隨著“上云”成為趨勢(shì)�����,越來越多的敏感數(shù)據(jù)被存儲(chǔ)在云中��,但這也導(dǎo)致數(shù)據(jù)更容易被對(duì)手利用��。作為保護(hù)云安全的第一道防線��,如果沒有恰當(dāng)?shù)纳矸莺驮L問管理(IAM)政策�����,企業(yè)即便購(gòu)買再多的安全工具�����,也無法實(shí)現(xiàn)全方位的安全�。
為了研究身份和訪問管理政策對(duì)企業(yè)云安全態(tài)勢(shì)的影響����,派拓網(wǎng)絡(luò)威脅情報(bào)團(tuán)隊(duì)Unit 42通過分析200家企業(yè)的18,000個(gè)云賬戶中的68萬多個(gè)身份信息,以了解它們的配置和使用方式���。研究結(jié)果令人震驚——幾乎所有企業(yè)都缺乏恰當(dāng)?shù)纳矸莺驮L問管理政策���。
云威脅攻擊:挑戰(zhàn)云安全的攔路虎
配置錯(cuò)誤的身份和訪問管理政策向云威脅攻擊者敞開了大門。這是Unit 42定義的一種新型威脅:通過定向和持續(xù)訪問云平臺(tái)資源��、服務(wù)或嵌入式元數(shù)據(jù)對(duì)企業(yè)構(gòu)成威脅的個(gè)人或團(tuán)體�����。之所以單獨(dú)定義云威脅攻擊者�����,是因?yàn)閁nit 42觀察到他們已經(jīng)開始采用一套專門針對(duì)云的TTP(戰(zhàn)術(shù)、技術(shù)和程序)�,例如利用同時(shí)執(zhí)行橫向移動(dòng)和特權(quán)升級(jí)操作的能力。
疫情期間�����,云工作負(fù)載總體出現(xiàn)了顯著擴(kuò)展��。企業(yè)增加了對(duì)云的使用���,在云中托管一半以上工作負(fù)載的企業(yè)數(shù)量急劇增加(如圖1)��。隨著越來越多的企業(yè)將工作負(fù)載遷移至云并在云中開發(fā)原生應(yīng)用�,在構(gòu)建云安全策略時(shí)���,身份安全需要引起格外重視�。
圖 1. 2020 年以來云工作負(fù)載的比例變化
?�。ㄋ{(lán)色:云工作負(fù)載量��;綠色:在云中托管超過一半工作負(fù)載的企業(yè))
出人意料的是�����,攻擊者在利用配置錯(cuò)誤或過于寬松的身份訪問控制時(shí),并不需要思考如何作出技術(shù)上的復(fù)雜讓步����;相反,他們可以輕松獲得資源的訪問權(quán)����,仿佛他們本來就有權(quán)獲得這些資源一樣�����。攻擊者對(duì)缺乏恰當(dāng)身份和訪問管理控制措施的企業(yè)虎視眈眈��,再加上云平臺(tái)的使用率增加�����,云威脅攻擊這種更復(fù)雜卻更容易發(fā)起的新攻擊出現(xiàn)了�。
政策寬松 + 權(quán)限過剩:身份和訪問管理成為攻擊目標(biāo)
身份和訪問管理成為攻擊目標(biāo)的原因包括:
密碼重復(fù)使用:44%的企業(yè)允許重復(fù)使用身份和訪問管理密碼。密碼難度低(少于14個(gè)字符):53%的云賬戶允許使用簡(jiǎn)單密碼��。云身份過于寬松:99%的云用戶����、角色�����、服務(wù)和資源被授予過多的權(quán)限�,而這些權(quán)限最終沒有被使用(60天或更長(zhǎng)時(shí)間內(nèi)未使用的權(quán)限被視為過剩權(quán)限)���。用戶未恰當(dāng)管理內(nèi)置的云服務(wù)提供商(CSP)政策:CSP管理政策被授予的權(quán)限是客戶管理政策的2.5倍����,因此多數(shù)云用戶傾向采取內(nèi)置政策�����。雖然他們可以減少這些權(quán)限���,但卻很少這樣做��。
圖2. 每種政策類型授予的平均權(quán)限數(shù)量
CSP管理的政策(AWS_MANAGED_POLICY和AZURE_BUILT_IN_ROLE)授予的權(quán)限是客戶管理政策的2.5倍
