一項(xiàng)關(guān)于對(duì)云計(jì)算進(jìn)行網(wǎng)絡(luò)攻擊的研究表明��,在網(wǎng)絡(luò)攻擊者發(fā)現(xiàn)憑證之后,他們發(fā)動(dòng)攻擊的平均時(shí)間不到 10 分鐘��。這一發(fā)現(xiàn)與針對(duì)性攻擊有關(guān)���,網(wǎng)絡(luò)攻擊者選擇攻擊目標(biāo)是有特定原因的�����,例如他們的云計(jì)算中存在可能被利用的錯(cuò)誤配置�。
從找到一個(gè)有效的憑證到發(fā)起攻擊����,網(wǎng)絡(luò)攻擊者總共只花了 10 分鐘��,其中有 5 分鐘是停留時(shí)間����。
當(dāng)網(wǎng)絡(luò)攻擊者可以進(jìn)入云計(jì)算環(huán)境并以這樣的速度發(fā)動(dòng)攻擊時(shí),防御者很難檢測(cè)到入侵并阻止網(wǎng)絡(luò)攻擊的發(fā)生����。
在沒有特定目標(biāo)的機(jī)會(huì)攻擊中,網(wǎng)絡(luò)攻擊者在掃描漏洞 (例如配置錯(cuò)誤) 之后�,平均不到兩分鐘就能找到公開暴露的憑證��。然后���,他們平均需要 21 分鐘才能發(fā)起網(wǎng)絡(luò)攻擊。
云原生安全服務(wù)商 Sysdig 公司的研究人員將網(wǎng)絡(luò)攻擊的速度歸因于自動(dòng)化技術(shù)的武器化����,并警告說網(wǎng)絡(luò)攻擊者正在關(guān)注身份和訪問管理 (IAM),并使用不斷發(fā)展的憑證訪問����、特權(quán)升級(jí)和橫向移動(dòng)技術(shù)。
雖然從發(fā)現(xiàn)憑證到開始攻擊的時(shí)間以分鐘為單位進(jìn)行衡量�,但該研究團(tuán)隊(duì)指出,網(wǎng)絡(luò)攻擊者可能需要數(shù)小時(shí)才能確定合適的目標(biāo)�,這取決于動(dòng)機(jī)和可見性。
網(wǎng)絡(luò)攻擊者獲取秘密在很大程度上取決于存儲(chǔ)位置��。例如��,使用 AWS S3 存儲(chǔ)桶�,網(wǎng)絡(luò)攻擊者可能需要花費(fèi)幾天時(shí)間來搜索特定的公共名稱。
在云計(jì)算環(huán)境中越來越強(qiáng)調(diào) “一切都是代碼”����,這導(dǎo)致了防御者面臨一些挑戰(zhàn)����。該報(bào)告指出:“在為適當(dāng)?shù)脑L問和特權(quán)編寫代碼時(shí)出現(xiàn)的語法錯(cuò)誤可能是防御者面臨的障礙������!
據(jù)稱,網(wǎng)絡(luò)攻擊者對(duì)無服務(wù)器功能代碼和基礎(chǔ)設(shè)施即代碼 (IaC) 軟件 (例如 Cloud Formation 和 Terraform) 特別感興趣���,因?yàn)檫@些文件可能包含憑證或秘密�����,但可能被安全掃描忽略�。
企業(yè)的供應(yīng)鏈中有什么����?
研究人員還考慮了容器的狀態(tài)���。該技術(shù)本質(zhì)上是一個(gè)提供應(yīng)用程序所需的所有內(nèi)置功能的軟件包�,可以使它們成為惡意代碼的理想交付機(jī)制��。
在分析了 13000 張 Dockerhub 圖片后,研究人員發(fā)現(xiàn) 819 張圖片是惡意的��。然而�,由于采用了隱藏惡意代碼的先進(jìn)技術(shù),其中 10% 的漏洞無法被檢測(cè)到����。只有在運(yùn)行時(shí)才能檢測(cè)到威脅。
對(duì)容器內(nèi)的內(nèi)容執(zhí)行靜態(tài)掃描只能到此為止�,不足以確保安全。
研究人員舉了一個(gè)例子�����,一個(gè)威脅行為者創(chuàng)建了 11 個(gè)賬戶����,所有賬戶都托管了 30 個(gè)相同的容器圖像。其圖像本身看起來是無害的�����,但在運(yùn)行時(shí)卻啟動(dòng)了一個(gè)偽裝的加密礦工��。
因此�����,企業(yè)需要一個(gè)運(yùn)行時(shí) (runtime) 威脅檢測(cè)工具,以及靜態(tài)圖像分析和漏洞掃描工具�����。
網(wǎng)絡(luò)攻擊目標(biāo)有哪些�?
近三分之二 (65%) 的云計(jì)算攻擊專門針對(duì)電信和金融行業(yè)。
研究人員沒有評(píng)論為什么這些行業(yè)如此頻繁地成為網(wǎng)絡(luò)攻擊者的目標(biāo)��,但它們都是世界上最有價(jià)值的行業(yè)之一��,都持有高度敏感的信息����。
對(duì)于電信行業(yè)來說,除了收集個(gè)人信息之外���,收集到的數(shù)據(jù)還可能被用于 SIM 卡交換 —— 有效地接管受害者的移動(dòng)設(shè)備�����,并能夠通過雙因素身份驗(yàn)證 (2FA) 對(duì)其他重要賬戶進(jìn)行身份驗(yàn)證
醫(yī)療保健和國防部門排在電信和金融行業(yè)之后,考慮到可能被盜的數(shù)據(jù)類型����,這一發(fā)現(xiàn)令研究人員感到驚訝�����。
其他目標(biāo)包括資源劫持���,網(wǎng)絡(luò)攻擊者將通過加密采礦實(shí)例并利用現(xiàn)有實(shí)例發(fā)起新的攻擊來尋求快速貨幣化資產(chǎn)。
網(wǎng)絡(luò)攻擊緩解措施和趨勢(shì)
研究人員表示��,網(wǎng)絡(luò)安全防御和減輕攻擊需要多管齊下的方法�����。
例如���,AWS 公司等供應(yīng)商將掃描 GitHub 以獲取任何 AWS 憑據(jù)���,并附加隔離策略以限制潛在損害。根據(jù)發(fā)布的研究報(bào)告�����,GitHub 也在檢查幾種秘密格式的提交,并可以自動(dòng)拒絕它們��。
但是�,必須認(rèn)識(shí)到用戶繞過為其安全設(shè)置的保護(hù)措施的決心。
隨著云計(jì)算技術(shù)繼續(xù)向一切都是代碼和容器技術(shù)發(fā)展��,復(fù)雜性將繼續(xù)增加�,網(wǎng)絡(luò)攻擊者將利用所犯的任何錯(cuò)誤。
報(bào)告指出����,盡管供應(yīng)商在安全方面不斷改進(jìn),但新型云計(jì)算服務(wù)的快速發(fā)展給網(wǎng)絡(luò)攻擊者提供了新的機(jī)會(huì)�����。盡管攻擊時(shí)間表不太可能比觀察到的速度減短�����,但攻擊本身將隨著自動(dòng)化變得更加普遍而繼續(xù)發(fā)展�����。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
