當(dāng)企業(yè)的CISO試圖在整個(gè)全球威脅環(huán)境中維持安全時(shí)，他們發(fā)現(xiàn)自己與各種云環(huán)境之間的關(guān)系是既愛(ài)又恨。對(duì)于許多人來(lái)說(shuō)，這種關(guān)系更像是恨與厭惡的關(guān)系。 

云環(huán)境看似是現(xiàn)有運(yùn)營(yíng)的無(wú)縫延伸，但實(shí)際上它們由分散在企業(yè)各個(gè)部門的不同云團(tuán)隊(duì)控制，這些團(tuán)隊(duì)的目標(biāo)和需求可能與網(wǎng)絡(luò)安全團(tuán)隊(duì)的指令相沖突。 

因此，企業(yè)使用云的本質(zhì)可能會(huì)帶來(lái)一系列難以檢測(cè)的潛在網(wǎng)絡(luò)安全問(wèn)題。我們與多位云安全專家討論了企業(yè)安全運(yùn)營(yíng)中心（SOC）最有可能遭遇的低調(diào)云安全問(wèn)題。 

臨時(shí)資源的威脅比你想象的更大 

云中沒(méi)有什么比臨時(shí)資源更能帶來(lái)持久的頭痛問(wèn)題了，這主要是因?yàn)樗鼈兊纳芷诤芏蹋y以進(jìn)行掃描，因而成為隱藏惡意軟件的理想場(chǎng)所。 

這些臨時(shí)資源，如臨時(shí)存儲(chǔ)實(shí)例或動(dòng)態(tài)分配的資源，只存在于執(zhí)行特定功能后便終止的時(shí)間段中，在云環(huán)境中越來(lái)越常見(jiàn)。 

軟件供應(yīng)商Zibtek的創(chuàng)始人Cache Merrill表示：“臨時(shí)資源的短暫性可能會(huì)讓安全團(tuán)隊(duì)低估其潛在的安全風(fēng)險(xiǎn)，認(rèn)為這些資源由于壽命短而威脅較小?！?nbsp;

但是，一旦這些資源被攻破，它們可能會(huì)成為攻擊者的最佳幫手，充當(dāng)“惡意活動(dòng)的切入點(diǎn)或臨時(shí)避難所，而幾乎不留下任何可供取證分析的痕跡。”Merrill說(shuō)道?！斑@可能尤其具有挑戰(zhàn)性，因?yàn)閭鹘y(tǒng)的安全工具和實(shí)踐通常是為長(zhǎng)期存在的基礎(chǔ)設(shè)施配置的，可能不會(huì)自動(dòng)擴(kuò)展到這些短命的組件。” 

根據(jù)Merrill的說(shuō)法，典型安全掃描錯(cuò)過(guò)臨時(shí)攻擊的幾率“非常高。最糟糕的情況是什么？你將讀寫權(quán)限向全世界開(kāi)放?！?nbsp;

在云環(huán)境中，IT資產(chǎn)清單借口不再有效 

安全專家通常會(huì)避免處理本地IT資產(chǎn)的清單管理，然而，Wiz公司的首席云安全研究員Scott Piper認(rèn)為，許多人沒(méi)有意識(shí)到，在云中進(jìn)行清點(diǎn)要容易得多，因此沒(méi)有理由再回避這項(xiàng)工作。 

“許多人在過(guò)去處理IT資產(chǎn)清單時(shí)都留下了‘傷痕’。傳統(tǒng)上，在需要物理追蹤電纜并親自查看設(shè)備的世界里，進(jìn)行IT資產(chǎn)清單的工作非常困難。接下來(lái)，你還需要嘗試了解這些設(shè)備運(yùn)行的軟件及其配置情況，這需要在設(shè)備上安裝代理程序?！盤iper說(shuō)。“這是一個(gè)復(fù)雜的問(wèn)題，因?yàn)槟阈枰粋€(gè)適用于操作系統(tǒng)的代理程序，并為潛在的性能和可靠性風(fēng)險(xiǎn)進(jìn)行測(cè)試和批準(zhǔn)，還需要弄清楚如何進(jìn)行設(shè)備身份驗(yàn)證以安裝代理程序，進(jìn)行網(wǎng)絡(luò)通信所需的額外配置更改，處理如果代理程序停止工作時(shí)的故障排除等等?！?nbsp;

