頂級云計算平臺面臨“云水坑攻擊”
根據Accurics的最新報告,伴隨托管基礎設施的云服務快速增長,“云水坑攻擊”呈現爆發式增長。
所謂水坑攻擊就是黑客利用平臺弱點,預先“蹲點埋伏”,向使用平臺服務(例如網站等公共網絡資源)的最終用戶分發惡意軟件,未經授權訪問其生產環境、數據或完全破壞目標環境。
根據報告,在已經發現的所有“云水坑攻擊”事件中,有23%針對配置不當的托管服務產品,所謂的配置不當,主要指使用默認安全配置或提供過多權限的錯誤配置。
研究人員指出,在云環境中,水坑攻擊可造成更大的破壞,因為托管的云中開發流程暴露于互聯網中,而不是像內部環境中的開發流程那樣被隱藏在組織內部。
當不法分子成功利用云端開發管道中的錯誤配置時,不僅會給公司造成災難,還會給客戶造成災難。為緩解此風險,企業應假定整個開發過程都易于被非法訪問,并遵循最小化權限原則,將訪問權限限制為僅向需要它的用戶開放。
開發上云已經是不可逆轉的趨勢,越來越多的團隊正在加速采用托管服務,這肯定會提高生產力并提升開發速度。但不幸的是,這些團隊的安全意識和能力無法跟上相關的風險——例如使用默認的安全配置文件和過度授權。
報告指出:根據歷史經驗,就像幾年前存儲桶業務所經歷那樣,消息服務和FaaS也正進入網絡安全問題集中爆發的危險階段,這些服務的不安全配置將導致更多的違規行為。
研究表明,在所有環境中,威脅緩解的平均時間(MTTR)為25天,這給潛在的攻擊者留出了極為寬松的時間窗口。MTTR對于云安全來說特別重要,因為它與偏離(drift)有關,當運行時(runtime)的配置發生變更時,會導致云風險狀況偏離已建立的安全基準,而偏離安全基準的MTTR約為8天。
甚至隨著時間的流逝,那些在配置基礎設施時已經建立安全基準的組織也會產生偏離,一個廣為人知的案例是亞馬遜AWS S3存儲桶。2015年AWS S3存儲桶被添加到云環境時的配置是正確的,但五個月后,為解決問題而進行的配置更改在工作完成后并未正確重置,直到近五年后,這種偏離才被發現并得到解決。
云基礎架構面臨的主要風險:
- 嘗試部署基于角色的訪問控制(RBAC)的Kubernetes用戶往往未能以適當的粒度定義角色。這增加了賬戶重用和濫用的機會。實際上,有35%的企業和機構在這方面表現糟糕。
- 在Helm圖表中,有48%的問題是由不安全的默認值引起的。最常見的錯誤是對默認名稱空間的不正確使用(在其中運行系統組件),這可能使攻擊者可以訪問系統組件或機密。
- 報告首次在生產環境中發現通過基礎結構即代碼(IaC)定義的身份和訪問管理,并且此報告中檢測到的IAM偏離中有超過三分之一(35%)源自IaC。這表明IAM即代碼(IAM as Code)正在快速流行,但可能導致角色配置錯誤的風險。
- 硬編碼的機密信息幾乎占違規行為的10%,其中23%是因為用戶錯誤配置了托管服務產品。
- 在接受調查的企業中,有10%實際上為從未啟用付費購買高級安全功能。
- 雖然修復基礎設施配置錯誤的平均時間約為25天,但基礎設施中最關鍵的部分通常需要花費最多的時間來修復。例如,負載平衡服務平均需要149天的時間才能修復。由于所有面向用戶的數據都需要流經負載均衡服務,因此理想情況下,應該優先以最快的速度修復此類資產。
總結
保護云基礎架構需要一種全新的方法,必須在開發生命周期的早期階段嵌入安全性,并始終保持安全狀態。企業需要持續監控云基礎設施運行時段配置變更并評估風險。
在配置變更帶來風險時,必須根據安全基準重新部署云基礎架構,這樣可以確保意外或惡意進行的任何更改都會被自動覆蓋。
【本文是51CTO專欄作者“安全牛”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
