互联网上随处可访问的云 API 为黑客开启了获取云资产访问特权的新窗口。
公共云基础设施为安全团队带来了新的不可见管理层,制造了需更深入理解的新安全挑战。很多公司企业未能正确理解云身份与访问管理层,更别提安全防护了。
这种误解常导致危险的错误配置,可催生类似近期 Capital One 数据泄露的客户风险。XM 安全研究主管 Igal Gofman 和 XM 高级安全研究员 Yaron Shani 解释称,当前安全操作与控制措施不足以缓解公共云错误理解导致的风险。
开始研究针对云的威胁时,Gofman 和 Shani 意识到,很多流行防御机制都专注特定攻击途径:例如暴力破解防护措施针对密码喷射工具或 AWS 侦察工具类云服务和应用。后泄露防御通常基于不同用户活动和机器学习算法。
两位研究人员在接受媒体采访时表示:该方法中缺失的一环是,这些机制通常在本质上是防御性的,不是预测性的。传统防御措施主要针对网络、应用和操作系统防护。
云提供商的应用程序编程接口 (API) 中存在新的攻击途径:这些 API 可通过互联网访问,给恶意黑客留下了利用并获取云端关键资产高访问特权的机会。负责管理云资源的人通常是 DevOps、开发和 IT 团队成员,这些人使用不同软件开发包和专用命令行工具访问 API。
研究人员称:一旦这些账户凭证被盗,获得高价值资源访问权并不困难。即便公司划分了不对互联网开放的私有子网,云 API 仍可以利用正确的 API 密钥从互联网轻松访问。云提供商工具,比如命令行接口工具 (CLI),将用户凭证保存在一个文件中,通常本地存储在个人工作站上。
今年的欧洲黑帽大会上,Gofman 和 Shani 计划在题为《由内而外——云从未如此接近》的演讲中展示一种攻击云基础设施的新方法。他们的方法学涉及使用图形显示不同实体之间的权限关系,揭示需处理和清除的危险阻塞点。两位研究人员称,该图的结果可为红队和蓝队所用,更深入了解云环境中的权限关系。他们还将在阐述了其间联系之后演示攻击者可如何滥用各种功能以获取权限。
研究人员指出,攻击者无需具备太强的技术即可利用公共云 API,他们自己都没利用到任何开源工具来自动化整个研究技术栈。
实际上,开发此类工具的技术门槛并不高,因为所有信息基本上都公开可得,且大多数云提供商还有良好文档记录——他们详细记录了每个安全功能,防御者和攻击者均可利用。
基本上,开发可利用他们研究成果的攻击性工具,比构建围绕该研究的防御性系统更简单。
若想防护自身,公司企业首先应遵循来自云提供商的最佳实践指南。研究人员解释称,大企业常难以跟踪和监视大型云基础设施中的权限,也难以评估总体组织性风险因素。所以,最好持续监视攻击者可触碰高价值云资源的路径。
《由内而外——云从未如此接近》:
