luò)犯罪分子的首要考慮因素。

1.憑證泄露導(dǎo)致帳戶被劫持

導(dǎo)致帳戶劫持的API憑據(jù)公開(kāi)是云平臺(tái)中的一個(gè)高嚴(yán)重性的攻擊鏈。Mogull表示，這種攻擊確實(shí)是最常見(jiàn)的攻擊之一。

靜態(tài)憑據(jù)是指用戶訪問(wèn)密鑰或Azure中的軟件即服務(wù)（SaaS）令牌等。他解釋說(shuō)：“我們之所以必須使用這些密碼，是因?yàn)橛脩粝Ｍ承﹥?nèi)部部署數(shù)據(jù)中心在與云平臺(tái)對(duì)話時(shí)，需要具備某種用戶名/密碼憑證的能力?！?/p>

當(dāng)網(wǎng)絡(luò)攻擊者獲得其中一個(gè)訪問(wèn)密鑰時(shí)，他們可以在受其控制的主機(jī)或平臺(tái)上使用它，并執(zhí)行API調(diào)用以進(jìn)行惡意操作或特權(quán)升級(jí)。這些密鑰通常是通過(guò)GitHub、BitBucket、共享圖像、快照公開(kāi)等方式泄露。網(wǎng)絡(luò)攻擊者反編譯Google Play商店應(yīng)用并提取靜態(tài)憑據(jù)，然后使用這些憑據(jù)。有人可能會(huì)侵入開(kāi)發(fā)人員的筆記本電腦或?qū)嵗?，并查看他們的命令歷史記錄或配置文件，以找到允許他們進(jìn)入云計(jì)算環(huán)境的訪問(wèn)密鑰。

Mogull說(shuō)：“我認(rèn)為，這確實(shí)是當(dāng)今云計(jì)算攻擊的最大載體，這是其中一種方法。尤其是公開(kāi)發(fā)布內(nèi)容。”他建議，用戶盡量減少使用其憑證，并在代碼存儲(chǔ)庫(kù)和公司GitHub中進(jìn)行掃描。因?yàn)橐坏┻@些密鑰對(duì)外泄露，網(wǎng)絡(luò)攻擊者只需幾分鐘就可以嘗試對(duì)其基礎(chǔ)設(shè)施進(jìn)行攻擊。

2.配置錯(cuò)誤

星巴克公司全球首席信息安全官Andy Kirkland在今年的RSA信息峰會(huì)上的一次演講中表示，配置錯(cuò)誤在很大程度上或至少部分是“影子IT的品牌重塑”。幾乎任何人都可以得到一個(gè)S3存儲(chǔ)桶，并隨心所欲地使用。而與錯(cuò)誤配置有關(guān)的網(wǎng)絡(luò)攻擊仍然會(huì)發(fā)生，因?yàn)槠髽I(yè)經(jīng)常無(wú)法保護(hù)其在公共云中的信息。

在這種情況下，敏感數(shù)據(jù)被放置在對(duì)象存儲(chǔ)中，并且沒(méi)有得到適當(dāng)?shù)谋Ｗo(hù)。訪問(wèn)控制可以設(shè)置為公共或匿名;存儲(chǔ)桶策略或網(wǎng)絡(luò)安全策略可能過(guò)于寬松;或?qū)⒐矁?nèi)容分發(fā)網(wǎng)絡(luò)（CDN）設(shè)置為私有數(shù)據(jù)。網(wǎng)絡(luò)攻擊者掃描并發(fā)現(xiàn)一個(gè)打開(kāi)的數(shù)據(jù)存儲(chǔ)，然后提取他們想要的數(shù)據(jù)。

Mogull說(shuō)，“這些默認(rèn)值是安全的，但是可以很容易地將它們公開(kāi)。”云計(jì)算提供商提供了減少這種情況的工具，但這仍然會(huì)給企業(yè)帶來(lái)痛苦。他建議進(jìn)行持續(xù)評(píng)估，并特別注意對(duì)象級(jí)別權(quán)限：在更改存儲(chǔ)桶級(jí)別權(quán)限時(shí)，并不總是更改對(duì)象級(jí)別權(quán)限。

他說(shuō)：“這種問(wèn)題確實(shí)很難解決，因?yàn)橛行┢髽I(yè)在這些環(huán)境中有成千上萬(wàn)的對(duì)象，現(xiàn)在他們必須通過(guò)嘗試并找到它們。最好的辦法是使用控件不要讓任何人公開(kāi)此信息?！?/p>

Mogull表示，如果確實(shí)需要公開(kāi)某些內(nèi)容，則可以配置環(huán)境，以使所有內(nèi)容保持原狀，但以后不能公開(kāi)其他內(nèi)容。

