海外丨云环境面临的8种新型攻击

admin 2022年4月2日08:28:19云安全评论38 views3054字阅读10分10秒阅读模式
海外丨云环境面临的8种新型攻击

前言:针对云环境的新型攻击方式可能尚未引起安全团队的重视,但这些攻击所造成的影响可能是灾难性的。

跨云攻击

海外丨云环境面临的8种新型攻击

安全公司ShieldX的Nedbal说,网络攻击者通常使用公有云环境渗透到本地数据中心。


当客户将其中一个工作负载移动到公有云环境(如Amazon Web Services或Microsoft Azure)中,并使用Direct Connect(或任何其他VPN隧道)在公有云之间移动到私有云时,就会出现这些类型的威胁。攻击者如果侵入其中一个环境,就可以在安全工具的监视下横向移动。


Nedbal说:“第二阶段更难检测,可以从公有云转移到私人数据中心。”攻击者扫描环境后,可以使用传统的漏洞在公有云中获得优势。


他继续说,这种威胁可能会在公有云中被捕获,但防御能力比在本地环境中更弱。攻击者在公有云和私有云之间移动具有优势,并且可以利用他的位置在目标网络中持久存在。


“网络杀伤链变成了网络杀伤循环,”Nedbal解释道。“从侦察开始,开始传播恶意软件、横向移动,然后再次启动侦察。”


编排攻击

海外丨云环境面临的8种新型攻击

云编排用于提供服务器、获取和分配存储容量、处理网络、创建虚拟机和管理身份,以及云中的其他任务。编排攻击的目标是窃取可以重用的帐户或密码密钥,以便为云资源分配特权。Nedbal说,例如攻击者可以使用被盗的帐户创建新的虚拟机或访问云存储。


他指出,他们的成功程度取决于他们窃取账户的特权。然而,一旦业务流程帐户被攻破,攻击者可以使用其访问权限为自己创建备份帐户,然后使用这些帐户访问其他资源。


Nedbal继续说,编排攻击针对的是云API层,因此不能用标准的网络流量检测工具检测到,安全团队需要同时观察基于网络的行为和账户行为。


挖矿型网络攻击

海外丨云环境面临的8种新型攻击

安全公司RedLock的安全专家Chiodi说,噪声攻击是整个2018年云计算面临的主要问题,挖矿型网络攻击就是其中的一种。


他解释说:“这是一种非常、非常普遍的现象。如果你经常关注这方面的消息,你就会注意到它已经影响到加密货币的估值,但实际上,网络罪犯窃取计算能力比窃取实际数据更有利可图。”


Chiodi继续说,黑客专门针对企业公有云环境使用加密器,因为它们是弹性计算环境。许多组织还没有成熟的云安全程序,这使得它们的云环境很容易受到攻击。他指出了两个同时发生的因素:云安全平台的不成熟以及比特币和以太网等加密货币的日益普及。这些因素推动了云中加密劫持的兴起。


“各公司都受到了影响,”他指出。云服务提供商正努力为其平台的用户提供更多帮助。“他们最不希望看到的是,人们将公有云视为不安全的。”

Chiodi列出了一些公司可以用来保护自己的对策:定期轮换访问密钥、限制出站流量、以及为Web浏览器安装加密拦截器。


跨租户攻击

海外丨云环境面临的8种新型攻击

Nedbal表示,如果您是云提供商或为云租户提供计算资源,您的租户可以请求配置工作负载。租户可以交换数据和共享服务,从现有资源生成流量,这在拥有私有数据中心的组织中很常见。不幸的是,这种通信留下了安全漏洞。


由于许多租户使用相同的云,因此无论资源位于何处,安全边界都会逐渐消失。这会导致IT组织及其资产增长时出现问题,但相应的安全防护设备不会随之增长。如果一名员工遭到攻击,攻击者可以使用共享服务渗透到财务、人力和其他部门。


“如果你在使用云服务商提供的计算和网络资源等服务,比如亚马逊或AZURE的网络服务,那么安全性就更为重要了。”Nedbal说。云租户可以使用门户网站上提供的功能来配置私有云, 但是,这些网络中的流量通常不是通过传统的安全控制来发送的。


他补充说:“为了向租户提供服务,你必须扩大私有数据中心或私有云的规模。”随着私人数据中心的增长以及企业对公有云服务的依赖,这将继续是一个问题。“采用的云越多,相关的跨云攻击就越多。”


