了解云基础设施网络攻击链
云技术正在发展,随之而来的是新的风险类型。传统的第一代云漏洞通过公开的管理服务针对云基础设施外围。但是在下一个云攻击的演变过程中,我们看到攻击者成熟了他们的策略、技术和过程(TTP)来瞄准云基础设施权限。最近的违规行为暴露了系统性问题,包括人账户和服务/机器账户的身份授权过度。
很可能在某个时候,你会暴露一个云帐户。关键是将风险最小化,或者说是一些人所说的“爆炸半径”。这里的目标是增加一个额外的防御层,用最少的特权策略实现每个帐户,以限制一旦该帐户暴露,攻击者可以做什么。这不仅仅是多因素身份验证(MFA)。重要的是要记住,即使启用了MFA,开发人员也可以通过另一种方法访问环境。这是通过他们的AWS访问密钥完成的。如果这些访问密钥是通过在GitHub中发布嵌入密钥的代码而意外暴露的,那么攻击者就可以提供另一种方法来访问您的云环境。
这正是最近发生的一系列云破坏事件。一旦访问密钥被暴露,攻击者就能够在云基础设施中移动,这是由于权限过大,其中许多权限从未被身份使用过。为了更好地理解这一点,我们创建了一个云基础设施网络杀戮链。第一代攻击主要发生在侦察阶段,攻击者可以发现公开暴露的存储和服务。第二代攻击技术已经成熟成为一个完整的网络杀戮链。
让我们逐步分析这些:
" 侦查(Recon):在此阶段,攻击者正在使用扫描仪和开放源代码工具来发现任何低迷的果实,以发现公开暴露的资源,服务和凭据。对于资源,这可以是公共的且不受保护的Azure Blob /容器或S3存储桶,也可以是未经身份验证的不受保护的Web应用程序。在此阶段公开的数据很大程度上与配置错误和安全卫生状况不佳有关。
" 渗透:如果通过密码喷雾或没有MFA的蛮力攻击暴露了凭据,或者通过GitHub或Pastebin获得了访问密钥,则攻击者可以渗透环境并确定该帐户可以访问哪些资源。这还涉及发现可能允许敏感数据访问的权限,以及终止和/或删除实例,资源等的能力。从本质上讲,攻击者此时可以窃取数据,但许多攻击者会进入下一阶段。
" 特权升级:由于攻击者发现对资源和权限的访问,因此,过度许可的访问可能允许访问显示管理员密码等内容的Azure云外壳文件。然后,这可以使攻击者转到另一个帐户。云中还包含“角色链”功能。例如,当管理员创建允许用户从一个帐户(或订阅)跳转到另一个帐户的sts-assume策略时,AWS提供跨帐户访问。
"横向移动:无论是AWS中的跨账户角色,还是将管理员凭据暴露在Azure云外壳文件中,还是通过其他某种技术,攻击者现在都可以在整个云基础架构中从一个帐户到另一个帐户或从订阅到订阅进行横向移动。这使攻击者可以发现更多实例,虚拟机,存储资源,数据库和无服务器功能。在这一点上,他们倾向于访问大多数基础架构,并且可能会泄漏数据,接管云基础架构或通过删除所有内容而造成大规模破坏。
" 渗透:务必注意,云中的权限可能会无意间允许数据渗透。在最突出的漏洞之一中,攻击者仅因为存储具有只读权限就能够窃取数百万条记录。这使攻击者不仅可以读取数据,还可以下载并制作数据的副本。
了解针对您的云基础架构的攻击者使用的TTP,可以使您更好地了解如何加强这些云环境。其中很大一部分是云权限。在最近的许多漏洞中,广泛的过度使用身份使攻击者可以在云基础架构上横向移动,从而暴露了过多的资源。例如,在一次泄露中,一个服务帐户通常仅用于访问一个S3存储桶存储,但该帐户可以访问大约700个从未使用过的其他S3存储桶。
推荐建议
" 监视您的正在进行的云权限:这些权限每天都在变化,并且在没有监视这些权限并对其进行永久性调整的情况下,许多帐户被超额使用。为了补充这一点,即时访问或按需特权自动化可以使用户获得完成工作所需的访问权限。
" 监视异常:用户和服务帐户在使用情况,一天中的时间和访问方面表现出模式和行为。在短时间内就活动或大量资源的大量增加发出警报,可以帮助发现异常或恶意行为,并在发生违反事件时及时做出响应。
" 定期分析策略:跨帐户访问,策略通配符等可能会导致对敏感资源的不良访问。存在许多自动工具来发现高风险措施并调整这些策略以避免人工监督。
管理您的云基础架构安全状况已不仅仅限于管理外围。新的挑战变成了监视权限的持续变化以及对云中资源的访问。这归结为摆脱基于假设的策略,现在监视正在进行的活动以了解允许访问可能导致不良风险的资源的复杂权限。
随着我们转向第二代云安全性,正在进行的权限管理对于保护您的组织免受下一代云安全威胁并最大程度地减少最近一次云漏洞中的攻击面至关重要。