信息化觀察網(wǎng)

配置不當(dāng)?shù)脑品?wù)可以在幾分鐘內(nèi)被威脅攻擊者利用，有時(shí)甚至不到30秒。研究人員發(fā)現(xiàn)，攻擊包括網(wǎng)絡(luò)入侵、數(shù)據(jù)盜竊和勒索軟件感染。

Palo Alto Networks的Unit 42的研究人員使用了一個(gè)由320個(gè)部署在全球的節(jié)點(diǎn)組成的Honeypot基礎(chǔ)設(shè)施，他們錯(cuò)誤地配置了云中的關(guān)鍵服務(wù)——包括遠(yuǎn)程桌面協(xié)議（RDP）、安全外殼協(xié)議（SSH）、服務(wù)器消息塊（Samba）和Postgres數(shù)據(jù)庫(kù)。

研究人員在周一發(fā)布的一份報(bào)告中披露，他們發(fā)現(xiàn)攻擊者抓住了利用錯(cuò)誤配置的機(jī)會(huì)，320個(gè)Honeypot中有80%在24小時(shí)內(nèi)遭到入侵，并且在一周內(nèi)全部遭到入侵。

此外，研究人員發(fā)現(xiàn)，一些攻擊在幾分鐘內(nèi)發(fā)生，其中一個(gè)速度特別快的威脅行為者在30秒內(nèi)入侵了全球80個(gè)Honeypot中的96%。

鑒于組織管理漏洞的速度通常以天或月為單位，“攻擊者可以在幾分鐘內(nèi)找到并破壞我們的Honeypot，這一點(diǎn)非常令人震驚。”Unit 42首席云安全研究員Jay Chen在帖子中寫道。

常見(jiàn)的云錯(cuò)誤

研究清楚地表明，鑒于“這些面向互聯(lián)網(wǎng)的服務(wù)大多連接到其他云工作負(fù)載，”這些常見(jiàn)的錯(cuò)誤配置能以多快的速度導(dǎo)致數(shù)據(jù)泄露或攻擊者破壞整個(gè)網(wǎng)絡(luò)，Chen寫道。他說(shuō)，這強(qiáng)化了快速緩解和修補(bǔ)安全問(wèn)題的重要性。

“當(dāng)錯(cuò)誤配置或易受攻擊的服務(wù)暴露在互聯(lián)網(wǎng)上時(shí)，攻擊者只需幾分鐘即可發(fā)現(xiàn)并破壞該服務(wù)，”Chen寫道，“在安全修復(fù)的時(shí)間安排方面沒(méi)有任何誤差。”

事實(shí)上，由于云服務(wù)配置錯(cuò)誤，已經(jīng)發(fā)生了許多引人注目的網(wǎng)絡(luò)事件。僅今年，兩個(gè)受歡迎的商業(yè)網(wǎng)點(diǎn)——Hobby Lobby零售連鎖店和Wegman的雜貨店——就因這些類型的錯(cuò)誤而分別遭遇了數(shù)據(jù)泄露。

由于云存儲(chǔ)桶配置錯(cuò)誤，Hobby Lobby暴露了客戶數(shù)據(jù)，而Wegman客戶數(shù)據(jù)泄露也同樣基于云的數(shù)據(jù)庫(kù)配置錯(cuò)誤。

引誘攻擊者

Unit 42在2021年7月至2021年8月期間進(jìn)行了當(dāng)前的云錯(cuò)誤配置研究，部署了320個(gè)蜜罐，在北美（NA）、亞太（APAC）和歐洲（EU）四個(gè)地區(qū)，SSH、Samba、Postgres和RDP的分布均勻。他們的研究分析了當(dāng)時(shí)在基礎(chǔ)設(shè)施中觀察到的攻擊的時(shí)間、頻率和來(lái)源。

為了引誘攻擊者，研究人員故意配置了一些具有弱憑據(jù)的帳戶，例如admin:admin、guest:guest、administrator:password，它們?cè)谏澈协h(huán)境中授予對(duì)應(yīng)用程序的有限訪問(wèn)權(quán)限。它們?cè)诎l(fā)生妥協(xié)事件——即當(dāng)威脅行為者通過(guò)其中一個(gè)憑據(jù)成功通過(guò)身份驗(yàn)證并獲得對(duì)應(yīng)用程序的訪問(wèn)權(quán)限時(shí)——重置honeypot。

研究人員還在honeypot子集上封鎖了一系列已知掃描儀IP，根據(jù)觀察到的網(wǎng)絡(luò)掃描流量每天更新一次防火墻策略。

該團(tuán)隊(duì)根據(jù)各種攻擊模式分析了攻擊，包括：攻擊者發(fā)現(xiàn)和破壞新服務(wù)所花費(fèi)的時(shí)間、目標(biāo)應(yīng)用程序的兩次連續(xù)入侵事件之間的平均時(shí)間、在honeypot上觀察到的攻擊者IP數(shù)量以及觀察到攻擊者IP的天數(shù)。

具體結(jié)果

研究結(jié)果表明，Samba honeypot是攻擊速度最快的honeypot，也是攻擊者以最快速度連續(xù)破壞服務(wù)honeypot。

然而，研究人員報(bào)告說(shuō)，SSH是攻擊者數(shù)量最多的錯(cuò)誤配置服務(wù)，遭受的攻擊者和破壞事件的數(shù)量遠(yuǎn)高于其他三個(gè)應(yīng)用程序。他們發(fā)現(xiàn)，受攻擊最多的SSH honeypot在一天內(nèi)遭到169次攻擊，而平均每個(gè)SSH蜜罐每天遭受26次攻擊。

他們發(fā)現(xiàn)，研究人員還根據(jù)地區(qū)追蹤了攻擊情況，其中北美地區(qū)攻擊的最多的是Samba和RDP，而來(lái)自亞太地區(qū)的攻擊更頻繁地針對(duì)Postgres和SSH。

Chen寫道，總體而言，85%的honeypot攻擊是在一天內(nèi)觀察到的，這向研究人員表明，阻止已知掃描儀IP對(duì)緩解攻擊無(wú)效，因?yàn)楣粽吆苌僦貜?fù)使用相同的IP來(lái)發(fā)起攻擊。

避免常見(jiàn)的云錯(cuò)誤

研究人員表示，對(duì)于犯下容易被利用的常見(jiàn)云配置錯(cuò)誤的組織來(lái)說(shuō)，好消息是，它們也很容易避免。Chen為系統(tǒng)管理員列出了幾項(xiàng)建議，以避免讓服務(wù)暴露在攻擊之下。

為了保護(hù)服務(wù)免受攻擊者IP的攻擊，云管理員可以實(shí)施防護(hù)措施以防止特權(quán)端口被打開，并創(chuàng)建審核規(guī)則來(lái)監(jiān)控所有打開的端口和暴露的服務(wù)。

研究人員還建議管理員創(chuàng)建自動(dòng)響應(yīng)和補(bǔ)救規(guī)則來(lái)自動(dòng)修復(fù)錯(cuò)誤配置，并部署下一代防火墻來(lái)阻止惡意流量。