根据Accurics的最新报告,伴随托管基础设施的云服务快速增长,“云水坑攻击”呈现爆发式增长。
所谓水坑攻击就是黑客利用平台弱点,预先“蹲点埋伏”,向使用平台服务(例如网站等公共网络资源)的最终用户分发恶意软件,未经授权访问其生产环境、数据或完全破坏目标环境。
根据报告,在已经发现的所有“云水坑攻击”事件中,有23%针对配置不当的托管服务产品,所谓的配置不当,主要指使用默认安全配置或提供过多权限的错误配置。
研究人员指出,在云环境中,水坑攻击可造成更大的破坏,因为托管的云中开发流程暴露于互联网中,而不是像内部环境中的开发流程那样被隐藏在组织内部。
当不法分子成功利用云端开发管道中的错误配置时,不仅会给公司造成灾难,还会给客户造成灾难。为缓解此风险,企业应假定整个开发过程都易于被非法访问,并遵循最小化权限原则,将访问权限限制为仅向需要它的用户开放。
开发上云已经是不可逆转的趋势,越来越多的团队正在加速采用托管服务,这肯定会提高生产力并提升开发速度。但不幸的是,这些团队的安全意识和能力无法跟上相关的风险——例如使用默认的安全配置文件和过度授权。
报告指出:根据历史经验,就像几年前存储桶业务所经历那样,消息服务和FaaS也正进入网络安全问题集中爆发的危险阶段,这些服务的不安全配置将导致更多的违规行为。
研究表明,在所有环境中,威胁缓解的平均时间(MTTR)为25天,这给潜在的攻击者留出了极为宽松的时间窗口。MTTR对于云安全来说特别重要,因为它与偏离(drift)有关,当运行时(runtime)的配置发生变更时,会导致云风险状况偏离已建立的安全基准,而偏离安全基准的MTTR约为8天。
甚至随着时间的流逝,那些在配置基础设施时已经建立安全基准的组织也会产生偏离,一个广为人知的案例是亚马逊AWS S3存储桶。2015年AWS S3存储桶被添加到云环境时的配置是正确的,但五个月后,为解决问题而进行的配置更改在工作完成后并未正确重置,直到近五年后,这种偏离才被发现并得到解决。
云基础架构面临的主要风险:
- 尝试部署基于角色的访问控制(RBAC)的Kubernetes用户往往未能以适当的粒度定义角色。这增加了账户重用和滥用的机会。实际上,有35%的企业和机构在这方面表现糟糕。
- 在Helm图表中,有48%的问题是由不安全的默认值引起的。最常见的错误是对默认名称空间的不正确使用(在其中运行系统组件),这可能使攻击者可以访问系统组件或机密。
- 报告首次在生产环境中发现通过基础结构即代码(IaC)定义的身份和访问管理,并且此报告中检测到的IAM偏离中有超过三分之一(35%)源自IaC。这表明IAM即代码(IAM as Code)正在快速流行,但可能导致角色配置错误的风险。
- 硬编码的机密信息几乎占违规行为的10%,其中23%是因为用户错误配置了托管服务产品。
- 在接受调查的企业中,有10%实际上为从未启用付费购买高级安全功能。
- 虽然修复基础设施配置错误的平均时间约为25天,但基础设施中最关键的部分通常需要花费最多的时间来修复。例如,负载平衡服务平均需要149天的时间才能修复。由于所有面向用户的数据都需要流经负载均衡服务,因此理想情况下,应该优先以最快的速度修复此类资产。
总结
保护云基础架构需要一种全新的方法,必须在开发生命周期的早期阶段嵌入安全性,并始终保持安全状态。企业需要持续监控云基础设施运行时段配置变更并评估风险。
在配置变更带来风险时,必须根据安全基准重新部署云基础架构,这样可以确保意外或恶意进行的任何更改都会被自动覆盖。
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】