當前位置：云計算 → 行業動態 → 正文

改進攻擊鏈方法以保護基于云計算的應用程序

責任編輯：cres 作者：Paolo Passeri |來源：企業網D1Net 2019-07-09 11:02:41 原創文章企業網D1Net

信息安全專業人員可能聽說過用于識別和預防網絡入侵的網絡攻擊鏈框架。該模型由洛克希德·馬丁公司建立，并遵循軍事命名的方法描述和處理網絡威脅的每個階段。這些階段被稱為偵察、武器化、交付、利用、安裝、命令和控制，最后是對目標的行動。

雖然該模型適用于物理威脅和網絡威脅，但重要的是注意，并非每次網絡攻擊都會使用攻擊鏈的所有步驟。例如，第一階段“偵察”和最后階段“行動”通常僅在目標攻擊中具有特征。攻擊的持續時間也可能因其性質而異。機會性攻擊必須迅速執行，惡意行為者的最終價值往往取決于受害者的數量，而不是他們的質量。

攻擊鏈這個術語在網絡安全使用方面受到了一些批評。有人說，它強化了傳統的基于邊界和惡意軟件預防的防御策略，并沒有充分防范內部威脅。然而，該模型自成立以來已經有了很大的發展，如今它有助于人們理解慣用操作方式，并對抗APT進行的針對性攻擊，以及勒索軟件、網絡釣魚或加密攻擊等機會性威脅。

但是，當然，網絡攻擊的發展速度與他們所針對的技術一樣快，信息安全專業人員現在正在呼吁，要求人們更好地了解攻擊鏈隨著云計算應用程序的出現而發生變化的方式，這是可以理解的。如果沒有得到妥善保護，云計算服務可以增加組織的攻擊面，以及攻擊鏈的多個階段。

因此，需要了解一下組織如何使用攻擊鏈方法來解決對其關鍵云計算應用程序的這種新型攻擊。

攻擊鏈利用云服務

信息安全專業人員解決其基于云計算的安全問題的最佳方式是密切關注攻擊鏈的每個階段，評估惡意活動使用云計算來躲避傳統安全技術的位置。

偵察階段是一個很好的起點。在攻擊鏈的這個階段，惡意行為者可以使用多種方法從受害者那里收集情報，而越來越多的云計算服務采用只會給攻擊者提供額外的入口點。攻擊者可以研究受害者使用哪些云計算服務(因此他們可以為受害者使用的應用程序構建定制的網絡釣魚頁面或惡意插件)，或掃描錯誤配置或可公開訪問的云計算資源，然后利用這些資源進入目標公司。他們還可以利用在明顯無害的云服務中共享的敏感信息。

武器化階段認為惡意行為者為其工作設置了必要的基礎設施：從網絡釣魚頁面和惡意軟件分發點到命令和控制域。如今，這些資源可以輕松地托管在云服務上，并且越來越常見的是，惡意廣告系列從云計算服務中分配其有效負載，甚至使用云計算服務作為其命令和控制的安全港。

重要的是，云計算應用程序經常沒有得到足夠的定期檢查，或者通過無法有效識別和分析環境的傳統技術完全列入白名單。人們在這里看到云計算在漏洞利用階段的作用。場景感知系統會注意到被放入AWS或Azure云平臺的數據，例如，組織外部的數據，但傳統的安全技術無法做到這一點。因此，網絡犯罪分子使用云計算服務來逃避一直處于監視之下的檢測。

一旦構建了惡意基礎設施，下一個邏輯步驟就是從云平臺中傳遞攻擊媒介。現在可以從云中提供網絡釣魚頁面，任何其他潛在的惡意有效負載也可以提供。人們還確定了濫用云計算服務作為重定向器的系列廣告，以用于針對目標攻擊的惡意軟件分發站點。

安裝惡意軟件后，需要連接到其命令和控制基礎設施。攻擊者可以使用此連接泄露信息，在僵尸網絡中控制受攻擊的端點以發起DDoS攻擊或垃圾郵件活動，或建立立足點以橫向移動，并深入挖掘受害者組織的數據。同樣，云計算在此階段扮演著重要角色，因為攻擊者可以使用AWS和Google Drive之類的可信云服務來隱藏通信渠道。其原因總是一樣的：逃避。

云計算的特征也在這些階段中發揮著重要作用。一旦他們直接或通過受到攻擊的端點訪問云計算服務，攻擊者就可以橫向移動并跨越云平臺。他們不僅可以更改云中托管的關鍵服務的配置，升級權限以獲取更多訪問權限，竊取數據并清除其跟蹤，還可以啟動新實例以實現惡意目的，例如加密攻擊。

當然，在人們考慮和應對攻擊鏈時，人們不會包圍或分離云計算攻擊向量和表面，這當然是非常重要的。攻擊可以使用傳統攻擊媒介(例如Web和電子郵件)以及云計算服務的組合。人們使用術語“混合威脅”來定義利用這種混合方法的攻擊。

如何克服基于云計算的挑戰

通過查看攻擊鏈的每個階段，可以看到信息安全專業人員謹慎行事是正確的。各種業務和行業的云采用率已達到96%，雖然本地資源在不久的將來不太可能消失，但云計算現在已成為大多數IT基礎設施和戰略的基礎。

人們可以看到，云計算應用程序對安全性提出了重大而獨特的挑戰，也許在云原生時代，所有人面臨的最大挑戰是云計算基礎設施和服務始終在不斷發展。

抵御云原生威脅的唯一方法是使用云原生安全技術。或許顯而易見的是，只有云原生技術才能檢測并緩解云原生威脅，而像Netskope這樣的威脅感知和實例感知的統一平臺可以更全面地了解用戶的位置，發現混合威脅和執行使用政策。

一旦該技術到位，就會有許多獨立的計劃可以幫助解決基于云計算的安全挑戰。

這些涉及需要對所有IaaS資源執行定期連續安全評估，以防止可被惡意攻擊者利用的錯誤配置，并對受制裁的云計算應用程序中的任何外部共享內容執行常規數據丟失防護(DLP)掃描，以防止無意中泄露的信息被惡意行為者利用。

組織必須為未經批準的服務和未經批準的受制裁云計算服務實例做好準備，并確保員工在安全可靠地使用云計算服務方面得到有效培訓。許多漏洞是由于人為錯誤造成的，因此警告用戶關于云計算應用程序的缺陷是很重要的，例如警告他們避免從不受信任的來源執行未簽名的宏，即使來源似乎是合法的云服務。更重要的是，組織必須警告用戶避免執行任何文件，除非他們非常確定它們是良性的，并建議不要打開不受信任的附件，無論其擴展名或文件名是什么。

要實施的示例策略包括需要掃描從非托管設備到批準所有上傳的云計算應用程序，以查找惡意軟件。一個很好的選擇是阻止未經批準的已批準/眾所周知的云計算應用程序實例，以防止攻擊者利用用戶對云計算的信任，或阻止數據傳輸到組織外部的S3存儲桶。雖然這似乎有點限制，但它顯著降低了通過云平臺進行惡意軟件滲透嘗試的風險。

很明顯，正如云計算已經徹底改變了過去十年中數據和應用程序的部署方式一樣，它也從根本上改變了IT安全需求。

實際上，雖然傳統安全流程可能仍然在保護現代工作負載方面發揮一定作用，但是，完全致力于云計算所帶來的安全性和合規性需求的組織必須徹底改變其針對云原生時代的安全策略。

關鍵字：云計算