《2024云攻击向量防护.docx》由会员分享,可在线阅读,更多相关《2024云攻击向量防护.docx(35页珍藏版)》请在优知文库上搜索。
1、云攻击向量防护目录简介8本文档的目的8文件结构和范围8目标受众9IaaS和PaaS云攻击向量91:可利用的工作负载112:工作负载权限过高143:不安全的密钥、凭证和应用密钥174:可利用的身份验证或授权215:未经授权访问对象存储256:第三方跨环境/账户访问297:不安全/未加密的快照及备份338:受损镜像37结语40简介我们在不断加深对云上风险和威胁的认识与发展过程中,CSA顶级威胁等工作组以及其他组织为我们对这一主题的了解和理解作出了巨大贡献。我们尽管已经记录了许多对业务产生广泛影响的风险和威胁,但还是发现其中许多风险和威胁只利用到了少量的攻击向量。这正是本项研究的主题所在。为了进行本
2、项研究,我们首先回顾了近期大量IaaS与PaaS相关的安全事件,并将这些事件的细节细化为实际利用的攻击向量。我们使用CSA顶级云安全威胁案例、MITRE相关分析以及之前对云事件的研究,尽可能多的分析安全事件。在我们制定了完整的向量列表后,我们邀请了一批在云攻击方面经验丰富的专业人士。我们利用我们的集体经验将不同的个体分组,成为一组八个的主要攻击向量,我们发现它们在各种攻击场景中都非常有效。本文档的目的本研究的目标是梳理常见的aaSPaaS攻击向量并逐一列举,与相关的CSA研究和其他威胁模型对应。通过阅读本文档,组织将更好地了解针云托管应用程序和基础设施的攻击中常用攻击向量,并制定在控制和安全工
3、作上应该重点关注的领域。文件结构和范围该文档由八个与laaS/PaaS相关的攻击向量组成。每个向量章节包括两部分:主要部分包括以下内容:向量的定义和描述、利用方式、如何避免或减轻该向量的关键要点、利用该向量的示例CSA和非CSA框架的攻击向量映射,在本项研究中将会提供更多深入的见解以及相关控制措施。映射包括: 将攻击向量映射到MnrRE中的相关技术或缓解措施 将攻击向量映射到责任共担模型-将相关攻击向量映射到不同责任方:云服务提供商(CSP)、云服务客户(CSC)或共享责任 将攻击向量映射到CSA安全指南(第4版)中的相关领域,添加有关向量的更多知识 将攻击向量映射到CSA云控制矩阵(CCM)
4、版本4.0.X,识别与向量相关的控制措施。X版本标签标记新的控制措施映射,因此我们的文档与4.0版本相关 将攻击向量映射到STRIDE威胁模型,添加有关向量的更多知识 将攻击向量映射到CSA顶级威胁研究,帮助识别相关的风险和威胁目标受众本文档的目标受众是: 对想要了解更多关于实际攻击向量信息感兴趣的,负责云环境安全的GRC专业人员和审计人员 正在构建IaaS/PaaS环境,并寻求安全帮助的安全专业人员、DeVOPS和DeVSeCOPS专业人员、软件和安全架构师以及IT安全人员IaaS和PaaS云攻击向量在深入研究攻击向量的详细信息之前,了解IaaS和PaaS等不同的云服务模型非常重要。 Iaa
5、S(基础设施即服务):在IaaS环境中,客户对基础设施和操作系统具有更多的控制权。这意味着攻击面更大,因为客户需要负责保护自己的虚拟机、存储和网络。在IaaS环境中,常见的攻击向量通常针对虚拟机、存储和网络安全设置中的错误配置或漏洞。 PaaS(平台即服务):在PaaS环境中,客户对软件和应用程序代码拥有更多的控制权,但对基础设施的控制权较少。攻击面与IaaS类似,但更加关注应用程序代码和配置中的漏洞。网络攻击向量是指攻击者用于访问计算机或网络服务器以传递恶意成果的路径或手段。这些向量可以包括多种策略,例如恶意软件、网络钓鱼和社会工程学等,旨在利用目标系统的脆弱点和漏洞。在云环境中,网络攻击向