相比之下，在云環(huán)境中，一切都被視為API，這使得進(jìn)行資產(chǎn)清單管理要簡(jiǎn)單得多。雖然遠(yuǎn)談不上有趣，但安全團(tuán)隊(duì)必須克服多年積累的回避心理。 

Piper表示：“識(shí)別所有資源只需要一組API。通過(guò)API快照磁盤，可以掃描服務(wù)器上安裝的所有應(yīng)用程序和庫(kù)，然后花盡可能多的時(shí)間評(píng)估這些數(shù)據(jù)，而不必過(guò)多擔(dān)心掃描的性能問(wèn)題?！?nbsp;

Piper還指出，那些認(rèn)為“盡管清單有其價(jià)值，但獲取清單的困難不值得”的網(wǎng)絡(luò)安全專家，實(shí)際上是在損害公司在云環(huán)境中的安全態(tài)勢(shì)，因?yàn)榛乇芮鍐喂芾砜赡軙?huì)帶來(lái)嚴(yán)重的網(wǎng)絡(luò)安全問(wèn)題。 

“因?yàn)樗麄儧](méi)有關(guān)注資產(chǎn)清單，他們無(wú)法發(fā)現(xiàn)配置錯(cuò)誤。那些他們不知道的資產(chǎn)清單中可能存在關(guān)鍵的配置問(wèn)題，而這些問(wèn)題因此未能得到解決?！盤iper說(shuō)。 

云賬單有助于跟蹤攻擊——但需注意 

一些攻擊者并不關(guān)注通過(guò)勒索軟件竊取企業(yè)數(shù)據(jù)或通過(guò)DDoS攻擊關(guān)閉運(yùn)營(yíng)。相反，他們是想要懲罰企業(yè)的破壞者。此類攻擊之一包括“錢包拒絕服務(wù)”（DoW）攻擊，旨在迫使企業(yè)承擔(dān)大量額外的云費(fèi)用。 

然而，不僅僅是云支出的增加可以作為惡意活動(dòng)的早期指標(biāo)。 

“消費(fèi)量的急劇下降可以告訴你，有人正在破壞你的云環(huán)境，而且比你的監(jiān)控系統(tǒng)更早發(fā)現(xiàn)問(wèn)題?！奔夹g(shù)咨詢公司ISG的合伙人Doug Saylors表示。攻擊者“可能正在刪除過(guò)去90天的備份?！?nbsp;

盡管跟蹤云支出可以提供網(wǎng)絡(luò)安全情報(bào)，但由于云計(jì)費(fèi)的性質(zhì)——尤其是在不斷添加新功能和服務(wù)的情況下——實(shí)時(shí)偵查變得具有挑戰(zhàn)性。 

Saylors說(shuō)：“超大規(guī)模云服務(wù)商正在向市場(chǎng)推出大量產(chǎn)品，有時(shí)網(wǎng)絡(luò)和IT團(tuán)隊(duì)在產(chǎn)品開(kāi)發(fā)的初期階段之外才了解到這些產(chǎn)品?！?nbsp;

至于DoW攻擊，IT培訓(xùn)公司Pluralsight的首席云策略師Drew Firment表示，這些攻擊通常通過(guò)“反復(fù)觸發(fā)API端點(diǎn)來(lái)故意增加云計(jì)算費(fèi)用”進(jìn)行。 

“隨著數(shù)據(jù)集的規(guī)模增長(zhǎng)，利用脆弱端點(diǎn)并觸發(fā)大規(guī)模且昂貴的數(shù)據(jù)傳輸?shù)腄oW攻擊的潛在財(cái)務(wù)影響也在增加，”Firment說(shuō)，“為了減少風(fēng)險(xiǎn)，組織應(yīng)該實(shí)施API網(wǎng)關(guān)速率限制以防止端點(diǎn)被濫用，同時(shí)配置Web應(yīng)用防火墻策略，限制來(lái)自單個(gè)IP地址或IP范圍的請(qǐng)求數(shù)量。” 

Ernst & Young的網(wǎng)絡(luò)安全戰(zhàn)略總監(jiān)Brian Levine補(bǔ)充說(shuō)，內(nèi)部對(duì)云使用缺乏透明度可能是CISO面臨的另一個(gè)問(wèn)題。 

