據(jù)Accurics透露，托管基礎(chǔ)設(shè)施服務(wù)的采用正在增加，并且已經(jīng)出現(xiàn)了新的云水坑攻擊。

“水坑攻擊”，黑客攻擊方式之一，顧名思義，是在受害者必經(jīng)之路設(shè)置了一個“水坑(陷阱)”。最常見的做法是，黑客分析攻擊目標(biāo)的上網(wǎng)活動規(guī)律，尋找攻擊目標(biāo)經(jīng)常訪問的網(wǎng)站的弱點，先將此網(wǎng)站“攻破”并植入攻擊代碼，一旦攻擊目標(biāo)訪問該網(wǎng)站就會“中招”。

在發(fā)現(xiàn)的所有違規(guī)中，有23%對應(yīng)于配置不當(dāng)?shù)耐泄芊?wù)產(chǎn)品，這在很大程度上是默認(rèn)安全配置文件或提供過多權(quán)限的配置的結(jié)果。

最容易遭受水坑攻擊的云環(huán)境

正如最近一次備受矚目的黑客所證明的那樣，攻擊者日益努力利用弱點，這些弱點使他們能夠?qū)阂廛浖职l(fā)給最終用戶，獲得對生產(chǎn)環(huán)境或其數(shù)據(jù)的未授權(quán)訪問或完全破壞目標(biāo)環(huán)境。這種策略被稱為“水坑攻擊”，研究人員已經(jīng)看到它們出現(xiàn)在云環(huán)境中，在云環(huán)境中可能造成更大的破壞。

部分原因是，利用托管服務(wù)的云中開發(fā)流程并未像在內(nèi)部部署環(huán)境中那樣被隱藏在組織內(nèi)部–實際上，它們在很大程度上暴露于網(wǎng)絡(luò)世界。

當(dāng)犯罪分子能夠利用開發(fā)流程中的錯誤配置時，不僅會給公司造成災(zāi)難，還會給客戶造成災(zāi)難。為了解決此風(fēng)險，企業(yè)應(yīng)假定整個開發(fā)過程都易于訪問，并將訪問權(quán)限限制為僅需要它的用戶。

Accurics CTO和CISO Om Moolchandani表示：“云原生應(yīng)用和服務(wù)比以往任何時候都更加重要，而基礎(chǔ)設(shè)施中的任何風(fēng)險都具有至關(guān)重要的意義。”

“我們的研究表明，許多團(tuán)隊正在迅速采用托管服務(wù)，這肯定會提高生產(chǎn)力并保持開發(fā)速度。但是，不幸的是，這些團(tuán)隊無法跟上相關(guān)的風(fēng)險，我們看到依賴于使用默認(rèn)的安全配置文件和配置以及過多的權(quán)限。”

“就像幾年前經(jīng)歷的存儲桶一樣，消息服務(wù)和FaaS也正進(jìn)入采用的危險階段。如果歷史教訓(xùn)可以作為指導(dǎo)，我們將開始通過圍繞這些服務(wù)的不安全配置來發(fā)現(xiàn)更多的違規(guī)行為。”

在所有環(huán)境中，平均違規(guī)修復(fù)時間為25天

平均而言，研究表明，在所有環(huán)境中，糾正違規(guī)問題的平均時間(Mean time to repair，MTTR)為25天，這對于潛在的攻擊者而言是一種奢望。在此報告中，MTTR特別重要，當(dāng)運(yùn)行時發(fā)生配置更改時，會導(dǎo)致云風(fēng)險狀況偏離已建立的安全基準(zhǔn)。對于偏離既定的安全基礎(chǔ)設(shè)施態(tài)勢的情況，MTTR總計為8天。

甚至在設(shè)置基礎(chǔ)設(shè)施時建立安全基準(zhǔn)的組織也將隨著時間的流逝而發(fā)生漂移，就像在另一個廣為人知的漏洞中所發(fā)生的那樣。在這種情況下，AWS S3存儲桶在2015年添加到環(huán)境時已正確配置，但五個月后為解決問題而進(jìn)行的配置更改在工作完成后未能正確重置。直到將近五年后，這種漂移才被發(fā)現(xiàn)和解決。

云基礎(chǔ)設(shè)施風(fēng)險

嘗試實現(xiàn)基于角色的訪問控制(RBAC)的Kubernetes用戶通常無法以適當(dāng)?shù)牧６榷x角色。這增加了憑證重用和濫用的機(jī)會-實際上，評估的組織中有35%對此問題進(jìn)行了努力。

在Helm圖表中，有48%的問題是由不安全的默認(rèn)值引起的。最常見的錯誤是對默認(rèn)名稱空間的不正確使用(在其中運(yùn)行系統(tǒng)組件)，這可能使攻擊者可以訪問系統(tǒng)組件或機(jī)密。

首次在生產(chǎn)環(huán)境中看到通過基礎(chǔ)結(jié)構(gòu)定義為代碼(IaC)的身份和訪問管理，并且此報告中檢測到的IAM漂移中有超過三分之一(35%)源自IaC。這表明IAM已迅速用作代碼，這可能導(dǎo)致角色配置錯誤的風(fēng)險。

硬編碼的機(jī)密幾乎占所識別違規(guī)的10%; 23%與配置不當(dāng)?shù)耐泄芊?wù)產(chǎn)品相對應(yīng)。

在接受測試的組織中，有10%實際上為從未啟用的高級安全功能付費(fèi)。

雖然修復(fù)基礎(chǔ)結(jié)構(gòu)錯誤配置的平均時間約為25天，但基礎(chǔ)設(shè)施中最關(guān)鍵的部分通常需要花費(fèi)最多的時間來修復(fù)-例如，負(fù)載平衡服務(wù)平均需要149天來修復(fù)。由于所有面向用戶的數(shù)據(jù)都流過這些資源，因此理想情況下，應(yīng)該以最快的速度而不是最慢的速度來固定它們。

保護(hù)云基礎(chǔ)設(shè)施需要一種全新的方法，該方法必須在開發(fā)生命周期的早期階段嵌入安全性，并在整個過程中保持安全狀態(tài)。必須在運(yùn)行時連續(xù)監(jiān)視云基礎(chǔ)設(shè)施以進(jìn)行配置更改并評估風(fēng)險。

在配置更改帶來風(fēng)險的情況下，必須根據(jù)安全基準(zhǔn)重新部署云基礎(chǔ)設(shè)施; 這樣可以確保意外或惡意進(jìn)行的任何危險更改都會被自動覆蓋。

隨著新攻擊的出現(xiàn)和不斷困擾組織的風(fēng)險，云網(wǎng)絡(luò)彈性現(xiàn)在比以往任何時候都更加重要，并且配置安全至關(guān)重要。