6、量可以以多种方式呈现。举例来说,攻击者可能使用网络钓鱼电子邮件诱使用户点击恶意链接或输入其登录凭据。此外,攻击者还可利用云服务中的漏洞(如错误配置的权限)获取敏感数据的访问权限。网络攻击向量与脆弱点或漏洞之间的区别在于它们的性质。脆弱点或漏洞是指可以被威胁利用的资产或存在的控制弱点。另一方面,网络攻击向量是攻击者利用这些脆弱点或漏洞的特定方法或技术。例如,云服务中的漏洞可能是配置错误的防火墙,允许未经授权的网络访问。在这种情况下,网络攻击向量可能是SQ1.注入攻击,攻击者使用特制的SQ1.查询访问网络上的敏感数据。软件即服务(SaaS)s基础设施即服务(IaaS)和平台即服务(PaaS)的攻击
7、向量区别在于客户对环境的控制级别,而攻击向量存在于所有级别在云堆栈中,服务模型决定由谁负责及缓解。这项研究的重点是:研究针对IaaS和PaaS消费者的攻击向量。IaaS环境中的攻击向量通常是针对虚拟机、存储和网络安全设置中的错误配置或漏洞。在PaaS环境中,客户对软件和应用程序代码有着更多的控制权,但对基础设施的控制权较少。PaaS环境中的攻击面与IaaS类似,但更关注应用程序代码和配置设置中的漏洞。除了通过用户凭证之外,SaaS的消费者几乎无法控制云攻击向量。因此,在本研究中,大部分缓解工作将由SaaS提供商负责。然而,SaaS中还存在其他攻击向量,例如利用Web应用程序中的漏洞,这是Saa
8、S提供商的责任。需要注意的是,这些攻击向量并不是相互排斥的,攻击者可能会使用多种策略组合,危害目标。因此,客户需要遵循安全最佳实践,并应用多层安全控制措施降低网络攻击带来的风险。1:可利用的工作负载定义根据CSA安全指南(第4章,7.4节),CSA将工作负载定义为“处理单元,可以在虚拟机、容器或者其他的抽象中”。可利用的工作负载是一种攻击向量,详细描述了攻击者利用工作负载的漏洞,在云环境中获取初始访问的能力。这些漏洞可以是已知的漏洞,也可以是零日漏洞。如果不加以缓解,这种对云环境的初始访问可能会增加与攻击向量相关的风险。这种攻击方法的一个常见影响是利用它运行加密货币挖矿或勒索软件攻击。在其他情
9、况下,利用先进的技术,可以使用附加或存储的云凭据在环境中移动,获得数据访问权限,或在云环境中提升权限和横向移动。描述可利用的工作负载是指由于云上网络配置错误,从而对内部或外部攻击者提供访问权限的任何虚拟机或容器。如果工作负载具有公网IP地址,或者攻击者已经能够访问内部环境,那么可达性就会实现。“可利用的工作负载”表示该资产容易受到配置错误的影响,存在已知的常见漏洞(CVE)和应用程序漏洞等。通过结合访问权限和现有漏洞,攻击者可以成功获取访问权限、控制权或利用云工作负载来进一步实施攻击。在这种攻击向量中,受损的资产可能会导致攻击者在云环境中实现持久化、获得数据访问权限或进行权限提升。接下来,攻击
10、者可以利用该资产加强其访问和控制能力,执行横向移动操作并寻找其他目标资产。要点为了强化云环境,应该在攻击路径的所有节点上实现安全保护。网络:尽可能限制网络访问,最好是私有子网并使用安全组和微隔离。使用IP限制,专门设定无类别域间路由(CIDR)范围,并开放对选定端口的访问,而不是过于宽泛的端口访问范围。只要有可能,就使用安全屏障保护对外开放的服务,例如负载均衡器、APl网关和/或Web应用程序防火墙(WAF)。漏洞:定期扫描所有工作负载以检测已知漏洞,并通过建议的补救措施修复。建议专门针对组织的云环境执行安全评估,确保发现未知风险。请记住,不同的工作负载需要不同的漏洞扫描工具(即容器可能需要与
