技术和生活一样,最不缺的就是变化。各种系统创新发展的时候,攻击这些系统的方法也在进化,始终朝着最大化攻击回报的方向前进。黑客的创新脚步从未减缓,安全技术及方法必须跟上相同的步伐。
在需要黑进企业数据中心的数据库才能赚钱的时候,攻击者学会了绕过防火墙和网络入侵防御系统。随着网络边界的消失,随着数据逐渐迁移到SaaS,聪明的黑客已经转向了终端入侵和勒索软件。而现在,基于云的应用迅速发展,攻击者又瞄上了Web应用、微服务和API中的大量数据。
可更新基础设施改变了安全生态
老式简单而静态的应用程序正快速变成历史文物一样的东西。曾经,典型应用程序的所有技术栈基本上都得包含在数据中心里。如今,更多的是勾选基于云的基础设施即服务(IaaS)或平台即服务(PaaS)的相关功能来构成企业IT运营所需。利用敏捷方法,开发运维团队每天能推送一二十次应用代码更新,远远超出以往每年或每两年才升级一次的频率。传统应用的漫长生命周期曾令系统级攻击的有效期非常持久,但无服务器架构和容器技术如今已减少了系统驻留时间,缩小了网络攻击界面。
云这种现代基础设施的盛行对安全产生了重要影响。虽然很多传统Web风格的攻击依然可以攻破满是漏洞的代码,但应用程序在构建、部署和开发方式上的转变,给攻击者开辟出很多染指敏感或有价值数据的新机会。
事实上,去年IaaS配置错误导致的重大数据泄露就不止一起,而使用现代部署模式的企业如今必须像保护基础设施本身一样保护好自己的配置。这就要求企业做好配置管理,经常进行配置评估,并施行恰当的访问控制。对提供商和配置的实时监控也是必要的,必须确保日志记录能够提供足够的数据以检测攻击。
不过,利用可更新系统(或者说暂时性系统)的新式开发和部署模式也给安全团队带来了新的防护方法。
新防护方法的思路很简单:每隔几分钟或几小时就轮转一下数据中心凭证;每隔几小时就将数据中心里的服务器和应用都恢复到已知安全状态;在补丁推出后的几小时里就修复好所有操作系统和应用。
安全团队遵循上述防护方法就能有效减小暴露面,缩短暴露在攻击之下的时间窗口,让黑客更难以攻击构建部署在现代技术栈中的系统。这种方法可以让企业跑在攻击者前面,但却谈不上是牢不可破的防线。
攻击持续性和自动化
攻击者有专门的套路针对传统的固化基础设施。首先渗透进企业环境,然后在其中横向移动,搜索高价值目标。而转向容器和无服务器计算之后,基础设施可以快速全盘刷新,整体替换一遍也就是几分钟的事,攻击者在主机上驻留越来越难了。于是,他们将目光放在了攻击App上,也就将应用安全推上了现代防护要求的高地。
随着攻击持续性概念的式微,黑客倾向于用自动化技术在遭遇系统重启时让自己的攻击在几秒钟内从头再来。当长期驻留不再可能,攻击步骤自动化就成了关键,每次基础设施刷新,自动化都可以将攻击者瞬间带回最深入的渗透点。
不过,这也给安全团队提供了新的关键攻击指标(IoC)。通过实时攻击遥测,如果观测到系统、基础设施或应用反复出现相同的请求或修改,那就有极大的可能是遭到攻击了。应用安全专家得长期关注基于阈值的行为检测才能检查出此类自动化攻击序列。他们可以在当前Web防护产品中创建脚本或系统进行自动监测,或者查阅日志记录,或者采用Splunk之类安全信息及事件管理系统(SIEM)。检测出来的东西未必就是漏洞利用,也有可能是每次刷新时触发的同个用户或IP地址的错误操作。
对现代攻击者来说,攻防游戏已经不再是取得系统驻留了,无论手段如何,达到目的即可。相比高级威胁、持续性威胁和长期驻留,基于云和基于服务的基础设施更适合采用打了就跑的闪电战攻击模式——一个更新周期内即可执行完毕,或者能以自动化攻击挺过多次刷新。
安全团队必须重视应用技术和攻击方法的转变。黑客靠创新取胜,适应不及的系统就是他们最容易得手的目标。根据新兴威胁态势调整或采纳安全模型,才可以确保下一代应用环境的安全状态不弱于边界安全时代。