导致数据泄露的常见云配置错误

Raj Rajamani
云配置错误(当安全设置选择不当或完全忽略时出现的漏洞、错误或漏洞)为攻击者提供了渗透云的简单途径。多云环境很复杂,很难判断何时授予了过多的帐户权限、配置了不正确的公共访问或发生了其他错误。也很难判断对手何时利用它们。

本文来自微信公众号“安信安全”,作者|Raj Rajamani。

如今云无处不在。许多组织在做出节省成本和灵活性的决定时,没有考虑这种新基础设施带来的安全挑战。如果没有必要的培训,安全团队就无法理解云安全。维护云安全态势管理的最佳实践将帮助你避免导致云安全漏洞的常见错误配置。

云已成为攻击者活动的新战场:CrowdStrike观察到,从2021年到2022年,云利用增加了95%,涉及直接针对云的威胁行为者的案件增加了288%。保护你的云环境需要了解威胁行为者的运作方式——他们如何闯入和横向移动、他们瞄准哪些资源以及他们如何逃避检测。

1、云配置错误带来地安全问题

云配置错误(当安全设置选择不当或完全忽略时出现的漏洞、错误或漏洞)为攻击者提供了渗透云的简单途径。多云环境很复杂,很难判断何时授予了过多的帐户权限、配置了不正确的公共访问或发生了其他错误。也很难判断对手何时利用它们。

云中配置错误的设置为攻击者快速行动扫清了道路。云中的漏洞可能会暴露大量敏感信息,包括个人数据、财务记录、知识产权和商业秘密。对手在不被发现的情况下通过云环境寻找和窃取这些数据的速度是一个主要问题。恶意行为者将通过使用云环境中的本机工具来加快在云中搜索和查找有价值数据的过程,这与他们必须部署工具的本地环境不同,这使得他们更难避免检测。需要适当的云安全来防止造成广泛后果的违规行为。

2、常见的错误配置

那么,我们看到威胁行为者最常见的错误配置是什么,以及对手如何利用它们来获取你的数据?

无效的网络控制:网络访问控制中的间隙和盲点为攻击者留下了许多大门,让他们可以直接通过。

不受限制的出站访问:当你对互联网具有不受限制的出站访问权限时,不良行为者可以利用你缺乏出站限制和工作负载保护来从你的云平台窃取数据。你的云实例应限制为特定的IP地址和服务,以防止对手访问和窃取你的数据。

配置不当的公共访问:将存储桶或关键网络服务(例如SSH(安全外壳协议)、SMB(服务器消息块)或RDP(远程桌面协议))暴露到互联网,甚至是不打算公开的Web服务公开,可能会迅速导致服务器的云攻击以及敏感数据的泄露或删除。

1.png

公共快照和映像:意外公开卷快照或计算机映像(模板)的情况很少见。当这种情况发生时,机会主义的对手就可以从该公共图像中收集敏感数据。在某些情况下,该数据可能包含密码、密钥和证书或API凭据,从而导致云平台遭受更大的损害。

开放数据库、缓存和存储桶:开发人员有时会在没有足够的身份验证/授权控制的情况下公开数据库或对象缓存,从而将整个数据库或缓存暴露给机会主义对手,以进行数据盗窃、破坏或篡改。

被忽视的云基础设施:你会惊讶地发现,有多少次云平台为了支持短期需求而启动,但在练习结束时仍保持运行,并在团队继续前进后被忽视。开发或安全运营团队不维护被忽视的云基础设施,从而使不良行为者可以自由地获取访问权限以搜索可能遗留的敏感数据。

网络分段不充分:网络安全组等现代云网络概念使ACL(访问控制列表)等陈旧、繁琐的做法成为过去。但是,安全组管理实践不足可能会创建一个环境,使攻击者可以根据“网络内部是安全的”和“只需要前端防火墙”这一隐含的架构假设,在主机之间、服务之间自由移动。”由于不利用安全组功能仅允许需要通信的主机组进行通信,并阻止不必要的出站流量,云防御者错过了阻止涉及基于云的端点的大多数违规行为的机会。

监控和警报差距:集中查看所有服务的日志和警报,使搜索异常变得更加容易。

禁用日志记录:云安全事件的有效数据记录对于检测恶意威胁行为者行为至关重要。然而,在许多情况下,云平台上默认禁用日志记录,或者禁用日志记录以减少维护日志的开销。如果禁用日志记录,则不会记录任何事件,因此无法检测潜在的恶意事件或操作。应将启用和管理日志记录作为最佳实践。

缺少警报:大多数云提供商和所有云安全态势管理提供商都会针对重要的错误配置提供警报,并且大多数会检测异常或可能的恶意活动。不幸的是,防御者通常不会在他们的雷达上发现这些警报,这要么是由于太多的低相关性信息(警报疲劳),要么是因为这些警报源与他们寻找警报的位置(例如SIEM)之间缺乏联系。安全信息和事件管理)工具。

无效的身份架构:用户帐户的存在不植根于单一身份提供商,该身份提供商强制执行有限的会话时间和多因素身份验证(MFA),并且可以标记或阻止不规则或高风险签名活动的登录,这是导致以下问题的核心原因:云数据泄露,因为凭证使用被盗的风险非常高。

公开的访问密钥:访问密钥作为安全主体用于与云服务平面进行交互。暴露的密钥可能会被未经授权的人员迅速滥用来窃取或删除数据;威胁行为者还可能要求赎金,以换取不出售或泄露的承诺。虽然这些密钥可以保密,尽管有一些困难,但最好让它们过期,或者使用自动轮换的短期访问密钥,并限制它们的使用地点(来自哪些网络和IP地址)。

帐户权限过多:大多数帐户(角色、服务)都有一组有限的正常操作和稍大一些的偶尔操作。当他们被提供了远大于所需的特权并且这些特权被威胁行为者滥用时,“爆炸半径”就不必要地大了。过多的权限会导致横向移动、持久性和权限升级,这可能会导致数据泄露、破坏和代码篡改等更严重的影响。

如今云无处不在。许多组织在做出节省成本和灵活性的决定时,没有考虑这种新基础设施带来的安全挑战。如果没有必要的培训,安全团队就无法理解云安全。维护云安全态势管理的最佳实践将帮助你避免导致云安全漏洞的常见错误配置。

THEEND

最新评论(评论仅代表用户观点)

更多
暂无评论