當企業的CISO試圖在整個全球威脅環境中維持安全時,他們發現自己與各種云環境之間的關系是既愛又恨。對于許多人來說,這種關系更像是恨與厭惡的關系。
云環境看似是現有運營的無縫延伸,但實際上它們由分散在企業各個部門的不同云團隊控制,這些團隊的目標和需求可能與網絡安全團隊的指令相沖突。
因此,企業使用云的本質可能會帶來一系列難以檢測的潛在網絡安全問題。我們與多位云安全專家討論了企業安全運營中心(SOC)最有可能遭遇的低調云安全問題。
臨時資源的威脅比你想象的更大
云中沒有什么比臨時資源更能帶來持久的頭痛問題了,這主要是因為它們的生命周期很短,難以進行掃描,因而成為隱藏惡意軟件的理想場所。
這些臨時資源,如臨時存儲實例或動態分配的資源,只存在于執行特定功能后便終止的時間段中,在云環境中越來越常見。
軟件供應商Zibtek的創始人Cache Merrill表示:“臨時資源的短暫性可能會讓安全團隊低估其潛在的安全風險,認為這些資源由于壽命短而威脅較小。”
但是,一旦這些資源被攻破,它們可能會成為攻擊者的最佳幫手,充當“惡意活動的切入點或臨時避難所,而幾乎不留下任何可供取證分析的痕跡。”Merrill說道。“這可能尤其具有挑戰性,因為傳統的安全工具和實踐通常是為長期存在的基礎設施配置的,可能不會自動擴展到這些短命的組件。”
根據Merrill的說法,典型安全掃描錯過臨時攻擊的幾率“非常高。最糟糕的情況是什么?你將讀寫權限向全世界開放。”
在云環境中,IT資產清單借口不再有效
安全專家通常會避免處理本地IT資產的清單管理,然而,Wiz公司的首席云安全研究員Scott Piper認為,許多人沒有意識到,在云中進行清點要容易得多,因此沒有理由再回避這項工作。
“許多人在過去處理IT資產清單時都留下了‘傷痕’。傳統上,在需要物理追蹤電纜并親自查看設備的世界里,進行IT資產清單的工作非常困難。接下來,你還需要嘗試了解這些設備運行的軟件及其配置情況,這需要在設備上安裝代理程序。”Piper說。“這是一個復雜的問題,因為你需要一個適用于操作系統的代理程序,并為潛在的性能和可靠性風險進行測試和批準,還需要弄清楚如何進行設備身份驗證以安裝代理程序,進行網絡通信所需的額外配置更改,處理如果代理程序停止工作時的故障排除等等。”
相比之下,在云環境中,一切都被視為API,這使得進行資產清單管理要簡單得多。雖然遠談不上有趣,但安全團隊必須克服多年積累的回避心理。
Piper表示:“識別所有資源只需要一組API。通過API快照磁盤,可以掃描服務器上安裝的所有應用程序和庫,然后花盡可能多的時間評估這些數據,而不必過多擔心掃描的性能問題。”
Piper還指出,那些認為“盡管清單有其價值,但獲取清單的困難不值得”的網絡安全專家,實際上是在損害公司在云環境中的安全態勢,因為回避清單管理可能會帶來嚴重的網絡安全問題。
“因為他們沒有關注資產清單,他們無法發現配置錯誤。那些他們不知道的資產清單中可能存在關鍵的配置問題,而這些問題因此未能得到解決。”Piper說。
云賬單有助于跟蹤攻擊——但需注意
一些攻擊者并不關注通過勒索軟件竊取企業數據或通過DDoS攻擊關閉運營。相反,他們是想要懲罰企業的破壞者。此類攻擊之一包括“錢包拒絕服務”(DoW)攻擊,旨在迫使企業承擔大量額外的云費用。
然而,不僅僅是云支出的增加可以作為惡意活動的早期指標。
“消費量的急劇下降可以告訴你,有人正在破壞你的云環境,而且比你的監控系統更早發現問題。”技術咨詢公司ISG的合伙人Doug Saylors表示。攻擊者“可能正在刪除過去90天的備份。”
盡管跟蹤云支出可以提供網絡安全情報,但由于云計費的性質——尤其是在不斷添加新功能和服務的情況下——實時偵查變得具有挑戰性。
Saylors說:“超大規模云服務商正在向市場推出大量產品,有時網絡和IT團隊在產品開發的初期階段之外才了解到這些產品。”
至于DoW攻擊,IT培訓公司Pluralsight的首席云策略師Drew Firment表示,這些攻擊通常通過“反復觸發API端點來故意增加云計算費用”進行。
“隨著數據集的規模增長,利用脆弱端點并觸發大規模且昂貴的數據傳輸的DoW攻擊的潛在財務影響也在增加,”Firment說,“為了減少風險,組織應該實施API網關速率限制以防止端點被濫用,同時配置Web應用防火墻策略,限制來自單個IP地址或IP范圍的請求數量。”
Ernst & Young的網絡安全戰略總監Brian Levine補充說,內部對云使用缺乏透明度可能是CISO面臨的另一個問題。
Levine表示:“應該在多個團隊之間共享的知識,以及缺乏高級管理人員確保這些知識得到有效和及時共享,是企業常見的痛點。隨著云服務供應商推出更多的安全產品和套餐,這可能會讓人感到困惑。我們真正需要的是什么,什么又只是附加銷售?這是一項很難做的分析。”
Levine舉了一個例子,某些云平臺會向企業額外收費來記錄和保存日志——這對于進行事件后的分析和取證至關重要,特別是在攻擊者故意刪除或篡改他們可以訪問的日志時。
你的IDP策略可能存在不足
身份提供商(IDP)服務中斷相對罕見,持續時間也不長。而且,切換到備用服務可能會對終端用戶造成更大的干擾——因為這可能需要行為上的改變——相比之下,等待幾分鐘看主要系統是否恢復可能更為簡單。
