本文來自微信公眾號“安信安全”,作者|Raj Rajamani。
如今云無處不在。許多組織在做出節(jié)省成本和靈活性的決定時,沒有考慮這種新基礎設施帶來的安全挑戰(zhàn)。如果沒有必要的培訓,安全團隊就無法理解云安全。維護云安全態(tài)勢管理的最佳實踐將幫助你避免導致云安全漏洞的常見錯誤配置。
云已成為攻擊者活動的新戰(zhàn)場:CrowdStrike觀察到,從2021年到2022年,云利用增加了95%,涉及直接針對云的威脅行為者的案件增加了288%。保護你的云環(huán)境需要了解威脅行為者的運作方式——他們如何闖入和橫向移動、他們瞄準哪些資源以及他們如何逃避檢測。
1、云配置錯誤帶來地安全問題
云配置錯誤(當安全設置選擇不當或完全忽略時出現的漏洞、錯誤或漏洞)為攻擊者提供了滲透云的簡單途徑。多云環(huán)境很復雜,很難判斷何時授予了過多的帳戶權限、配置了不正確的公共訪問或發(fā)生了其他錯誤。也很難判斷對手何時利用它們。
云中配置錯誤的設置為攻擊者快速行動掃清了道路。云中的漏洞可能會暴露大量敏感信息,包括個人數據、財務記錄、知識產權和商業(yè)秘密。對手在不被發(fā)現的情況下通過云環(huán)境尋找和竊取這些數據的速度是一個主要問題。惡意行為者將通過使用云環(huán)境中的本機工具來加快在云中搜索和查找有價值數據的過程,這與他們必須部署工具的本地環(huán)境不同,這使得他們更難避免檢測。需要適當的云安全來防止造成廣泛后果的違規(guī)行為。
2、常見的錯誤配置
那么,我們看到威脅行為者最常見的錯誤配置是什么,以及對手如何利用它們來獲取你的數據?
無效的網絡控制:網絡訪問控制中的間隙和盲點為攻擊者留下了許多大門,讓他們可以直接通過。
不受限制的出站訪問:當你對互聯網具有不受限制的出站訪問權限時,不良行為者可以利用你缺乏出站限制和工作負載保護來從你的云平臺竊取數據。你的云實例應限制為特定的IP地址和服務,以防止對手訪問和竊取你的數據。
配置不當的公共訪問:將存儲桶或關鍵網絡服務(例如SSH(安全外殼協議)、SMB(服務器消息塊)或RDP(遠程桌面協議))暴露到互聯網,甚至是不打算公開的Web服務公開,可能會迅速導致服務器的云攻擊以及敏感數據的泄露或刪除。
公共快照和映像:意外公開卷快照或計算機映像(模板)的情況很少見。當這種情況發(fā)生時,機會主義的對手就可以從該公共圖像中收集敏感數據。在某些情況下,該數據可能包含密碼、密鑰和證書或API憑據,從而導致云平臺遭受更大的損害。
開放數據庫、緩存和存儲桶:開發(fā)人員有時會在沒有足夠的身份驗證/授權控制的情況下公開數據庫或對象緩存,從而將整個數據庫或緩存暴露給機會主義對手,以進行數據盜竊、破壞或篡改。
被忽視的云基礎設施:你會驚訝地發(fā)現,有多少次云平臺為了支持短期需求而啟動,但在練習結束時仍保持運行,并在團隊繼續(xù)前進后被忽視。開發(fā)或安全運營團隊不維護被忽視的云基礎設施,從而使不良行為者可以自由地獲取訪問權限以搜索可能遺留的敏感數據。
網絡分段不充分:網絡安全組等現代云網絡概念使ACL(訪問控制列表)等陳舊、繁瑣的做法成為過去。但是,安全組管理實踐不足可能會創(chuàng)建一個環(huán)境,使攻擊者可以根據“網絡內部是安全的”和“只需要前端防火墻”這一隱含的架構假設,在主機之間、服務之間自由移動。”由于不利用安全組功能僅允許需要通信的主機組進行通信,并阻止不必要的出站流量,云防御者錯過了阻止涉及基于云的端點的大多數違規(guī)行為的機會。
監(jiān)控和警報差距:集中查看所有服務的日志和警報,使搜索異常變得更加容易。
禁用日志記錄:云安全事件的有效數據記錄對于檢測惡意威脅行為者行為至關重要。然而,在許多情況下,云平臺上默認禁用日志記錄,或者禁用日志記錄以減少維護日志的開銷。如果禁用日志記錄,則不會記錄任何事件,因此無法檢測潛在的惡意事件或操作。應將啟用和管理日志記錄作為最佳實踐。
缺少警報:大多數云提供商和所有云安全態(tài)勢管理提供商都會針對重要的錯誤配置提供警報,并且大多數會檢測異?;蚩赡艿膼阂饣顒印2恍业氖?,防御者通常不會在他們的雷達上發(fā)現這些警報,這要么是由于太多的低相關性信息(警報疲勞),要么是因為這些警報源與他們尋找警報的位置(例如SIEM)之間缺乏聯系。安全信息和事件管理)工具。
無效的身份架構:用戶帳戶的存在不植根于單一身份提供商,該身份提供商強制執(zhí)行有限的會話時間和多因素身份驗證(MFA),并且可以標記或阻止不規(guī)則或高風險簽名活動的登錄,這是導致以下問題的核心原因:云數據泄露,因為憑證使用被盜的風險非常高。
公開的訪問密鑰:訪問密鑰作為安全主體用于與云服務平面進行交互。暴露的密鑰可能會被未經授權的人員迅速濫用來竊取或刪除數據;威脅行為者還可能要求贖金,以換取不出售或泄露的承諾。雖然這些密鑰可以保密,盡管有一些困難,但最好讓它們過期,或者使用自動輪換的短期訪問密鑰,并限制它們的使用地點(來自哪些網絡和IP地址)。
帳戶權限過多:大多數帳戶(角色、服務)都有一組有限的正常操作和稍大一些的偶爾操作。當他們被提供了遠大于所需的特權并且這些特權被威脅行為者濫用時,“爆炸半徑”就不必要地大了。過多的權限會導致橫向移動、持久性和權限升級,這可能會導致數據泄露、破壞和代碼篡改等更嚴重的影響。
如今云無處不在。許多組織在做出節(jié)省成本和靈活性的決定時,沒有考慮這種新基礎設施帶來的安全挑戰(zhàn)。如果沒有必要的培訓,安全團隊就無法理解云安全。維護云安全態(tài)勢管理的最佳實踐將幫助你避免導致云安全漏洞的常見錯誤配置。