網(wǎng)絡(luò)攻擊者在云中發(fā)現(xiàn)憑證之后不到10分鐘就能發(fā)動攻擊

責(zé)任編輯:cres

作者:Richard Speed

2023-08-18 10:15:30

來源:企業(yè)網(wǎng)D1Net

原創(chuàng)

一項關(guān)于對云計算進行網(wǎng)絡(luò)攻擊的研究表明,在網(wǎng)絡(luò)攻擊者發(fā)現(xiàn)憑證之后,他們發(fā)動攻擊的平均時間不到10分鐘。這一發(fā)現(xiàn)與針對性攻擊有關(guān),網(wǎng)絡(luò)攻擊者選擇攻擊目標(biāo)是有特定原因的,例如他們的云計算中存在可能被利用的錯誤配置。

從找到一個有效的憑證到發(fā)起攻擊,網(wǎng)絡(luò)攻擊者總共只花了10分鐘,其中有5分鐘是停留時間。
 
當(dāng)網(wǎng)絡(luò)攻擊者可以進入云計算環(huán)境并以這樣的速度發(fā)動攻擊時,防御者很難檢測到入侵并阻止網(wǎng)絡(luò)攻擊的發(fā)生。
 
在沒有特定目標(biāo)的機會攻擊中,網(wǎng)絡(luò)攻擊者在掃描漏洞(例如配置錯誤)之后,平均不到兩分鐘就能找到公開暴露的憑證。然后,他們平均需要21分鐘才能發(fā)起網(wǎng)絡(luò)攻擊。
 
云原生安全服務(wù)商Sysdig公司的研究人員將網(wǎng)絡(luò)攻擊的速度歸因于自動化技術(shù)的武器化,并警告說網(wǎng)絡(luò)攻擊者正在關(guān)注身份和訪問管理(IAM),并使用不斷發(fā)展的憑證訪問、特權(quán)升級和橫向移動技術(shù)。
 
雖然從發(fā)現(xiàn)憑證到開始攻擊的時間以分鐘為單位進行衡量,但該研究團隊指出,網(wǎng)絡(luò)攻擊者可能需要數(shù)小時才能確定合適的目標(biāo),這取決于動機和可見性。
 
網(wǎng)絡(luò)攻擊者獲取秘密在很大程度上取決于存儲位置。例如,使用AWS S3存儲桶,網(wǎng)絡(luò)攻擊者可能需要花費幾天時間來搜索特定的公共名稱。
 
在云計算環(huán)境中越來越強調(diào)“一切都是代碼”,這導(dǎo)致了防御者面臨一些挑戰(zhàn)。該報告指出:“在為適當(dāng)?shù)脑L問和特權(quán)編寫代碼時出現(xiàn)的語法錯誤可能是防御者面臨的障礙。”
 
據(jù)稱,網(wǎng)絡(luò)攻擊者對無服務(wù)器功能代碼和基礎(chǔ)設(shè)施即代碼(IaC)軟件(例如Cloud Formation和Terraform)特別感興趣,因為這些文件可能包含憑證或秘密,但可能被安全掃描忽略。
 
企業(yè)的供應(yīng)鏈中有什么?
 
研究人員還考慮了容器的狀態(tài)。該技術(shù)本質(zhì)上是一個提供應(yīng)用程序所需的所有內(nèi)置功能的軟件包,可以使它們成為惡意代碼的理想交付機制。
 
在分析了13000張Dockerhub圖片后,研究人員發(fā)現(xiàn)819張圖片是惡意的。然而,由于采用了隱藏惡意代碼的先進技術(shù),其中10%的漏洞無法被檢測到。只有在運行時才能檢測到威脅。
 
對容器內(nèi)的內(nèi)容執(zhí)行靜態(tài)掃描只能到此為止,不足以確保安全。
 
研究人員舉了一個例子,一個威脅行為者創(chuàng)建了11個賬戶,所有賬戶都托管了30個相同的容器圖像。其圖像本身看起來是無害的,但在運行時卻啟動了一個偽裝的加密礦工。
 
因此,企業(yè)需要一個運行時(runtime)威脅檢測工具,以及靜態(tài)圖像分析和漏洞掃描工具。
 
網(wǎng)絡(luò)攻擊目標(biāo)有哪些?
 
近三分之二(65%)的云計算攻擊專門針對電信和金融行業(yè)。
 
研究人員沒有評論為什么這些行業(yè)如此頻繁地成為網(wǎng)絡(luò)攻擊者的目標(biāo),但它們都是世界上最有價值的行業(yè)之一,都持有高度敏感的信息。
 
對于電信行業(yè)來說,除了收集個人信息之外,收集到的數(shù)據(jù)還可能被用于SIM卡交換——有效地接管受害者的移動設(shè)備,并能夠通過雙因素身份驗證(2FA)對其他重要賬戶進行身份驗證
 
醫(yī)療保健和國防部門排在電信和金融行業(yè)之后,考慮到可能被盜的數(shù)據(jù)類型,這一發(fā)現(xiàn)令研究人員感到驚訝。
 
其他目標(biāo)包括資源劫持,網(wǎng)絡(luò)攻擊者將通過加密采礦實例并利用現(xiàn)有實例發(fā)起新的攻擊來尋求快速貨幣化資產(chǎn)。
 
網(wǎng)絡(luò)攻擊緩解措施和趨勢
 
研究人員表示,網(wǎng)絡(luò)安全防御和減輕攻擊需要多管齊下的方法。
 
例如,AWS公司等供應(yīng)商將掃描GitHub以獲取任何AWS憑據(jù),并附加隔離策略以限制潛在損害。根據(jù)發(fā)布的研究報告,GitHub也在檢查幾種秘密格式的提交,并可以自動拒絕它們。
 
但是,必須認(rèn)識到用戶繞過為其安全設(shè)置的保護措施的決心。
 
隨著云計算技術(shù)繼續(xù)向一切都是代碼和容器技術(shù)發(fā)展,復(fù)雜性將繼續(xù)增加,網(wǎng)絡(luò)攻擊者將利用所犯的任何錯誤。
 
報告指出,盡管供應(yīng)商在安全方面不斷改進,但新型云計算服務(wù)的快速發(fā)展給網(wǎng)絡(luò)攻擊者提供了新的機會。盡管攻擊時間表不太可能比觀察到的速度減短,但攻擊本身將隨著自動化變得更加普遍而繼續(xù)發(fā)展。
 
關(guān)于企業(yè)網(wǎng)D1net(r5u5c.cn):
 
國內(nèi)主流的to B IT門戶,同時在運營國內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_-信眾智(www.cioall.com)。同時運營19個IT行業(yè)公眾號(微信搜索D1net即可關(guān)注)
 
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需在文章開頭注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號