當網絡攻擊者可以進入云計算環境并以這樣的速度發動攻擊時,防御者很難檢測到入侵并阻止網絡攻擊的發生。
在沒有特定目標的機會攻擊中,網絡攻擊者在掃描漏洞(例如配置錯誤)之后,平均不到兩分鐘就能找到公開暴露的憑證。然后,他們平均需要21分鐘才能發起網絡攻擊。
云原生安全服務商Sysdig公司的研究人員將網絡攻擊的速度歸因于自動化技術的武器化,并警告說網絡攻擊者正在關注身份和訪問管理(IAM),并使用不斷發展的憑證訪問、特權升級和橫向移動技術。
雖然從發現憑證到開始攻擊的時間以分鐘為單位進行衡量,但該研究團隊指出,網絡攻擊者可能需要數小時才能確定合適的目標,這取決于動機和可見性。
網絡攻擊者獲取秘密在很大程度上取決于存儲位置。例如,使用AWS S3存儲桶,網絡攻擊者可能需要花費幾天時間來搜索特定的公共名稱。
在云計算環境中越來越強調“一切都是代碼”,這導致了防御者面臨一些挑戰。該報告指出:“在為適當的訪問和特權編寫代碼時出現的語法錯誤可能是防御者面臨的障礙。”
據稱,網絡攻擊者對無服務器功能代碼和基礎設施即代碼(IaC)軟件(例如Cloud Formation和Terraform)特別感興趣,因為這些文件可能包含憑證或秘密,但可能被安全掃描忽略。
企業的供應鏈中有什么?
研究人員還考慮了容器的狀態。該技術本質上是一個提供應用程序所需的所有內置功能的軟件包,可以使它們成為惡意代碼的理想交付機制。
在分析了13000張Dockerhub圖片后,研究人員發現819張圖片是惡意的。然而,由于采用了隱藏惡意代碼的先進技術,其中10%的漏洞無法被檢測到。只有在運行時才能檢測到威脅。
對容器內的內容執行靜態掃描只能到此為止,不足以確保安全。
研究人員舉了一個例子,一個威脅行為者創建了11個賬戶,所有賬戶都托管了30個相同的容器圖像。其圖像本身看起來是無害的,但在運行時卻啟動了一個偽裝的加密礦工。
因此,企業需要一個運行時(runtime)威脅檢測工具,以及靜態圖像分析和漏洞掃描工具。
網絡攻擊目標有哪些?
近三分之二(65%)的云計算攻擊專門針對電信和金融行業。
研究人員沒有評論為什么這些行業如此頻繁地成為網絡攻擊者的目標,但它們都是世界上最有價值的行業之一,都持有高度敏感的信息。
對于電信行業來說,除了收集個人信息之外,收集到的數據還可能被用于SIM卡交換——有效地接管受害者的移動設備,并能夠通過雙因素身份驗證(2FA)對其他重要賬戶進行身份驗證
醫療保健和國防部門排在電信和金融行業之后,考慮到可能被盜的數據類型,這一發現令研究人員感到驚訝。
其他目標包括資源劫持,網絡攻擊者將通過加密采礦實例并利用現有實例發起新的攻擊來尋求快速貨幣化資產。
網絡攻擊緩解措施和趨勢
研究人員表示,網絡安全防御和減輕攻擊需要多管齊下的方法。
例如,AWS公司等供應商將掃描GitHub以獲取任何AWS憑據,并附加隔離策略以限制潛在損害。根據發布的研究報告,GitHub也在檢查幾種秘密格式的提交,并可以自動拒絕它們。
但是,必須認識到用戶繞過為其安全設置的保護措施的決心。
隨著云計算技術繼續向一切都是代碼和容器技術發展,復雜性將繼續增加,網絡攻擊者將利用所犯的任何錯誤。
報告指出,盡管供應商在安全方面不斷改進,但新型云計算服務的快速發展給網絡攻擊者提供了新的機會。盡管攻擊時間表不太可能比觀察到的速度減短,但攻擊本身將隨著自動化變得更加普遍而繼續發展。
關于企業網D1net(hfnxjk.com):
國內主流的to B IT門戶,同時在運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。同時運營19個IT行業公眾號(微信搜索D1net即可關注)
版權聲明:本文為企業網D1Net編譯,轉載需在文章開頭注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號