正是由于企業(yè)采取的政策過于寬松��、授予的權(quán)限過多�����,因此攻擊者在進(jìn)入企業(yè)云環(huán)境時(shí)往往暢通無阻����。多數(shù)企業(yè)對(duì)利用薄弱身份和訪問管理政策發(fā)起的攻擊毫無準(zhǔn)備。攻擊者也清楚這一點(diǎn)��;他們瞄準(zhǔn)云身份和訪問管理證書��,并最終在標(biāo)準(zhǔn)操作程序中收集這些證書����,例如他們正在利用云平臺(tái)特有的新TTP。企業(yè)需要先意識(shí)到這一點(diǎn)���,才能采取有效的防御策略。
云威脅攻擊者指數(shù):助力企業(yè)防御身份和訪問管理云威脅
為了幫助企業(yè)防范這種威脅�,Unit 42創(chuàng)建了業(yè)內(nèi)首個(gè)云威脅攻擊者指數(shù),并展現(xiàn)了瞄準(zhǔn)云基礎(chǔ)架構(gòu)的攻擊團(tuán)體所執(zhí)行的操作(如圖3)���,詳細(xì)記錄了每個(gè)攻擊者的TTP�����,使包括安全團(tuán)隊(duì)在內(nèi)的整個(gè)企業(yè)能夠評(píng)估自身的防御策略并建立合適的監(jiān)控�、檢測(cè)、警報(bào)和預(yù)防機(jī)制�����。
該指數(shù)也體現(xiàn)了以云基礎(chǔ)架構(gòu)為目標(biāo)的的主要攻擊者��,和目前已知的利用云進(jìn)行攻擊的國(guó)家��。其中部分主要攻擊者包括(按常見程度排序):
TeamTNT:最著名和最復(fù)雜的證書攻擊組織WatchDog:投機(jī)威脅團(tuán)體���,專門以高風(fēng)險(xiǎn)的云實(shí)例和應(yīng)用為目標(biāo)Kinsing:以謀取經(jīng)濟(jì)利益為目的的投機(jī)攻擊者��,在收集云證書方面擁有巨大潛力Rocke:專門發(fā)起針對(duì)云環(huán)境的勒索軟件攻擊和加密劫持行動(dòng)8220:Monero挖礦團(tuán)體����,據(jù)稱在2021年12月通過Log4j升級(jí)了挖礦行動(dòng)
利用和瞄準(zhǔn)云基礎(chǔ)架構(gòu)的主要持續(xù)性高級(jí)威脅有:APT 28(Fancy Bear)�����、APT 29(Cozy Bear)和APT 41(Gadolinium)�。
圖3. WatchDog云威脅攻擊者TTP
(紅色背景:針對(duì)云平臺(tái)的TTP�;綠色背景:針對(duì)容器平臺(tái)的TTP���;紅字TTP:能夠大范圍破壞云操作的行為)
對(duì)企業(yè)來講,恰當(dāng)?shù)纳矸莺驮L問管理配置可以阻止非法訪問��、提供對(duì)云活動(dòng)的可見性并減少安全事件帶來的影響��。企業(yè)可以通過采用云原生應(yīng)用保護(hù)平臺(tái)(CNAPP)集成套件�、強(qiáng)化身份和訪問管理權(quán)限和提高安全自動(dòng)化程度的方式防御云威脅。
-完-
關(guān)于Palo Alto Networks(派拓網(wǎng)絡(luò))
作為全球網(wǎng)絡(luò)安全領(lǐng)導(dǎo)企業(yè)�����,Palo Alto Networks(派拓網(wǎng)絡(luò))正借助其先進(jìn)技術(shù)重塑著以云為中心的未來社會(huì)����,改變著人類和組織運(yùn)作的方式。我們的使命是成為首選網(wǎng)絡(luò)安全伙伴��,保護(hù)人們的數(shù)字生活方式�。借助我們?cè)谌斯ぶ悄堋⒎治?�、自?dòng)化與編排方面的持續(xù)性創(chuàng)新和突破���,助力廣大客戶應(yīng)對(duì)全球最為嚴(yán)重的安全挑戰(zhàn)。通過交付集成化平臺(tái)和推動(dòng)合作伙伴生態(tài)系統(tǒng)的不斷成長(zhǎng),我們始終站在安全前沿��,在云���、網(wǎng)絡(luò)以及移動(dòng)設(shè)備方面為數(shù)以萬計(jì)的組織保駕護(hù)航���。我們的愿景是構(gòu)建一個(gè)日益安全的世界。