跨数据中心攻击

海外丨云环境面临的8种新型攻击

据安全公司ShieldX的Nedbal称,一旦进入数据中心,攻击者在获取敏感资源时通常不会受到限制。


数据中心使用交付点(PoD)进行管理,或者使用模块一起工作来交付服务。随着数据中心的扩展,连接这些模块并添加更多内容是很常见的。应通过多层系统重定向流量来保护PoD,但许多企业忽略了这一点,开辟了潜在的攻击媒介。如果PoD的一部分受到攻击,攻击者可以从一个数据中心扩散到另一个数据中心。


滥用即时元数据APIs

海外丨云环境面临的8种新型攻击

Chiodi说,即时元数据API是所有云提供商提供的一种特殊功能。虽然没有bug或漏洞,但是考虑到它并不在本地运行,通常得不到适当的保护或监控。攻击者可能以两种方式利用它。


第一种方法是脆弱的反向代理。反向代理在公有云环境中很常见,可以通过设置主机来调用即时元数据API并获得凭证的方式进行配置。如果在云环境中打开代理,可以将其配置为通过反向代理访问Internet,则可以存储这些凭证。他说:“如果没有为特定的实例正确设置这些访问凭证的权限,他们就可以做该实例被授权的所有事情。”


第二种方法是通过恶意Docker镜像。开发人员通过Docker Hub共享Docker镜像,但是这种便捷性导致了公开信任镜像的行为,可以利用恶意命令来获取访问密钥。攻击者可能从受损的容器访问公有云帐户。


“即时元数据API是一个很好的功能,但你必须知道如何处理它。”Chiodi建议监视云中的用户行为,并在颁发凭证时遵循最小特权原则。


无服务器攻击

海外丨云环境面临的8种新型攻击

Nedbal称这是“下一级”的云攻击。无服务器或功能即服务(FaaS)体系结构是相对较新的和流行的,因为用户不必部署、维护和扩展他们自己的服务器。虽然它使管理变得容易,但是无服务器架构的棘手部分是实现安全控制的挑战。


FaaS服务通常有一个可写的临时文件系统,因此攻击者可以将他们的攻击工具保存在临时文件系统中。FaaS功能可以访问具有敏感数据的企业数据库,因此,攻击者可能会泄露数据,并使用攻击工具窃取数据。使用错误的特权,FaaS功能可以帮助他们创建新的虚拟机、访问云存储或创建新帐户或租户。


Nedbal说:“传统的安全控制几乎无法做到这一点,因为无服务器或功能及服务(FaaS)体系架构甚至能从安全管理员手中夺走虚拟网络。”传统的安全控制很难对付无服务器的攻击,对于无服务器的攻击,你需要一种方法在流量到达函数即服务之前重定向流量。


跨工作负载攻击

海外丨云环境面临的8种新型攻击

这些类型的攻击发生在同一个租户中,没有什么可以阻止工作负载在同一租户或虚拟网络中相互通信,因此对虚拟桌面的攻击可能会扩散到虚拟Web服务器或数据库。


企业通常使用不受信任的虚拟机来浏览和下载在线内容。如果任何人受到感染,并且它与具有敏感数据的其他工作负载在同一租户上运行,那么这些可能会受到影响。


“为了降低违规风险,具有不同安全要求的工作负载应该在不同的安全区域,”Nedbal说,“应该使用一套丰富的安全控制措施来检查穿越这些区域的通信流量,就像对南北向流量采取的安全措施一样。” 但是,他补充道,在工作负载之间添加安全控制是很困难的。


原文链接:

https://www.darkreading.com/cloud/8-attack-vectors-puncturing-cloud-environments/d/d-id/1332764?image_number=0



免责声明:

本公众号的海外版块中所有文章及图片出于传递更多信息之目的,属于非营利性的翻译转载。如无意中侵犯了某个媒体或个人的知识产权,请联系我们,我们将立即删除。其他媒体、网络或个人从本网下载使用须自负版权等法律责任。


海外丨云环境面临的8种新型攻击


原文始发于微信公众号(e安在线):海外丨云环境面临的8种新型攻击

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月2日08:28:19
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  海外丨云环境面临的8种新型攻击 http://cn-sec.com/archives/697713.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: