本文来自 企业网D1net公众号
一项关于对云计算进行网络攻击的研究表明,在网络攻击者发现凭证之后,他们发动攻击的平均时间不到10分钟。这一发现与针对性攻击有关,网络攻击者选择攻击目标是有特定原因的,例如他们的云计算中存在可能被利用的错误配置。
从找到一个有效的凭证到发起攻击,网络攻击者总共只花了10分钟,其中有5分钟是停留时间。
当网络攻击者可以进入云计算环境并以这样的速度发动攻击时,防御者很难检测到入侵并阻止网络攻击的发生。
在没有特定目标的机会攻击中,网络攻击者在扫描漏洞(例如配置错误)之后,平均不到两分钟就能找到公开暴露的凭证。然后,他们平均需要21分钟才能发起网络攻击。
云原生安全服务商Sysdig公司的研究人员将网络攻击的速度归因于自动化技术的武器化,并警告说网络攻击者正在关注身份和访问管理(IAM),并使用不断发展的凭证访问、特权升级和横向移动技术。
虽然从发现凭证到开始攻击的时间以分钟为单位进行衡量,但该研究团队指出,网络攻击者可能需要数小时才能确定合适的目标,这取决于动机和可见性。
网络攻击者获取秘密在很大程度上取决于存储位置。例如,使用AWS S3存储桶,网络攻击者可能需要花费几天时间来搜索特定的公共名称。
在云计算环境中越来越强调“一切都是代码”,这导致了防御者面临一些挑战。该报告指出:“在为适当的访问和特权编写代码时出现的语法错误可能是防御者面临的障碍。”
据称,网络攻击者对无服务器功能代码和基础设施即代码(IaC)软件(例如Cloud Formation和Terraform)特别感兴趣,因为这些文件可能包含凭证或秘密,但可能被安全扫描忽略。
企业的供应链中有什么?
研究人员还考虑了容器的状态。该技术本质上是一个提供应用程序所需的所有内置功能的软件包,可以使它们成为恶意代码的理想交付机制。
在分析了13000张Dockerhub图片后,研究人员发现819张图片是恶意的。然而,由于采用了隐藏恶意代码的先进技术,其中10%的漏洞无法被检测到。只有在运行时才能检测到威胁。
对容器内的内容执行静态扫描只能到此为止,不足以确保安全。
研究人员举了一个例子,一个威胁行为者创建了11个账户,所有账户都托管了30个相同的容器图像。其图像本身看起来是无害的,但在运行时却启动了一个伪装的加密矿工。
因此,企业需要一个运行时(runtime)威胁检测工具,以及静态图像分析和漏洞扫描工具。
网络攻击目标有哪些?
近三分之二(65%)的云计算攻击专门针对电信和金融行业。
研究人员没有评论为什么这些行业如此频繁地成为网络攻击者的目标,但它们都是世界上最有价值的行业之一,都持有高度敏感的信息。
对于电信行业来说,除了收集个人信息之外,收集到的数据还可能被用于SIM卡交换——有效地接管受害者的移动设备,并能够通过双因素身份验证(2FA)对其他重要账户进行身份验证
医疗保健和国防部门排在电信和金融行业之后,考虑到可能被盗的数据类型,这一发现令研究人员感到惊讶。
其他目标包括资源劫持,网络攻击者将通过加密采矿实例并利用现有实例发起新的攻击来寻求快速货币化资产。
网络攻击缓解措施和趋势
研究人员表示,网络安全防御和减轻攻击需要多管齐下的方法。
例如,AWS公司等供应商将扫描GitHub以获取任何AWS凭据,并附加隔离策略以限制潜在损害。根据发布的研究报告,GitHub也在检查几种秘密格式的提交,并可以自动拒绝它们。
但是,必须认识到用户绕过为其安全设置的保护措施的决心。
随着云计算技术继续向一切都是代码和容器技术发展,复杂性将继续增加,网络攻击者将利用所犯的任何错误。
报告指出,尽管供应商在安全方面不断改进,但新型云计算服务的快速发展给网络攻击者提供了新的机会。尽管攻击时间表不太可能比观察到的速度减短,但攻击本身将随着自动化变得更加普遍而继续发展。