但由于無法確定何時會恢復服務,企業仍然需要一個IDP備份策略,德國咨詢公司KuppingerCole Analysts的首席分析師Martin Kuppinger說。不幸的是,由于上述原因,許多公司放棄了這種策略。
Kuppinger建議:“當所有認證都依賴于IDaaS/SaaS服務時,你能承受多長時間的服務中斷?你需要有一些措施,以便在主要IDP不可用時能夠認證這些服務。”他建議擁有一個在本地運行或獨立于主要IDP使用的云環境之外的第二個IDP。
你未充分應對的SaaS安全問題
SaaS安全漏洞是狡猾且隱秘的,它們悄悄地增加了巨大的風險,而許多安全運營中心(SOC)員工卻沒有注意到。
Gartner分析師Charlie Winckless表示:“SaaS供應商的風險差異巨大。SaaS應用程序在對組織構成的風險程度上存在根本性的差異。最大的一些供應商非常出色。接下來的幾個層級的供應商也可以使用,但還有大量的SaaS應用程序很難評估。”
“這一問題因許多CISO過度關注三大超大規模云服務商而忽視了SaaS而變得更加復雜,”他補充道,“代碼庫通常托管在SaaS上,可能是開放的,或者遠比你預期的要不安全。”
懸空的DNS指針可能帶來大問題
Gartner的Winckless表示,DNS是另一個看似無害但在云環境中可能變得非常棘手的問題。
“在云環境的動態性質中,DNS暴露的風險很高。例如,你的團隊在Azure上設置了一個帶有azurewebsites.net DNS的網站,并為自己創建了一個CNAME并指向該網站,”他解釋道。“如果你刪除了該網站(這是常見的操作),但沒有刪除CNAME,那么攻擊者可以利用你的懸空DNS進行偽裝,這并不是云獨有的問題,但云的動態性使得意外留下懸空DNS指針的可能性大大增加。”
當某人在云中配置資源時,它會被賦予一個名稱,“但沒有人會記住那個名稱,”Winckless說,所以它被扔進了DNS中。“攻擊者可以注冊那個底層域名,并在上面放置他們想要的任何內容,看起來非常像一個合法的企業文件。”
API訪問是潛在的安全事故
API可能是云結構的精髓,但它們也為攻擊者提供了許多切入點。
“應用程序中的本地API密鑰是一個令人驚訝的常見但被忽視的云安全漏洞。舉個例子,一名員工被解雇了,你禁用了該用戶的單點登錄(SSO),”身份治理公司ConductorOne的CTO Paul Querna說。“在許多情況下,本地API密鑰在SSO被禁用后仍然可以繼續工作,這是因為本地API密鑰獨立于用戶的SSO狀態運行,當SSO關閉時不會自動撤銷,這意味著該用戶可能仍然能夠訪問某些系統或數據,這構成了嚴重的安全風險。”
ISG的Saylors同意這一觀點,強調了訪問API的自定義代碼的安全問題。他舉了一個在所有主要云平臺上都有業務存在的企業的例子。
“假設有人正在使用這些提供商,他們可能有一個通用的身份平臺,比如SailPoint。如果SailPoint將數據流傳輸到AWS、Microsoft及其他平臺,它可能允許在這些超大規模云環境中的所有客戶信息的訪問,它可能允許在云中有限的數據訪問。現在假設攻擊者正在針對那個AWS API。如果該客戶在這些云平臺上使用相同的憑據,”這可能會提供廣泛的訪問權限,他說。
IMDSv2:你不知道的可能會毀掉你的云
2024年3月,Amazon悄悄地更新了AWS平臺的一個關鍵部分:實例元數據服務(IMDS)。Pluralsight的Firment表示,一些安全運營中心(SOC)“可能甚至沒有意識到他們在使用[IMDS]”,因此他們的操作面臨與元數據暴露相關的嚴重“安全威脅”。
“AWS使用IMDS存儲其他應用程序和服務使用的安全憑據,并通過REST API提供這些信息。攻擊者可以利用服務器端請求偽造(SSRF)從IMDS竊取憑據,從而以實例角色的身份進行橫向移動或數據盜竊,”Firment解釋道,“AWS推出了IMDS的新版本,即版本2,以提高對未授權元數據的安全性,盡管許多組織仍將原始的IMDSv1作為默認設置。為了幫助CISO們堵住這一潛在的安全漏洞,AWS最近宣布,可以將所有新啟動的Amazon EC2實例默認設置為更安全的IMDSv2。”
Firment指出,IMDSv2“于2019年11月由AWS推出,但直到2024年3月才引入將默認設置為新版本的功能。因此,許多組織仍繼續使用原本存在漏洞的IMDSv1。值得注意的是,默認設置只適用于新啟動的實例,因此使用IMDSv1的現有實例仍需要重新配置。”
“對于大多數組織來說,這構成了相當大的威脅。可能沒有足夠的意識到需要將所有人切換到新版本,”他說,并補充道,風險在于攻擊者“可能會竊取憑據,并在你的組織內橫向移動。”
企業網D1net(hfnxjk.com):
國內主流的to B IT門戶,旗下運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。旗下運營19個IT行業公眾號(微信搜索D1net即可關注)。
版權聲明:本文為企業網D1Net編譯,轉載需在文章開頭注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號