根据《谷歌云品牌调查》数据表明,超过40%的组织正在加大对云服务和产品的投入与使用。与此同时,有33.4%的企业计划将传统企业软件迁移到云端,而32.8%的企业则计划将内部工作负载转移到云环境。因此,企业正在管理复杂的多云环境,这些环境目前承载着关键业务应用程序和数据。然而,随着云技术的飞速发展,其面临的攻击面也在不断扩张。根据《2023年全球威胁报告》显示,随着越来越多企业迁移到云环境,针对云环境的攻击利用将会增加。从2021年到2023年,云攻击利用率如期上升,涉及此类行为体的案例较2021年增长了近两倍。云风险利用增加有多种原因:(1)与云本身性质有关,利用敏捷流程和持续交付会使云原生应用程序容易受到漏洞和错误配置等风险影响。同样,用户可以轻松便捷获取云服务,这也导致了 "流氓 "和影子资产大量出现,它们都是在安全团队的权限之外建立的。它们缺乏管理,部署时安全控制措施极少或根本没有,从而使这些云环境面临更大的被利用风险。(2)云安全控制措施保护能力不够。例如一些单点云安全方案,留下了一些盲点,让攻击者有机可乘。例如,Agentless使用side-scanning扫描技术,定期(通常每24小时一次)检查是否存在恶意软件。虽然在部署Agent不可行的情况下,它是资产可视性的有效工具,但这些解决方案缺乏实时扫描能力。(3)与此同时,威胁攻击者也在进行针对性的云研究和开发。他们对云基础设施有深入的了解,并不断完善其攻击战术、技术,以更好利用云服务和相关云漏洞。为此,组织要想更好抵御精通云技术的攻击者,需要更好了解他们用入侵动机、策略和技术。随着技术的发展,攻击者的技术手段也变得越来越复杂,他们会利用漏洞和当今分散的安全环境。以下是跟踪一些攻击者观察到的三大云攻击趋势:攻击者通过利用网络中的漏洞或配置错误,从一个已渗透的系统移动到其他系统的策略,这种策略使攻击者能够扩展其控制范围,访问更多资源,而无需重新进行外部渗透尝试。(1)实现机制:攻击者常利用未打补丁的漏洞(如CVE-2022-29464)进行横向移动,该漏洞允许远程代码执行,从而在IT基础设施中获得立足点。- 网络隔离:通过VLANs和微隔离技术,减少攻击者的潜在移动路径。
- 入侵检测系统:部署NIDS以监控网络流量,检测异常通信模式。
- 不受限制的出站访问:不受限制的互联网出站访问会让坏人利用缺乏限制和工作负载保护的漏洞,从云平台中外泄数据。
- 禁用日志记录:有效记录云安全事件对检测恶意行为至关重要。如果禁用日志记录,就没有事件记录,也就无法检测潜在的恶意行为。日志记录应作为最佳实践启用和管理。
- 使用云安全态势管理工具,以实时监控和警报配置错误。
- 高达47%云配置错误与身份和权限管理状况不良有关。
- 在 67% 的云安全事件,是因为权限提升超出了要求导致,从而入侵环境并横向移动。
- 强化身份和访问管理策略,包括最小权限原则和定期的权限审查。
- 建议:利用云原生应用保护平台(CNAPP)审核和删除具有账户访问权限的旧用户/旧凭证。
原因:云错误配置使企业面临数据丢失的风险。
- 建议:利用可视性和实时洞察力,在错误配置成为问题之前发现它们。内部和外部应用程序安全测试也可提供对潜在危险漏洞和错误配置的洞察力。
- 建议:在云系统中部署持续监控,实时识别并解决潜在威胁。监控配置文件符合组织和技术限制,确保最重要的指标和事件包含在监控范围内,并选择最有效的监控软件。
- 原因:必须对云资产进行更新和配置,以创建针对攻击者的最强大防御。
- 建议:定期更新云环境中的软件,确保及时修补漏洞。应特别注意修复在云中运行的公开的应用程序中已知的远程代码执行和服务器端请求伪造 (SSRF) 漏洞。
- 原因:云工作负载和容器事件的可见性对于缩短检测和响应攻击者的平均时间至关重要。
- 建议:监控可疑活动,包括新创建的云实例和云账户、新添加的凭证或多因素身份验证因子、更改的防火墙规则等等,任何这些行为都可能表明云中存在入侵者。
IT环境日益庞大和复杂,为攻击者提供了巨大的攻击面,所以云安全已成为企业不可忽视的议题。本文所揭示的三大云攻击趋势和五大最佳实践,强调了组织必须采取全面和主动的安全措施来保护其云资产免受日益复杂的威胁。
文章来源: https://mp.weixin.qq.com/s?__biz=MzUyOTkwNTQ5Mg==&mid=2247489134&idx=1&sn=be6ace4004c942a6b2ba2ab99c3d0cc5&chksm=fa58b455cd2f3d430afcb77d3b16f5af7a573dda989111f0d18879c7c58741725c99852dea7f&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh