當(dāng)企業(yè)的CISO試圖在整個(gè)全球威脅環(huán)境中維持安全時(shí)，他們發(fā)現(xiàn)自己與各種云環(huán)境之間的關(guān)系是既愛又恨。對(duì)于許多人來說，這種關(guān)系更像是恨與厭惡的關(guān)系。

　　云環(huán)境看似是現(xiàn)有運(yùn)營(yíng)的無縫延伸，但實(shí)際上它們由分散在企業(yè)各個(gè)部門的不同云團(tuán)隊(duì)控制，這些團(tuán)隊(duì)的目標(biāo)和需求可能與網(wǎng)絡(luò)安全團(tuán)隊(duì)的指令相沖突。

　　因此，企業(yè)使用云的本質(zhì)可能會(huì)帶來一系列難以檢測(cè)的潛在網(wǎng)絡(luò)安全問題。我們與多位云安全專家討論了企業(yè)安全運(yùn)營(yíng)中心(SOC)最有可能遭遇的低調(diào)云安全問題。

　　臨時(shí)資源的威脅比你想象的更大

　　云中沒有什么比臨時(shí)資源更能帶來持久的頭痛問題了，這主要是因?yàn)樗鼈兊纳芷诤芏蹋y以進(jìn)行掃描，因而成為隱藏惡意軟件的理想場(chǎng)所。

　　這些臨時(shí)資源，如臨時(shí)存儲(chǔ)實(shí)例或動(dòng)態(tài)分配的資源，只存在于執(zhí)行特定功能后便終止的時(shí)間段中，在云環(huán)境中越來越常見。

　　軟件供應(yīng)商Zibtek的創(chuàng)始人Cache Merrill表示：“臨時(shí)資源的短暫性可能會(huì)讓安全團(tuán)隊(duì)低估其潛在的安全風(fēng)險(xiǎn)，認(rèn)為這些資源由于壽命短而威脅較小。”

　　但是，一旦這些資源被攻破，它們可能會(huì)成為攻擊者的最佳幫手，充當(dāng)“惡意活動(dòng)的切入點(diǎn)或臨時(shí)避難所，而幾乎不留下任何可供取證分析的痕跡。”Merrill說道。“這可能尤其具有挑戰(zhàn)性，因?yàn)閭鹘y(tǒng)的安全工具和實(shí)踐通常是為長(zhǎng)期存在的基礎(chǔ)設(shè)施配置的，可能不會(huì)自動(dòng)擴(kuò)展到這些短命的組件。”

　　根據(jù)Merrill的說法，典型安全掃描錯(cuò)過臨時(shí)攻擊的幾率“非常高。最糟糕的情況是什么?你將讀寫權(quán)限向全世界開放。”

　　在云環(huán)境中，IT資產(chǎn)清單借口不再有效

　　安全專家通常會(huì)避免處理本地IT資產(chǎn)的清單管理，然而，Wiz公司的首席云安全研究員Scott Piper認(rèn)為，許多人沒有意識(shí)到，在云中進(jìn)行清點(diǎn)要容易得多，因此沒有理由再回避這項(xiàng)工作。

　　“許多人在過去處理IT資產(chǎn)清單時(shí)都留下了‘傷痕’。傳統(tǒng)上，在需要物理追蹤電纜并親自查看設(shè)備的世界里，進(jìn)行IT資產(chǎn)清單的工作非常困難。接下來，你還需要嘗試了解這些設(shè)備運(yùn)行的軟件及其配置情況，這需要在設(shè)備上安裝代理程序。”Piper說。“這是一個(gè)復(fù)雜的問題，因?yàn)槟阈枰粋€(gè)適用于操作系統(tǒng)的代理程序，并為潛在的性能和可靠性風(fēng)險(xiǎn)進(jìn)行測(cè)試和批準(zhǔn)，還需要弄清楚如何進(jìn)行設(shè)備身份驗(yàn)證以安裝代理程序，進(jìn)行網(wǎng)絡(luò)通信所需的額外配置更改，處理如果代理程序停止工作時(shí)的故障排除等等。”

