根据Accurics随着托管基础设施云服务的快速增长,“云水坑攻击”呈现爆发式增长。
所谓水坑攻击,就是黑客利用平台的弱点,提前“蹲点埋伏”,恶意软件分发给使用平台服务的最终用户(如网站等公共 *** 资源),未经授权访问其生产环境、数据或完全破坏目标环境。
根据报告,已发现的一切“云水坑攻击”事件中,23%的托管服务产品配置不当,主要是指使用默认安全配置或提供过多权限的错误配置。
研究人员指出,在云环境中,由于托管云中的开发过程暴露在互联网上,而不是像内部环境中的开发过程那样隐藏在组织内部,水坑攻击会造成更大的破坏。
当犯罪分子成功利用云开发管道中的错误配置时,不仅会给公司造成灾难,还会给客户造成灾难。为了缓解这一风险,企业应假设整个开发过程易于非法访问,并遵循最小化权限的原则,将访问权限限限制为只向需要它的用户开放。
云的发展是一种不可逆转的趋势,越来越多的团队正在加快托管服务的使用,这肯定会提高生产力和发展速度。不幸的是,这些团队的安全意识和能力无法跟上相关风险——例如,使用默认的安全配置文件和过度授权。
报告指出,根据历史经验,新闻服务和FaaS也正进入 *** 安全问题集中爆发的危险阶段,这些服务的不安全配置将导致更多的违规行为。
研究表明,在所有环境平均时间缓解的平均时间(MTTR)为期25天,这给潜在攻击者留下了一个非常宽松的时间窗口。MTTR云安全尤为重要,因为它与偏差(drift)运行时有关(runtime)当配置发生变化时,云风险状况偏离已建立的安全基准,偏离安全基准MTTR约为8天。
即使随着时间的推移,在配置基础设施时建立安全基准的组织也会产生偏差。亚马逊是一个著名的案例AWS S3存储桶。2015年AWS S3存储桶添加到云环境中的配置是正确的,但五个月后,工作完成后为解决问题而进行的配置变更没有正确重置,直到近五年后才被发现和解决。
云基础设施面临的主要风险:
- 尝试部署基于角色的访问控制(RBAC)的Kubernetes用户往往无法用适当的粒度定义角色。这增加了账户重用和滥用的机会。事实上,35%的企事业单位在这方面表现不佳。
- 在Helm在图表中,48%的问题是由不安全的默认值引起的。最常见的错误是默认名称空间的不正确使用(运行系统组件),这可能会使攻击者访问系统组件或秘密。
- 报告首次在生产环境中通过基础结构发现代码(IaC)本报告检测到的定义身份和访问管理IAM偏差超过三分之一(35%)来自IaC。这表明IAM即代码(IAM as Code)它很受欢迎,但可能会导致角色配置错误的风险。
- 由于用户错误配置了托管服务产品,硬编码的机密信息几乎占违规行为的10%。
- 在接受调查的企业中,10%实际上是为从未开始付费购买高级安全功能。
- 虽然修复基础设施配置错误的平均时间约为25天,但基础设施中最关键的部分通常需要最多的时间来修复。例如,平均负载平衡服务需要149天才能修复。由于所有面向用户的数据都需要流通负载平衡服务,理想情况下,此类资产应优先尽快修复。
总结
云基础设施的保护需要一种新的 *** ,必须嵌入到生命周期开发的早期阶段,并始终保持安全状态。企业需要不断监控云基础设施运行期间配置的变化,并评估风险。
当配置变更带来风险时,云基础设施必须根据安全基准重新部署,以确保任何事故或恶意变更都会自动覆盖。
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】
戳这里,看该作者更多好文