研究人員發現攻擊云基礎設施的新方法:云API
作者:星期五, 十一月 15, 20190

互聯網上隨處可訪問的云 API 為黑客開啟了獲取云資產訪問特權的新窗口。

公共云基礎設施為安全團隊帶來了新的不可見管理層,制造了需更深入理解的新安全挑戰。很多公司企業未能正確理解云身份與訪問管理層,更別提安全防護了。

這種誤解常導致危險的錯誤配置,可催生類似近期 Capital One 數據泄露的客戶風險。XM 安全研究主管 Igal Gofman 和 XM 高級安全研究員 Yaron Shani 解釋稱,當前安全操作與控制措施不足以緩解公共云錯誤理解導致的風險。

開始研究針對云的威脅時,Gofman 和 Shani 意識到,很多流行防御機制都專注特定攻擊途徑:例如暴力破解防護措施針對密碼噴射工具或 AWS 偵察工具類云服務和應用。后泄露防御通常基于不同用戶活動和機器學習算法。

兩位研究人員在接受媒體采訪時表示:該方法中缺失的一環是,這些機制通常在本質上是防御性的,不是預測性的。傳統防御措施主要針對網絡、應用和操作系統防護。

云提供商的應用程序編程接口 (API) 中存在新的攻擊途徑:這些 API 可通過互聯網訪問,給惡意黑客留下了利用并獲取云端關鍵資產高訪問特權的機會。負責管理云資源的人通常是 DevOps、開發和 IT 團隊成員,這些人使用不同軟件開發包和專用命令行工具訪問 API。

研究人員稱:一旦這些賬戶憑證被盜,獲得高價值資源訪問權并不困難。即便公司劃分了不對互聯網開放的私有子網,云 API 仍可以利用正確的 API 密鑰從互聯網輕松訪問。云提供商工具,比如命令行接口工具 (CLI),將用戶憑證保存在一個文件中,通常本地存儲在個人工作站上。

今年的歐洲黑帽大會上,Gofman 和 Shani 計劃在題為《由內而外——云從未如此接近》的演講中展示一種攻擊云基礎設施的新方法。他們的方法學涉及使用圖形顯示不同實體之間的權限關系,揭示需處理和清除的危險阻塞點。兩位研究人員稱,該圖的結果可為紅隊和藍隊所用,更深入了解云環境中的權限關系。他們還將在闡述了其間聯系之后演示攻擊者可如何濫用各種功能以獲取權限。

研究人員指出,攻擊者無需具備太強的技術即可利用公共云 API,他們自己都沒利用到任何開源工具來自動化整個研究技術棧。

實際上,開發此類工具的技術門檻并不高,因為所有信息基本上都公開可得,且大多數云提供商還有良好文檔記錄——他們詳細記錄了每個安全功能,防御者和攻擊者均可利用。

基本上,開發可利用他們研究成果的攻擊性工具,比構建圍繞該研究的防御性系統更簡單。

若想防護自身,公司企業首先應遵循來自云提供商的最佳實踐指南。研究人員解釋稱,大企業常難以跟蹤和監視大型云基礎設施中的權限,也難以評估總體組織性風險因素。所以,最好持續監視攻擊者可觸碰高價值云資源的路徑。

《由內而外——云從未如此接近》:

https://www.blackhat.com/eu-19/briefings/schedule/index.html#inside-out—the-cloud-has-never-been-so-close-17797

 


相關文章

沒有相關文章!

寫一條評論

 

 

0條評論