　　相比之下，在云環(huán)境中，一切都被視為API，這使得進(jìn)行資產(chǎn)清單管理要簡(jiǎn)單得多。雖然遠(yuǎn)談不上有趣，但安全團(tuán)隊(duì)必須克服多年積累的回避心理。

　　Piper表示：“識(shí)別所有資源只需要一組API。通過API快照磁盤，可以掃描服務(wù)器上安裝的所有應(yīng)用程序和庫，然后花盡可能多的時(shí)間評(píng)估這些數(shù)據(jù)，而不必過多擔(dān)心掃描的性能問題。”

　　Piper還指出，那些認(rèn)為“盡管清單有其價(jià)值，但獲取清單的困難不值得”的網(wǎng)絡(luò)安全專家，實(shí)際上是在損害公司在云環(huán)境中的安全態(tài)勢(shì)，因?yàn)榛乇芮鍐喂芾砜赡軙?huì)帶來嚴(yán)重的網(wǎng)絡(luò)安全問題。

　　“因?yàn)樗麄儧]有關(guān)注資產(chǎn)清單，他們無法發(fā)現(xiàn)配置錯(cuò)誤。那些他們不知道的資產(chǎn)清單中可能存在關(guān)鍵的配置問題，而這些問題因此未能得到解決。”Piper說。

　　云賬單有助于跟蹤攻擊——但需注意

　　一些攻擊者并不關(guān)注通過勒索軟件竊取企業(yè)數(shù)據(jù)或通過DDoS攻擊關(guān)閉運(yùn)營(yíng)。相反，他們是想要懲罰企業(yè)的破壞者。此類攻擊之一包括“錢包拒絕服務(wù)”(DoW)攻擊，旨在迫使企業(yè)承擔(dān)大量額外的云費(fèi)用。

　　然而，不僅僅是云支出的增加可以作為惡意活動(dòng)的早期指標(biāo)。

　　“消費(fèi)量的急劇下降可以告訴你，有人正在破壞你的云環(huán)境，而且比你的監(jiān)控系統(tǒng)更早發(fā)現(xiàn)問題。”技術(shù)咨詢公司ISG的合伙人Doug Saylors表示。攻擊者“可能正在刪除過去90天的備份。”

　　盡管跟蹤云支出可以提供網(wǎng)絡(luò)安全情報(bào)，但由于云計(jì)費(fèi)的性質(zhì)——尤其是在不斷添加新功能和服務(wù)的情況下——實(shí)時(shí)偵查變得具有挑戰(zhàn)性。

　　Saylors說：“超大規(guī)模云服務(wù)商正在向市場(chǎng)推出大量產(chǎn)品，有時(shí)網(wǎng)絡(luò)和IT團(tuán)隊(duì)在產(chǎn)品開發(fā)的初期階段之外才了解到這些產(chǎn)品。”

　　至于DoW攻擊，IT培訓(xùn)公司Pluralsight的首席云策略師Drew Firment表示，這些攻擊通常通過“反復(fù)觸發(fā)API端點(diǎn)來故意增加云計(jì)算費(fèi)用”進(jìn)行。

　　“隨著數(shù)據(jù)集的規(guī)模增長(zhǎng)，利用脆弱端點(diǎn)并觸發(fā)大規(guī)模且昂貴的數(shù)據(jù)傳輸?shù)腄oW攻擊的潛在財(cái)務(wù)影響也在增加，”Firment說，“為了減少風(fēng)險(xiǎn)，組織應(yīng)該實(shí)施API網(wǎng)關(guān)速率限制以防止端點(diǎn)被濫用，同時(shí)配置Web應(yīng)用防火墻策略，限制來自單個(gè)IP地址或IP范圍的請(qǐng)求數(shù)量。”

　　Ernst & Young的網(wǎng)絡(luò)安全戰(zhàn)略總監(jiān)Brian Levine補(bǔ)充說，內(nèi)部對(duì)云使用缺乏透明度可能是CISO面臨的另一個(gè)問題。

　　Levine表示：“應(yīng)該在多個(gè)團(tuán)隊(duì)之間共享的知識(shí)，以及缺乏高級(jí)管理人員確保這些知識(shí)得到有效和及時(shí)共享，是企業(yè)常見的痛點(diǎn)。隨著云服務(wù)供應(yīng)商推出更多的安全產(chǎn)品和套餐，這可能會(huì)讓人感到困惑。我們真正需要的是什么，什么又只是附加銷售?這是一項(xiàng)很難做的分析。”

