据Accurics透露,托管基础设施服务的采用正在增加,并且已经出现了新的云水坑攻击。
“水坑攻击”,黑客攻击方式之一,顾名思义,是在受害者必经之路设置了一个“水坑(陷阱)”。最常见的做法是,黑客分析攻击目标的上网活动规律,寻找攻击目标经常访问的网站的弱点,先将此网站“攻破”并植入攻击代码,一旦攻击目标访问该网站就会“中招”。
在发现的所有违规中,有23%对应于配置不当的托管服务产品,这在很大程度上是默认安全配置文件或提供过多权限的配置的结果。
最容易遭受水坑攻击的云环境
正如最近一次备受瞩目的黑客所证明的那样,攻击者日益努力利用弱点,这些弱点使他们能够将恶意软件分发给最终用户,获得对生产环境或其数据的未授权访问或完全破坏目标环境。这种策略被称为“水坑攻击”,研究人员已经看到它们出现在云环境中,在云环境中可能造成更大的破坏。
部分原因是,利用托管服务的云中开发流程并未像在内部部署环境中那样被隐藏在组织内部–实际上,它们在很大程度上暴露于网络世界。
当犯罪分子能够利用开发流程中的错误配置时,不仅会给公司造成灾难,还会给客户造成灾难。为了解决此风险,企业应假定整个开发过程都易于访问,并将访问权限限制为仅需要它的用户。
Accurics CTO和CISO Om Moolchandani表示:“云原生应用和服务比以往任何时候都更加重要,而基础设施中的任何风险都具有至关重要的意义。”
“我们的研究表明,许多团队正在迅速采用托管服务,这肯定会提高生产力并保持开发速度。但是,不幸的是,这些团队无法跟上相关的风险,我们看到依赖于使用默认的安全配置文件和配置以及过多的权限。”
“就像几年前经历的存储桶一样,消息服务和FaaS也正进入采用的危险阶段。如果历史教训可以作为指导,我们将开始通过围绕这些服务的不安全配置来发现更多的违规行为。”
在所有环境中,平均违规修复时间为25天
平均而言,研究表明,在所有环境中,纠正违规问题的平均时间(Mean time to repair,MTTR)为25天,这对于潜在的攻击者而言是一种奢望。在此报告中,MTTR特别重要,当运行时发生配置更改时,会导致云风险状况偏离已建立的安全基准。对于偏离既定的安全基础设施态势的情况,MTTR总计为8天。
甚至在设置基础设施时建立安全基准的组织也将随着时间的流逝而发生漂移,就像在另一个广为人知的漏洞中所发生的那样。在这种情况下,AWS S3存储桶在2015年添加到环境时已正确配置,但五个月后为解决问题而进行的配置更改在工作完成后未能正确重置。直到将近五年后,这种漂移才被发现和解决。
云基础设施风险
尝试实现基于角色的访问控制(RBAC)的Kubernetes用户通常无法以适当的粒度定义角色。这增加了凭证重用和滥用的机会-实际上,评估的组织中有35%对此问题进行了努力。
在Helm图表中,有48%的问题是由不安全的默认值引起的。最常见的错误是对默认名称空间的不正确使用(在其中运行系统组件),这可能使攻击者可以访问系统组件或机密。
首次在生产环境中看到通过基础结构定义为代码(IaC)的身份和访问管理,并且此报告中检测到的IAM漂移中有超过三分之一(35%)源自IaC。这表明IAM已迅速用作代码,这可能导致角色配置错误的风险。
硬编码的机密几乎占所识别违规的10%; 23%与配置不当的托管服务产品相对应。
在接受测试的组织中,有10%实际上为从未启用的高级安全功能付费。
虽然修复基础结构错误配置的平均时间约为25天,但基础设施中最关键的部分通常需要花费最多的时间来修复-例如,负载平衡服务平均需要149天来修复。由于所有面向用户的数据都流过这些资源,因此理想情况下,应该以最快的速度而不是最慢的速度来固定它们。
保护云基础设施需要一种全新的方法,该方法必须在开发生命周期的早期阶段嵌入安全性,并在整个过程中保持安全状态。必须在运行时连续监视云基础设施以进行配置更改并评估风险。
在配置更改带来风险的情况下,必须根据安全基准重新部署云基础设施; 这样可以确保意外或恶意进行的任何危险更改都会被自动覆盖。
随着新攻击的出现和不断困扰组织的风险,云网络弹性现在比以往任何时候都更加重要,并且配置安全至关重要。