云时代的安全问题是当务之急,因为云为恶意行为者提供了比以往更多的目标集,并提供了进行攻击的新工具。这些攻击所基于的启动点范围很广——从一般凭据(例如被遗忘的或被盗的凭据)到使用AWS Glue和Sage Maker等数据科学工具的新凭证,以及使用Kubernetes等强大的工具实施的复杂攻击等等。
2021年,我们势必将看到更多针对云服务的攻击活动,以下是云安全在接下来一年的威胁预测:
持续性攻击
当创建新实例并运行可以匹配所需任何硬件或软件环境的虚拟机时,云体系结构可提供完全的灵活性。但是,这种灵活性(如果不能得到适当保护的话)又会诱发恶意行为者发动攻击,并在保持对初始攻击的控制权的情况下发起持续性攻击。
像Amazon Web Services这样的云服务使开发人员可以轻松地以渐进式或间断式的方法构建环境。例如,AWS允许开发人员在每次重新启动Amazon EC2实例(即为用户数据)时自动执行脚本,这就意味着如果黑客设法使用可能已传递到云实例的有毒shell脚本来利用实例,那么他们将能够持续不断地利用其与服务器的连接。
通过这种方式,黑客将能够在服务器内横向移动,窃取数据或获取特权,使他们能够进一步利用组织的资产。当然,管理员可以关闭此选项,并要求开发人员每次返回环境时都要进行登录——但是实现这一步需要开发人员积极主动配合才行。本质上来说,AWS的灵活性也正是其弱点所在;除了过多的配置选项外,服务错误配置的机会也更多,从而给黑客留下了更多的攻击入口。
数据科学工具攻击
事实证明,笔记本(Notebook)对于数据科学家来说是必不可少的存在,能够帮助他们快速集成和分析数据。像是AWS Sage Maker这类工具可以使该流程更加高效,帮助数据科学家构建、训练和部署机器学习模型。但是,作为一种相对较新的工具,其受众范围并非全是安全领域的人士,自然地,安全意识也会相对薄弱,这也给了恶意行为者可乘之机。
与其他Amazon产品一样,Sage Maker之类的工具同样非常灵活,且具有很多选项。研究表明,恶意行为者可以利用这些选项中一些来提升他们的特权,甚至给自己授予更高的管理员特权。该攻击路径可能使恶意行为者能够打开云实例上的终端功能,并绕过Amazon GuardDuty(可用于访问高级角色和权限)泄露凭证数据。同样地,恶意行为者还可以利用CloudGoat等开源项目,并使用AWS Glue、CodeBuild和S3以及未使用的组和角色来进行特权升级。面对这种情况,管理员和数字科学家也需要熟悉自身正在使用的系统的体系架构,以保护自身安全,并最大限度地缩小恶意行为者的活动空间。
机器人可能会感染云遗留资产
机器人无所不在,云端也不例外;安全公司GlobalDots的一份调查报告显示,超过80%的“恶意机器人”(即窃取数据、抓取内容、分发垃圾邮件、运行分布式拒绝服务攻击等行为的机器人)都是基于云的数据中心运行的。尽管许多机器人会投毒其他站点——使用它们控制的服务器去攻击其他服务器和用户,但是它们也可以简单地控制云基础架构来为其所有者执行任务。研究表明,在这些任务中,更受欢迎的是加密货币挖矿(cryptomining),在某种程度上,它也算是周边最大的网络威胁之一。
据研究人员称,如果说窃取资源和资金还不够,那么加密货币挖矿恶意软件的新变种现在还会窃取AWS凭证。该蠕虫利用加密货币挖矿恶意软件进行封装,并寻找未加密的AWS CLI文件,最后会从中提取凭证数据。解决方案是限制对这些数据的访问——但是这点同样需要管理员的积极配合。
更多Kubernetes威胁到来
负责上述AWS凭证盗窃的同一网络犯罪组织TeamTNT,利用常见的配置错误问题,开发了滥用可视化和监视工具Weave Scope的方法。黑客使用通过端口4040授予的默认开放访问权限,来安装Weave Scope,并将其用作监视系统、利用资源、安装应用程序、启动或关闭容器中Shell的后门程序,实现自己想要实现的一切事情。
根据网络安全公司Intezer和Microsoft发布的最新研究显示,Weave Scope已经成功被纳入基于云的攻击中。
目前,黑客大多使用这些方法来安装加密货币挖矿恶意软件,但是却找不到办法阻止它们控制云系统用于恶意目的。攻击媒介不断变化,而且还在持续增长。随着谷歌Kubernetes项目的不断发展,并持续添加新的特征和功能,越来越多的企业和开发人员已经将自己的工作转移到了K8S上。这一切也成功吸引到了恶意行为者的目光,他们开始针对Kubernetes项目的新功能进行渗透测试并寻找可利用的机会——用户不太可能填补的漏洞和错误配置,因为他们根本不知道如何做,甚至完全不了解Kubernetes。
抢先防御,先发制人
随着越来越多的企业组织安装更多的云应用,针对云的攻击自然会不断增长。预计到2023年,公司的公共云支出将比2019年的分配额增加一倍以上,但是,随着攻击者不断寻找他们能够利用的“最薄弱环节”,相信未来我们会看到更多此类攻击以及其他类型的攻击。
可惜的是,大多数这些问题以及仍在不断涌现的新问题,事实上都是可以予以纠正的,只是一般直到发生问题之后,许多管理员和用户才能真正地发现这些问题。到那时,他们已然成了“受害者”,受害事迹也被公布在安全公司的博客上,之后,他们才会想办法解决已经出现的问题。
为了避免这种情况,诀窍是通过发现“漏洞”或错误配置为黑客提供的攻击入口,从而在问题演变成现实攻击之前就将其解决填补。随着2021年云应用量的持续增加,用户对于配置问题的安全意识——以及解决它们的方法,必须同步增长才行。