11、虚拟机不同的工具)o应使用自动化工具(用于检测开源软件包中的漏洞的软件组合分析工具、用于检测代码中的漏洞的SAST/DAST/IAST工具【取决于应用程序类型】等)执行漏洞扫描,并将其嵌入到持续集成/持续交付(Cl/CD)流程。 身份和访问管理(IAM):所有对资源的访问都必须经过身份验证和授权。遵循最小权限或已知权限的原则,并向工作负载提供所需的最低权限,使工作负载能够执行指定的任务并将应用程序机密存储在安全位置。 应用程序:确保应用程序的设计符合公认的原则安全开发,包括自动修补。典型事件和案例请参阅以下典型事件和案例: NeWTeamTNTCryPtOiaCkinvMaIWareTarRe
12、tinRKUberneteSAtIaSSianConflUenCeSerVerSHaCkedViaZero-DaVVUlnerabilitV适用于企业TTP的MITREATTaCK请参阅“利用面向公众的应用程序,MITREID:TlI90.责任共担模型和STRlDE威胁建模图责任共担模型客户云服务提供商共享责任CSACBK安全指南4.0版领域4:合规性和审计管理领域7:基础设施安全领域11:数据安全和加密CSACCMControls4.0.X版AlS-应用程序和接口安全AIS-06:自动化安全应用程序部署AIS-07:应用程序漏洞修复CCC-变更控制和配置管理CCC-06:变更管理基线CCC-
13、07:基线偏差检测IVS-基础设施和虚拟化安全ISV-O4:操作系统强化和基本控制TVM-威胁和漏洞管理TVM-Ol:威胁和漏洞管理政策和程序TVM-O3:漏洞修匏计划TVM-04:检测更新TVM-07:漏洞识别TVM-08:漏洞优先级排序CSATop威胁映射此攻击向量与以下内容相关:安全问题7:系统漏洞安全问题9:SerVeHeSS和容器工作负载的错误配置和利用2:工作负载权限过高定义以下攻击向量描述了云环境中具有过高权限的工作负载。在云环境中,工作负载如虚拟机或容器,通常会分配一个身份或角色,用于执行在云基础设施上的操作。一个典型的例子是为虚拟机分配角色,以便其可以访问云存储。遵循这一向量
14、,如果攻击者能够获取对工作负载的访问权限,就可以利用这些权限获取对整个环境的更高权限。描述工作负载是一个处理单元,可以在虚拟机、容器或其他抽象概念(如SerVerIeSS或FaaS)中运行。常见的做法是创建工作负载,承载多个作业或任务,这些任务可能具有不同的访问模式和身份验证要求,并需要访问各种服务和资源。为了管理对特定服务和资源的访问,权限通常以策略或角色的形式分配给工作负载。这种复杂性给特定服务和资源的访问管理带来了挑战,从而导致了不良的安全实践,例如过度赋予权限的现象。这种攻击向量强调了特权提升的可能性。攻击者通常会以低级别权限获得初始访问权限,工作负载过高的权限可能会导致特权提升,攻击
15、者可以通过这种攻击向量获得更好的持久化效果和造成更多危害的能力。要点 始终遵循最小权限原则,为工作负载提供执行分配到的任务,所需的最低权限。 优先选择使用临时访问令牌而不是永久权限。 与预定义和一般角色相比,应优先定制策略和角色。 尝试通过使用权限边界、承担角色等功能更进一步细化您的策略。 防止激活具有高权限的本地用户账户,尤其是在使用容器时。 验证和审核工作负载的权限,确保没有过多的权限。典型事件和案例请参阅以下典型事件和案例: 1.eSSOnSIeamedfomtheCaPitalOnebreach TheattackOnONUS-Areal-lifeCaSeOfthe1.og4ShellVUInerabiIitV适用于企业TTP的MITREATT&CK请参阅“特权客户管理”,网址为MlTREID:M1026.责任共担模型责任共担模型和STRlDE威胁建模图客户云服务提供商共享责任CSACBK安全指南4.0版领域6:管理平面和业务连续性领域7:基础设施安全领域12:身份、授权和访问管理CSACCMCONTRO1.S4.0.X版ccc-变更控制和配置管理CCC-06:变更管理基线C