Levine表示：“應(yīng)該在多個(gè)團(tuán)隊(duì)之間共享的知識(shí)，以及缺乏高級(jí)管理人員確保這些知識(shí)得到有效和及時(shí)共享，是企業(yè)常見(jiàn)的痛點(diǎn)。隨著云服務(wù)供應(yīng)商推出更多的安全產(chǎn)品和套餐，這可能會(huì)讓人感到困惑。我們真正需要的是什么，什么又只是附加銷售？這是一項(xiàng)很難做的分析。” 

Levine舉了一個(gè)例子，某些云平臺(tái)會(huì)向企業(yè)額外收費(fèi)來(lái)記錄和保存日志——這對(duì)于進(jìn)行事件后的分析和取證至關(guān)重要，特別是在攻擊者故意刪除或篡改他們可以訪問(wèn)的日志時(shí)。 

你的IDP策略可能存在不足 

身份提供商（IDP）服務(wù)中斷相對(duì)罕見(jiàn)，持續(xù)時(shí)間也不長(zhǎng)。而且，切換到備用服務(wù)可能會(huì)對(duì)終端用戶造成更大的干擾——因?yàn)檫@可能需要行為上的改變——相比之下，等待幾分鐘看主要系統(tǒng)是否恢復(fù)可能更為簡(jiǎn)單。 

但由于無(wú)法確定何時(shí)會(huì)恢復(fù)服務(wù)，企業(yè)仍然需要一個(gè)IDP備份策略，德國(guó)咨詢公司KuppingerCole Analysts的首席分析師Martin Kuppinger說(shuō)。不幸的是，由于上述原因，許多公司放棄了這種策略。 

Kuppinger建議：“當(dāng)所有認(rèn)證都依賴于IDaaS/SaaS服務(wù)時(shí)，你能承受多長(zhǎng)時(shí)間的服務(wù)中斷？你需要有一些措施，以便在主要IDP不可用時(shí)能夠認(rèn)證這些服務(wù)?！彼ㄗh擁有一個(gè)在本地運(yùn)行或獨(dú)立于主要IDP使用的云環(huán)境之外的第二個(gè)IDP。 

你未充分應(yīng)對(duì)的SaaS安全問(wèn)題 

SaaS安全漏洞是狡猾且隱秘的，它們悄悄地增加了巨大的風(fēng)險(xiǎn)，而許多安全運(yùn)營(yíng)中心（SOC）員工卻沒(méi)有注意到。 

Gartner分析師Charlie Winckless表示：“SaaS供應(yīng)商的風(fēng)險(xiǎn)差異巨大。SaaS應(yīng)用程序在對(duì)組織構(gòu)成的風(fēng)險(xiǎn)程度上存在根本性的差異。最大的一些供應(yīng)商非常出色。接下來(lái)的幾個(gè)層級(jí)的供應(yīng)商也可以使用，但還有大量的SaaS應(yīng)用程序很難評(píng)估?！?nbsp;

“這一問(wèn)題因許多CISO過(guò)度關(guān)注三大超大規(guī)模云服務(wù)商而忽視了SaaS而變得更加復(fù)雜，”他補(bǔ)充道，“代碼庫(kù)通常托管在SaaS上，可能是開(kāi)放的，或者遠(yuǎn)比你預(yù)期的要不安全?！?nbsp;

懸空的DNS指針可能帶來(lái)大問(wèn)題 

Gartner的Winckless表示，DNS是另一個(gè)看似無(wú)害但在云環(huán)境中可能變得非常棘手的問(wèn)題。 

“在云環(huán)境的動(dòng)態(tài)性質(zhì)中，DNS暴露的風(fēng)險(xiǎn)很高。例如，你的團(tuán)隊(duì)在Azure上設(shè)置了一個(gè)帶有azurewebsites.net DNS的網(wǎng)站，并為自己創(chuàng)建了一個(gè)CNAME并指向該網(wǎng)站，”他解釋道?！叭绻銊h除了該網(wǎng)站（這是常見(jiàn)的操作），但沒(méi)有刪除CNAME，那么攻擊者可以利用你的懸空DNS進(jìn)行偽裝，這并不是云獨(dú)有的問(wèn)題，但云的動(dòng)態(tài)性使得意外留下懸空DNS指針的可能性大大增加。” 

當(dāng)某人在云中配置資源時(shí)，它會(huì)被賦予一個(gè)名稱，“但沒(méi)有人會(huì)記住那個(gè)名稱，”Winckless說(shuō)，所以它被扔進(jìn)了DNS中?！肮粽呖梢宰?cè)那個(gè)底層域名，并在上面放置他們想要的任何內(nèi)容，看起來(lái)非常像一個(gè)合法的企業(yè)文件。” 