Oracle Cloud安全產(chǎn)品管理高級(jí)總監(jiān)Johnnie Konstantas說(shuō)，“越來(lái)越多的關(guān)鍵工作負(fù)載運(yùn)行在公共云中。我認(rèn)為，公共云提供商有責(zé)任進(jìn)行這種對(duì)話并談?wù)撈鋬?nèi)容?！?/p>

3.主要的云計(jì)算服務(wù)是熱門(mén)目標(biāo)

隨著越來(lái)越多的組織遷移到云平臺(tái)中，網(wǎng)絡(luò)攻擊者也在這樣做。這在模擬流行云計(jì)算服務(wù)（如Office 365）的登錄頁(yè)面的釣魚(yú)攻擊中很明顯。網(wǎng)絡(luò)罪犯正在尋找能給他們提供云計(jì)算服務(wù)密鑰的憑據(jù)。

趨勢(shì)科技公司全球威脅通信負(fù)責(zé)人說(shuō)：“不幸的是，許多企業(yè)仍然使用安全性薄弱的憑據(jù)。使用憑證填充的部分原因是，網(wǎng)絡(luò)攻擊者開(kāi)始將具有網(wǎng)絡(luò)釣魚(yú)頁(yè)面與網(wǎng)絡(luò)基礎(chǔ)設(shè)施和帳戶聯(lián)系的網(wǎng)絡(luò)釣魚(yú)電子郵件進(jìn)行定位?！?/p>

Imperva公司在其最近發(fā)布的《網(wǎng)絡(luò)威脅指數(shù)》調(diào)查報(bào)告指出，網(wǎng)絡(luò)犯罪分子正在更多地利用公共云，該報(bào)告發(fā)現(xiàn)在2019年11月至2019年12月之間源自公共云的網(wǎng)絡(luò)攻擊增加了16%。亞馬遜網(wǎng)絡(luò)服務(wù)是最受歡迎的來(lái)源，所有網(wǎng)絡(luò)攻擊中有52.9%來(lái)自公共云。Imperva公司提供了這些統(tǒng)計(jì)信息，他說(shuō)這表明云計(jì)算提供商應(yīng)審核其平臺(tái)上的惡意行為。

在另一個(gè)關(guān)于濫用主要云服務(wù)的問(wèn)題上，研究人員報(bào)告了一種新的下載程序，主要用于下載遠(yuǎn)程訪問(wèn)特洛伊木馬和信息竊取程序。據(jù)Proofpoint報(bào)道，“GuLoader在多個(gè)威脅組織中越來(lái)越受歡迎，通常會(huì)將加密的有效載荷存儲(chǔ)在Google Drive或Microsoft OneDrive上。它經(jīng)常被嵌入到容器文件中，比如.iso或.rar，但是研究人員也看到它直接從云計(jì)算托管平臺(tái)下載?！?/p>

4.加密挖礦

當(dāng)他們進(jìn)入云端時(shí)，許多網(wǎng)絡(luò)攻擊者繼續(xù)從事加密挖礦：大多數(shù)企業(yè)面臨的是嚴(yán)重性較低的攻擊。Mogull說(shuō)，“每個(gè)擁有云計(jì)算賬戶的人都處理過(guò)這個(gè)問(wèn)題?！?/p>

網(wǎng)絡(luò)攻擊者可以獲得RunInstance、虛擬機(jī)或容器的憑據(jù)、運(yùn)行大型實(shí)例或虛擬機(jī)，運(yùn)行并注入Cryptominer并連接到網(wǎng)絡(luò)，然后對(duì)其結(jié)果進(jìn)行篩選。或者，它們可能危害泄露的實(shí)例、虛擬機(jī)或容器，并在其中注入Cryptominer。

星巴克公司首席安全架構(gòu)師Shawn Harris說(shuō)，“78%的網(wǎng)絡(luò)攻擊都是由財(cái)務(wù)驅(qū)動(dòng)的，這是一種通過(guò)訪問(wèn)獲利的非常快速的方法。”

趨勢(shì)科技公司的Clay指出，服務(wù)器仍然是最好的加密平臺(tái)，但是具有訪問(wèn)權(quán)限的攻擊者正在采取措施隱瞞其活動(dòng)，以躲避企業(yè)的監(jiān)視。

5.服務(wù)器端請(qǐng)求偽造

服務(wù)器端請(qǐng)求偽造（SSRF）是一種危險(xiǎn)的攻擊方法，也是云計(jì)算環(huán)境中日益嚴(yán)重的問(wèn)題。SSRF使用了元數(shù)據(jù)API，它允許應(yīng)用程序訪問(wèn)底層云基礎(chǔ)設(shè)施中的配置、日志、憑據(jù)和其他信息。元數(shù)據(jù)API只能在內(nèi)部部署數(shù)據(jù)中心訪問(wèn)，但是，SSRF漏洞使它可以從全球互聯(lián)網(wǎng)訪問(wèn)。如果受到網(wǎng)絡(luò)攻擊，網(wǎng)絡(luò)攻擊者可以橫向移動(dòng)并進(jìn)行網(wǎng)絡(luò)偵察。

