海外丨云环境面临的8种新型攻击

跨云攻击

安全公司ShieldX的Nedbal说，网络攻击者通常使用公有云环境渗透到本地数据中心。

当客户将其中一个工作负载移动到公有云环境（如Amazon Web Services或Microsoft Azure）中，并使用Direct Connect（或任何其他VPN隧道）在公有云之间移动到私有云时，就会出现这些类型的威胁。攻击者如果侵入其中一个环境，就可以在安全工具的监视下横向移动。

Nedbal说:“第二阶段更难检测，可以从公有云转移到私人数据中心。”攻击者扫描环境后，可以使用传统的漏洞在公有云中获得优势。

他继续说，这种威胁可能会在公有云中被捕获，但防御能力比在本地环境中更弱。攻击者在公有云和私有云之间移动具有优势，并且可以利用他的位置在目标网络中持久存在。

“网络杀伤链变成了网络杀伤循环，”Nedbal解释道。“从侦察开始，开始传播恶意软件、横向移动，然后再次启动侦察。”

编排攻击

云编排用于提供服务器、获取和分配存储容量、处理网络、创建虚拟机和管理身份，以及云中的其他任务。编排攻击的目标是窃取可以重用的帐户或密码密钥，以便为云资源分配特权。Nedbal说，例如攻击者可以使用被盗的帐户创建新的虚拟机或访问云存储。

他指出，他们的成功程度取决于他们窃取账户的特权。然而，一旦业务流程帐户被攻破，攻击者可以使用其访问权限为自己创建备份帐户，然后使用这些帐户访问其他资源。

Nedbal继续说，编排攻击针对的是云API层，因此不能用标准的网络流量检测工具检测到，安全团队需要同时观察基于网络的行为和账户行为。

挖矿型网络攻击

安全公司RedLock的安全专家Chiodi说，噪声攻击是整个2018年云计算面临的主要问题，挖矿型网络攻击就是其中的一种。

他解释说:“这是一种非常、非常普遍的现象。如果你经常关注这方面的消息，你就会注意到它已经影响到加密货币的估值，但实际上，网络罪犯窃取计算能力比窃取实际数据更有利可图。”

Chiodi继续说，黑客专门针对企业公有云环境使用加密器，因为它们是弹性计算环境。许多组织还没有成熟的云安全程序，这使得它们的云环境很容易受到攻击。他指出了两个同时发生的因素：云安全平台的不成熟以及比特币和以太网等加密货币的日益普及。这些因素推动了云中加密劫持的兴起。

“各公司都受到了影响，”他指出。云服务提供商正努力为其平台的用户提供更多帮助。“他们最不希望看到的是，人们将公有云视为不安全的。”

Chiodi列出了一些公司可以用来保护自己的对策:定期轮换访问密钥、限制出站流量、以及为Web浏览器安装加密拦截器。

跨租户攻击

Nedbal表示，如果您是云提供商或为云租户提供计算资源，您的租户可以请求配置工作负载。租户可以交换数据和共享服务，从现有资源生成流量，这在拥有私有数据中心的组织中很常见。不幸的是，这种通信留下了安全漏洞。

由于许多租户使用相同的云，因此无论资源位于何处，安全边界都会逐渐消失。这会导致IT组织及其资产增长时出现问题，但相应的安全防护设备不会随之增长。如果一名员工遭到攻击，攻击者可以使用共享服务渗透到财务、人力和其他部门。

“如果你在使用云服务商提供的计算和网络资源等服务，比如亚马逊或AZURE的网络服务，那么安全性就更为重要了。”Nedbal说。云租户可以使用门户网站上提供的功能来配置私有云， 但是，这些网络中的流量通常不是通过传统的安全控制来发送的。

他补充说:“为了向租户提供服务，你必须扩大私有数据中心或私有云的规模。”随着私人数据中心的增长以及企业对公有云服务的依赖，这将继续是一个问题。“采用的云越多，相关的跨云攻击就越多。”

跨数据中心攻击

据安全公司ShieldX的Nedbal称，一旦进入数据中心，攻击者在获取敏感资源时通常不会受到限制。

数据中心使用交付点(PoD)进行管理，或者使用模块一起工作来交付服务。随着数据中心的扩展，连接这些模块并添加更多内容是很常见的。应通过多层系统重定向流量来保护PoD，但许多企业忽略了这一点，开辟了潜在的攻击媒介。如果PoD的一部分受到攻击，攻击者可以从一个数据中心扩散到另一个数据中心。

滥用即时元数据APIs

Chiodi说，即时元数据API是所有云提供商提供的一种特殊功能。虽然没有bug或漏洞，但是考虑到它并不在本地运行，通常得不到适当的保护或监控。攻击者可能以两种方式利用它。

第一种方法是脆弱的反向代理。反向代理在公有云环境中很常见，可以通过设置主机来调用即时元数据API并获得凭证的方式进行配置。如果在云环境中打开代理，可以将其配置为通过反向代理访问Internet，则可以存储这些凭证。他说:“如果没有为特定的实例正确设置这些访问凭证的权限，他们就可以做该实例被授权的所有事情。”

第二种方法是通过恶意Docker镜像。开发人员通过Docker Hub共享Docker镜像，但是这种便捷性导致了公开信任镜像的行为，可以利用恶意命令来获取访问密钥。攻击者可能从受损的容器访问公有云帐户。

“即时元数据API是一个很好的功能，但你必须知道如何处理它。”Chiodi建议监视云中的用户行为，并在颁发凭证时遵循最小特权原则。

无服务器攻击

Nedbal称这是“下一级”的云攻击。无服务器或功能即服务(FaaS)体系结构是相对较新的和流行的，因为用户不必部署、维护和扩展他们自己的服务器。虽然它使管理变得容易，但是无服务器架构的棘手部分是实现安全控制的挑战。

FaaS服务通常有一个可写的临时文件系统，因此攻击者可以将他们的攻击工具保存在临时文件系统中。FaaS功能可以访问具有敏感数据的企业数据库，因此，攻击者可能会泄露数据，并使用攻击工具窃取数据。使用错误的特权，FaaS功能可以帮助他们创建新的虚拟机、访问云存储或创建新帐户或租户。

Nedbal说:“传统的安全控制几乎无法做到这一点，因为无服务器或功能及服务（FaaS）体系架构甚至能从安全管理员手中夺走虚拟网络。”传统的安全控制很难对付无服务器的攻击，对于无服务器的攻击，你需要一种方法在流量到达函数即服务之前重定向流量。

跨工作负载攻击

这些类型的攻击发生在同一个租户中，没有什么可以阻止工作负载在同一租户或虚拟网络中相互通信，因此对虚拟桌面的攻击可能会扩散到虚拟Web服务器或数据库。

企业通常使用不受信任的虚拟机来浏览和下载在线内容。如果任何人受到感染，并且它与具有敏感数据的其他工作负载在同一租户上运行，那么这些可能会受到影响。

“为了降低违规风险，具有不同安全要求的工作负载应该在不同的安全区域，”Nedbal说，“应该使用一套丰富的安全控制措施来检查穿越这些区域的通信流量，就像对南北向流量采取的安全措施一样。” 但是，他补充道，在工作负载之间添加安全控制是很困难的。