攻擊目標簡(jiǎn)介:社交媒體/移動(dòng)應用公司
這是一家擁有2000多萬(wàn)用戶(hù)的照片共享社交媒體應用公司。該公司在A(yíng)mazon Web Services (AWS)中存儲了超過(guò)1PB的用戶(hù)數據。在2018年的一次大規模數據泄漏事件中,該公司不幸成為受害者,近2000萬(wàn)用戶(hù)記錄被泄露。事件的發(fā)展過(guò)程是這樣的。
- 第一步:入侵合法用戶(hù)。數據泄露的第一步往往是攻擊者入侵合法用戶(hù)竊取憑證。在此次事件中,攻擊者利用魚(yú)叉式網(wǎng)絡(luò )釣魚(yú)攻擊獲取了公司網(wǎng)絡(luò )環(huán)境的管理用戶(hù)憑證。
- 第二步:強化訪(fǎng)問(wèn)。入侵合法用戶(hù)之后,黑客即使不通過(guò)被入侵用戶(hù),也可以頻繁地采取措施加強對公司網(wǎng)絡(luò )環(huán)境的訪(fǎng)問(wèn)。在此次事件中,攻擊者會(huì )通過(guò)在國外注冊的IP地址連接到公司的云環(huán)境,并創(chuàng )建了具有完全管理權限的API訪(fǎng)問(wèn)密鑰 https://blog.radware.com/security/cloudsecurity/2019/03/are-your-devops-your-biggest-security-risks/。
- 第三步:偵察。一旦成功進(jìn)入公司網(wǎng)絡(luò )內部,攻擊者就需要了解該角色被授予的權限以及可以進(jìn)行的操作。
- 第四步:利用。一旦確定了賬戶(hù)的可用權限,攻擊者就可以繼續利用這些權限。在其他活動(dòng)中,攻擊者可以復制主用戶(hù)數據庫,并利用公共權限將其泄露到公司網(wǎng)絡(luò )外部。
第五步:泄露。最后,由于可以隨時(shí)掌握客戶(hù)信息,攻擊者可以訪(fǎng)問(wèn)2000多萬(wàn)條包含用戶(hù)個(gè)人信息在內的用戶(hù)記錄,并且可以將這些信息從網(wǎng)絡(luò )中泄露出去。
經(jīng)驗教訓
權限就相當于受攻擊面:利用公有云環(huán)境就意味著(zhù),過(guò)去托管在企業(yè)內部的資源現在脫離了系統管理員的控制,人們在世界任何地方都可以訪(fǎng)問(wèn)這些資源。因此,公有云的運維安全性是由能夠訪(fǎng)問(wèn)這些公有云工作負載的人及其所獲得的權限定義的。實(shí)際上,權限就相當于受攻擊面。
過(guò)多的權限-頭號威脅:在云環(huán)境中,很容易就可以創(chuàng )建新資源并授予很多權限,但卻很難追蹤擁有這些權限的人。這種過(guò)多的權限常常被錯誤地描述為錯誤配置,但實(shí)際上是權限濫用的結果。因此,避免權限過(guò)多就成為了保護托管在公有云中的工作負載運維安全的首要任務(wù)。
云端攻擊有典型的過(guò)程:盡管每次數據泄露事件的發(fā)展各不相同,但云端原生數據泄露攻擊通常都遵循一個(gè)典型過(guò)程,即入侵合法用戶(hù)賬戶(hù)、賬戶(hù)偵察、權限升級、資源利用和數據泄露。
云應該具備哪些優(yōu)勢?
- 保護您的訪(fǎng)問(wèn)憑證:您與下一次數據泄露之間只有一個(gè)密碼的距離。最大限度地保護您的云端賬戶(hù)憑證對確保這些憑證不落入不法分子之手至關(guān)重要。
- 限制權限:云端用戶(hù)賬戶(hù)通常會(huì )被授予很多不需要或從不使用的權限。黑客通常會(huì )利用已授權權限和使用權限之間的漏洞。在前面的例子中,攻擊者利用賬戶(hù)權限創(chuàng )建了新的具有管理訪(fǎng)問(wèn)權限的API密鑰,啟用了新的數據庫,重置了數據庫主密碼并將其泄露到企業(yè)外部。將權限限制在用戶(hù)僅需要使用的范圍內,這樣可以幫助確保即使賬戶(hù)被入侵,攻擊者所能造成的損害也是有限的。
- 可疑活動(dòng)預警:由于云端原生數據泄露通常有共同的過(guò)程, 那么例如端口掃描、調用之前使用的API和授予公共權限這些特定的賬戶(hù)活動(dòng)就可以被確定為可疑活動(dòng)。向惡意行為指示器(MBIs)發(fā)送預警信息可以在數據泄露發(fā)生之前進(jìn)行阻止。
- 自動(dòng)響應流程/機制:最后,一旦確定了惡意活動(dòng),進(jìn)行快速響應至關(guān)重要。自動(dòng)響應機制可以在檢測到惡意活動(dòng)的同時(shí)將其攔截,并最終阻止了數據泄露。
關(guān)于Radware
Radware 是為物理數據中心、云數據中心和軟件定義數據中心提供網(wǎng)絡(luò )安全和應用交付解決方案的全球領(lǐng)導者。Radware屢獲殊榮的解決方案組合為全球企業(yè)提供了基礎架構、應用及企業(yè)IT防護服務(wù),確保企業(yè)的數字體驗。Radware解決方案成功幫助了全球12,500多家企業(yè)和運營(yíng)商客戶(hù)快速應對市場(chǎng)挑戰,保持業(yè)務(wù)連續性,在實(shí)現最高生產(chǎn)效率的同時(shí)有效降低成本。