API訪問(wèn)是潛在的安全事故 

API可能是云結(jié)構(gòu)的精髓，但它們也為攻擊者提供了許多切入點(diǎn)。 

“應(yīng)用程序中的本地API密鑰是一個(gè)令人驚訝的常見(jiàn)但被忽視的云安全漏洞。舉個(gè)例子，一名員工被解雇了，你禁用了該用戶的單點(diǎn)登錄（SSO），”身份治理公司ConductorOne的CTO Paul Querna說(shuō)。“在許多情況下，本地API密鑰在SSO被禁用后仍然可以繼續(xù)工作，這是因?yàn)楸镜谹PI密鑰獨(dú)立于用戶的SSO狀態(tài)運(yùn)行，當(dāng)SSO關(guān)閉時(shí)不會(huì)自動(dòng)撤銷，這意味著該用戶可能仍然能夠訪問(wèn)某些系統(tǒng)或數(shù)據(jù)，這構(gòu)成了嚴(yán)重的安全風(fēng)險(xiǎn)。” 

ISG的Saylors同意這一觀點(diǎn)，強(qiáng)調(diào)了訪問(wèn)API的自定義代碼的安全問(wèn)題。他舉了一個(gè)在所有主要云平臺(tái)上都有業(yè)務(wù)存在的企業(yè)的例子。 

“假設(shè)有人正在使用這些提供商，他們可能有一個(gè)通用的身份平臺(tái)，比如SailPoint。如果SailPoint將數(shù)據(jù)流傳輸?shù)紸WS、Microsoft及其他平臺(tái)，它可能允許在這些超大規(guī)模云環(huán)境中的所有客戶信息的訪問(wèn)，它可能允許在云中有限的數(shù)據(jù)訪問(wèn)。現(xiàn)在假設(shè)攻擊者正在針對(duì)那個(gè)AWS API。如果該客戶在這些云平臺(tái)上使用相同的憑據(jù)，”這可能會(huì)提供廣泛的訪問(wèn)權(quán)限，他說(shuō)。 

IMDSv2：你不知道的可能會(huì)毀掉你的云 

2024年3月，Amazon悄悄地更新了AWS平臺(tái)的一個(gè)關(guān)鍵部分：實(shí)例元數(shù)據(jù)服務(wù)（IMDS）。Pluralsight的Firment表示，一些安全運(yùn)營(yíng)中心（SOC）“可能甚至沒(méi)有意識(shí)到他們?cè)谑褂肹IMDS]”，因此他們的操作面臨與元數(shù)據(jù)暴露相關(guān)的嚴(yán)重“安全威脅”。 

“AWS使用IMDS存儲(chǔ)其他應(yīng)用程序和服務(wù)使用的安全憑據(jù)，并通過(guò)REST API提供這些信息。攻擊者可以利用服務(wù)器端請(qǐng)求偽造（SSRF）從IMDS竊取憑據(jù)，從而以實(shí)例角色的身份進(jìn)行橫向移動(dòng)或數(shù)據(jù)盜竊，”Firment解釋道，“AWS推出了IMDS的新版本，即版本2，以提高對(duì)未授權(quán)元數(shù)據(jù)的安全性，盡管許多組織仍將原始的IMDSv1作為默認(rèn)設(shè)置。為了幫助CISO們堵住這一潛在的安全漏洞，AWS最近宣布，可以將所有新啟動(dòng)的Amazon EC2實(shí)例默認(rèn)設(shè)置為更安全的IMDSv2?！?nbsp;

Firment指出，IMDSv2“于2019年11月由AWS推出，但直到2024年3月才引入將默認(rèn)設(shè)置為新版本的功能。因此，許多組織仍繼續(xù)使用原本存在漏洞的IMDSv1。值得注意的是，默認(rèn)設(shè)置只適用于新啟動(dòng)的實(shí)例，因此使用IMDSv1的現(xiàn)有實(shí)例仍需要重新配置?！?nbsp;

“對(duì)于大多數(shù)組織來(lái)說(shuō)，這構(gòu)成了相當(dāng)大的威脅?？赡軟](méi)有足夠的意識(shí)到需要將所有人切換到新版本，”他說(shuō)，并補(bǔ)充道，風(fēng)險(xiǎn)在于攻擊者“可能會(huì)竊取憑據(jù)，并在你的組織內(nèi)橫向移動(dòng)。”