　　Levine舉了一個(gè)例子，某些云平臺(tái)會(huì)向企業(yè)額外收費(fèi)來記錄和保存日志——這對(duì)于進(jìn)行事件后的分析和取證至關(guān)重要，特別是在攻擊者故意刪除或篡改他們可以訪問的日志時(shí)。

　　你的IDP策略可能存在不足

　　身份提供商(IDP)服務(wù)中斷相對(duì)罕見，持續(xù)時(shí)間也不長(zhǎng)。而且，切換到備用服務(wù)可能會(huì)對(duì)終端用戶造成更大的干擾——因?yàn)檫@可能需要行為上的改變——相比之下，等待幾分鐘看主要系統(tǒng)是否恢復(fù)可能更為簡(jiǎn)單。

　　但由于無法確定何時(shí)會(huì)恢復(fù)服務(wù)，企業(yè)仍然需要一個(gè)IDP備份策略，德國咨詢公司KuppingerCole Analysts的首席分析師Martin Kuppinger說。不幸的是，由于上述原因，許多公司放棄了這種策略。

　　Kuppinger建議：“當(dāng)所有認(rèn)證都依賴于IDaaS/SaaS服務(wù)時(shí)，你能承受多長(zhǎng)時(shí)間的服務(wù)中斷?你需要有一些措施，以便在主要IDP不可用時(shí)能夠認(rèn)證這些服務(wù)。”他建議擁有一個(gè)在本地運(yùn)行或獨(dú)立于主要IDP使用的云環(huán)境之外的第二個(gè)IDP。

　　你未充分應(yīng)對(duì)的SaaS安全問題

　　SaaS安全漏洞是狡猾且隱秘的，它們悄悄地增加了巨大的風(fēng)險(xiǎn)，而許多安全運(yùn)營(yíng)中心(SOC)員工卻沒有注意到。

　　Gartner分析師Charlie Winckless表示：“SaaS供應(yīng)商的風(fēng)險(xiǎn)差異巨大。SaaS應(yīng)用程序在對(duì)組織構(gòu)成的風(fēng)險(xiǎn)程度上存在根本性的差異。最大的一些供應(yīng)商非常出色。接下來的幾個(gè)層級(jí)的供應(yīng)商也可以使用，但還有大量的SaaS應(yīng)用程序很難評(píng)估。”

　　“這一問題因許多CISO過度關(guān)注三大超大規(guī)模云服務(wù)商而忽視了SaaS而變得更加復(fù)雜，”他補(bǔ)充道，“代碼庫通常托管在SaaS上，可能是開放的，或者遠(yuǎn)比你預(yù)期的要不安全。”

　　懸空的DNS指針可能帶來大問題

　　Gartner的Winckless表示，DNS是另一個(gè)看似無害但在云環(huán)境中可能變得非常棘手的問題。

　　“在云環(huán)境的動(dòng)態(tài)性質(zhì)中，DNS暴露的風(fēng)險(xiǎn)很高。例如，你的團(tuán)隊(duì)在Azure上設(shè)置了一個(gè)帶有azurewebsites.net DNS的網(wǎng)站，并為自己創(chuàng)建了一個(gè)CNAME并指向該網(wǎng)站，”他解釋道。“如果你刪除了該網(wǎng)站(這是常見的操作)，但沒有刪除CNAME，那么攻擊者可以利用你的懸空DNS進(jìn)行偽裝，這并不是云獨(dú)有的問題，但云的動(dòng)態(tài)性使得意外留下懸空DNS指針的可能性大大增加。”

　　當(dāng)某人在云中配置資源時(shí)，它會(huì)被賦予一個(gè)名稱，“但沒有人會(huì)記住那個(gè)名稱，”Winckless說，所以它被扔進(jìn)了DNS中。“攻擊者可以注冊(cè)那個(gè)底層域名，并在上面放置他們想要的任何內(nèi)容，看起來非常像一個(gè)合法的企業(yè)文件。”

