安全資訊

云時(shí)代的安全問(wèn)題是當務(wù)之急，因為云為惡意行為者提供了比以往更多的目標集，并提供了進(jìn)行攻擊的新工具。這些攻擊所基于的啟動(dòng)點(diǎn)范圍很廣——從一般憑據(例如被遺忘的或被盜的憑據)到使用AWS  Glue和Sage Maker等數據科學(xué)工具的新憑證，以及使用Kubernetes等強大的工具實(shí)施的復雜攻擊等等。

2021年，我們勢必將看到更多針對云服務(wù)的攻擊活動(dòng)，以下是云安全在接下來(lái)一年的威脅預測：

持續性攻擊

當創(chuàng )建新實(shí)例并運行可以匹配所需任何硬件或軟件環(huán)境的虛擬機時(shí)，云體系結構可提供完全的靈活性。但是，這種靈活性(如果不能得到適當保護的話(huà))又會(huì )誘發(fā)惡意行為者發(fā)動(dòng)攻擊，并在保持對初始攻擊的控制權的情況下發(fā)起持續性攻擊。

像Amazon Web Services這樣的云服務(wù)使開(kāi)發(fā)人員可以輕松地以漸進(jìn)式或間斷式的方法構建環(huán)境。例如，AWS允許開(kāi)發(fā)人員在每次重新啟動(dòng)Amazon   EC2實(shí)例(即為用戶(hù)數據)時(shí)自動(dòng)執行腳本，這就意味著(zhù)如果黑客設法使用可能已傳遞到云實(shí)例的有毒shell腳本來(lái)利用實(shí)例，那么他們將能夠持續不斷地利用其與服務(wù)器的連接。

通過(guò)這種方式，黑客將能夠在服務(wù)器內橫向移動(dòng)，竊取數據或獲取特權，使他們能夠進(jìn)一步利用組織的資產(chǎn)。當然，管理員可以關(guān)閉此選項，并要求開(kāi)發(fā)人員每次返回環(huán)境時(shí)都要進(jìn)行登錄——但是實(shí)現這一步需要開(kāi)發(fā)人員積極主動(dòng)配合才行。本質(zhì)上來(lái)說(shuō)，AWS的靈活性也正是其弱點(diǎn)所在;除了過(guò)多的配置選項外，服務(wù)錯誤配置的機會(huì )也更多，從而給黑客留下了更多的攻擊入口。

數據科學(xué)工具攻擊

事實(shí)證明，筆記本(Notebook)對于數據科學(xué)家來(lái)說(shuō)是必不可少的存在，能夠幫助他們快速集成和分析數據。像是AWS Sage   Maker這類(lèi)工具可以使該流程更加高效，幫助數據科學(xué)家構建、訓練和部署機器學(xué)習模型。但是，作為一種相對較新的工具，其受眾范圍并非全是安全領(lǐng)域的人士，自然地，安全意識也會(huì )相對薄弱，這也給了惡意行為者可乘之機。

與其他Amazon產(chǎn)品一樣，Sage   Maker之類(lèi)的工具同樣非常靈活，且具有很多選項。研究表明，惡意行為者可以利用這些選項中一些來(lái)提升他們的特權，甚至給自己授予更高的管理員特權。該攻擊路徑可能使惡意行為者能夠打開(kāi)云實(shí)例上的終端功能，并繞過(guò)Amazon  GuardDuty(可用于訪(fǎng)問(wèn)高級角色和權限)泄露憑證數據。同樣地，惡意行為者還可以利用CloudGoat等開(kāi)源項目，并使用AWS   Glue、CodeBuild和S3以及未使用的組和角色來(lái)進(jìn)行特權升級。面對這種情況，管理員和數字科學(xué)家也需要熟悉自身正在使用的系統的體系架構，以保護自身安全，并最大限度地縮小惡意行為者的活動(dòng)空間。

機器人可能會(huì )感染云遺留資產(chǎn)