Mogull說(shuō)，這是一次更加復(fù)雜的攻擊。網(wǎng)絡(luò)攻擊者首先識(shí)別出具有潛在服務(wù)器端請(qǐng)求偽造（SSRF）漏洞的實(shí)例或容器，利用該實(shí)例或容器通過(guò)元數(shù)據(jù)服務(wù)提取憑據(jù)，然后在網(wǎng)絡(luò)攻擊者的環(huán)境中使用憑據(jù)建立會(huì)話。網(wǎng)絡(luò)攻擊者在那里可以執(zhí)行API調(diào)用以提升特權(quán)或采取其他惡意措施。

要使服務(wù)器端請(qǐng)求偽造（SSRF）成功，必須做一些事情：必須向全球互聯(lián)網(wǎng)公開(kāi)某些內(nèi)容，它必須包含服務(wù)器端請(qǐng)求偽造（SSRF）漏洞，并且必須具有允許它在其他地方工作的身份和訪問(wèn)管理（IAM）權(quán)限。他補(bǔ)充說(shuō)，現(xiàn)在必須具有元數(shù)據(jù)服務(wù)的一個(gè)版本。

6.云計(jì)算供應(yīng)鏈中的差距

Splunk公司高級(jí)副總裁兼安全市場(chǎng)總經(jīng)理Song Haiyan認(rèn)為，企業(yè)沒(méi)有充分考慮將云計(jì)算數(shù)字供應(yīng)鏈視為潛在的安全風(fēng)險(xiǎn)，也沒(méi)有考慮在這種環(huán)境下事件響應(yīng)的影響。

她解釋說(shuō)：“我們使用的許多服務(wù)和應(yīng)用程序不僅僅是來(lái)自一家公司?！崩?，當(dāng)采用一個(gè)共享應(yīng)用程序訂購(gòu)汽車時(shí)，會(huì)涉及到多個(gè)參與者：一家支付公司處理交易，另一家提供GPS數(shù)據(jù)。如果有人破壞了這個(gè)過(guò)程的一部分，那么當(dāng)所有這些API都由不同的供應(yīng)商控制時(shí)，將如何處理事件響應(yīng)？

Song Haiyan補(bǔ)充說(shuō)：“我們處于API經(jīng)濟(jì)中。”應(yīng)用程序是使用API服務(wù)構(gòu)建的，但是如果云中出現(xiàn)問(wèn)題，則其背后的組織將需要適當(dāng)?shù)目梢?jiàn)性和流程來(lái)處理它。是否具有服務(wù)級(jí)別協(xié)議（SLA）和事件響應(yīng)安排？如何提供可見(jiàn)性和跟蹤性？知道提供者是誰(shuí)嗎？能了解他們的聲譽(yù)嗎？她補(bǔ)充說(shuō)：“企業(yè)與狀況良好的供應(yīng)商合作很有幫助。”

7.強(qiáng)力攻擊和訪問(wèn)即服務(wù)

對(duì)于Clay而言，強(qiáng)力攻擊是首要大事。他說(shuō)，網(wǎng)絡(luò)攻擊者已開(kāi)始制作帶有鏈接到與云計(jì)算基礎(chǔ)設(shè)施和帳戶相關(guān)的惡意頁(yè)面的釣魚(yú)郵件。彈出窗口可能會(huì)提示受害者在Office 365和其他云計(jì)算應(yīng)用程序的虛假登錄頁(yè)面中輸入其用戶名和密碼。

他說(shuō)：“他們都在尋找證書(shū)?！币恍┚W(wǎng)絡(luò)攻擊者使用該訪問(wèn)權(quán)限進(jìn)行加密挖礦或?qū)ふ覕?shù)據(jù)。Clay看到的一種發(fā)展趨勢(shì)是暗網(wǎng)上的訪問(wèn)即服務(wù)的銷售。網(wǎng)絡(luò)攻擊者可以訪問(wèn)組織的云計(jì)算環(huán)境，然后為另一個(gè)威脅組管理該訪問(wèn)。例如，運(yùn)營(yíng)商Emotet公司可能會(huì)將其訪問(wèn)權(quán)出售給Sodinokibi或Ryuk勒索軟件運(yùn)營(yíng)商。Clay指出，很多勒索軟件團(tuán)體都在采用這種技術(shù)。