　　API訪問是潛在的安全事故

　　API可能是云結(jié)構(gòu)的精髓，但它們也為攻擊者提供了許多切入點(diǎn)。

　　“應(yīng)用程序中的本地API密鑰是一個(gè)令人驚訝的常見但被忽視的云安全漏洞。舉個(gè)例子，一名員工被解雇了，你禁用了該用戶的單點(diǎn)登錄(SSO)，”身份治理公司ConductorOne的CTO Paul Querna說。“在許多情況下，本地API密鑰在SSO被禁用后仍然可以繼續(xù)工作，這是因?yàn)楸镜谹PI密鑰獨(dú)立于用戶的SSO狀態(tài)運(yùn)行，當(dāng)SSO關(guān)閉時(shí)不會(huì)自動(dòng)撤銷，這意味著該用戶可能仍然能夠訪問某些系統(tǒng)或數(shù)據(jù)，這構(gòu)成了嚴(yán)重的安全風(fēng)險(xiǎn)。”

　　ISG的Saylors同意這一觀點(diǎn)，強(qiáng)調(diào)了訪問API的自定義代碼的安全問題。他舉了一個(gè)在所有主要云平臺(tái)上都有業(yè)務(wù)存在的企業(yè)的例子。

　　“假設(shè)有人正在使用這些提供商，他們可能有一個(gè)通用的身份平臺(tái)，比如SailPoint。如果SailPoint將數(shù)據(jù)流傳輸?shù)紸WS、Microsoft及其他平臺(tái)，它可能允許在這些超大規(guī)模云環(huán)境中的所有客戶信息的訪問，它可能允許在云中有限的數(shù)據(jù)訪問。現(xiàn)在假設(shè)攻擊者正在針對(duì)那個(gè)AWS API。如果該客戶在這些云平臺(tái)上使用相同的憑據(jù)，”這可能會(huì)提供廣泛的訪問權(quán)限，他說。

　　IMDSv2：你不知道的可能會(huì)毀掉你的云

　　2024年3月，Amazon悄悄地更新了AWS平臺(tái)的一個(gè)關(guān)鍵部分：實(shí)例元數(shù)據(jù)服務(wù)(IMDS)。Pluralsight的Firment表示，一些安全運(yùn)營(yíng)中心(SOC)“可能甚至沒有意識(shí)到他們?cè)谑褂肹IMDS]”，因此他們的操作面臨與元數(shù)據(jù)暴露相關(guān)的嚴(yán)重“安全威脅”。

　　“AWS使用IMDS存儲(chǔ)其他應(yīng)用程序和服務(wù)使用的安全憑據(jù)，并通過REST API提供這些信息。攻擊者可以利用服務(wù)器端請(qǐng)求偽造(SSRF)從IMDS竊取憑據(jù)，從而以實(shí)例角色的身份進(jìn)行橫向移動(dòng)或數(shù)據(jù)盜竊，”Firment解釋道，“AWS推出了IMDS的新版本，即版本2.以提高對(duì)未授權(quán)元數(shù)據(jù)的安全性，盡管許多組織仍將原始的IMDSv1作為默認(rèn)設(shè)置。為了幫助CISO們堵住這一潛在的安全漏洞，AWS最近宣布，可以將所有新啟動(dòng)的Amazon EC2實(shí)例默認(rèn)設(shè)置為更安全的IMDSv2.”

　　Firment指出，IMDSv2“于2019年11月由AWS推出，但直到2024年3月才引入將默認(rèn)設(shè)置為新版本的功能。因此，許多組織仍繼續(xù)使用原本存在漏洞的IMDSv1.值得注意的是，默認(rèn)設(shè)置只適用于新啟動(dòng)的實(shí)例，因此使用IMDSv1的現(xiàn)有實(shí)例仍需要重新配置。”

　　“對(duì)于大多數(shù)組織來說，這構(gòu)成了相當(dāng)大的威脅。可能沒有足夠的意識(shí)到需要將所有人切換到新版本，”他說，并補(bǔ)充道，風(fēng)險(xiǎn)在于攻擊者“可能會(huì)竊取憑據(jù)，并在你的組織內(nèi)橫向移動(dòng)。”