機器人無(wú)所不在，云端也不例外;安全公司GlobalDots的一份調查報告顯示，超過(guò)80%的“惡意機器人”(即竊取數據、抓取內容、分發(fā)垃圾郵件、運行分布式拒絕服務(wù)攻擊等行為的機器人)都是基于云的數據中心運行的。盡管許多機器人會(huì )投毒其他站點(diǎn)——使用它們控制的服務(wù)器去攻擊其他服務(wù)器和用戶(hù)，但是它們也可以簡(jiǎn)單地控制云基礎架構來(lái)為其所有者執行任務(wù)。研究表明，在這些任務(wù)中，更受歡迎的是加密貨幣挖礦(cryptomining)，在某種程度上，它也算是周邊最大的網(wǎng)絡(luò )威脅之一。

據研究人員稱(chēng)，如果說(shuō)竊取資源和資金還不夠，那么加密貨幣挖礦惡意軟件的新變種現在還會(huì )竊取AWS憑證。該蠕蟲(chóng)利用加密貨幣挖礦惡意軟件進(jìn)行封裝，并尋找未加密的AWS  CLI文件，最后會(huì )從中提取憑證數據。解決方案是限制對這些數據的訪(fǎng)問(wèn)——但是這點(diǎn)同樣需要管理員的積極配合。

更多Kubernetes威脅到來(lái)

負責上述AWS憑證盜竊的同一網(wǎng)絡(luò )犯罪組織TeamTNT，利用常見(jiàn)的配置錯誤問(wèn)題，開(kāi)發(fā)了濫用可視化和監視工具Weave   Scope的方法。黑客使用通過(guò)端口4040授予的默認開(kāi)放訪(fǎng)問(wèn)權限，來(lái)安裝Weave   Scope，并將其用作監視系統、利用資源、安裝應用程序、啟動(dòng)或關(guān)閉容器中Shell的后門(mén)程序，實(shí)現自己想要實(shí)現的一切事情。

根據網(wǎng)絡(luò )安全公司Intezer和Microsoft發(fā)布的最新研究顯示，Weave Scope已經(jīng)成功被納入基于云的攻擊中。

目前，黑客大多使用這些方法來(lái)安裝加密貨幣挖礦惡意軟件，但是卻找不到辦法阻止它們控制云系統用于惡意目的。攻擊媒介不斷變化，而且還在持續增長(cháng)。隨著(zhù)谷歌Kubernetes項目的不斷發(fā)展，并持續添加新的特征和功能，越來(lái)越多的企業(yè)和開(kāi)發(fā)人員已經(jīng)將自己的工作轉移到了K8S上。這一切也成功吸引到了惡意行為者的目光，他們開(kāi)始針對Kubernetes項目的新功能進(jìn)行滲透測試并尋找可利用的機會(huì )——用戶(hù)不太可能填補的漏洞和錯誤配置，因為他們根本不知道如何做，甚至完全不了解Kubernetes。

搶先防御，先發(fā)制人

隨著(zhù)越來(lái)越多的企業(yè)組織安裝更多的云應用，針對云的攻擊自然會(huì )不斷增長(cháng)。預計到2023年，公司的公共云支出將比2019年的分配額增加一倍以上，但是，隨著(zhù)攻擊者不斷尋找他們能夠利用的“最薄弱環(huán)節”，相信未來(lái)我們會(huì )看到更多此類(lèi)攻擊以及其他類(lèi)型的攻擊。

可惜的是，大多數這些問(wèn)題以及仍在不斷涌現的新問(wèn)題，事實(shí)上都是可以予以糾正的，只是一般直到發(fā)生問(wèn)題之后，許多管理員和用戶(hù)才能真正地發(fā)現這些問(wèn)題。到那時(shí)，他們已然成了“受害者”，受害事跡也被公布在安全公司的博客上，之后，他們才會(huì )想辦法解決已經(jīng)出現的問(wèn)題。

為了避免這種情況，訣竅是通過(guò)發(fā)現“漏洞”或錯誤配置為黑客提供的攻擊入口，從而在問(wèn)題演變成現實(shí)攻擊之前就將其解決填補。隨著(zhù)2021年云應用量的持續增加，用戶(hù)對于配置問(wèn)題的安全意識——以及解決它們的方法，必須同步增長(cháng)才行。