攻擊目標簡介:社交媒體/移動應用公司
這是一家擁有2000多萬用戶的照片共享社交媒體應用公司。該公司在Amazon Web Services (AWS)中存儲了超過1PB的用戶數(shù)據(jù)。在2018年的一次大規(guī)模數(shù)據(jù)泄漏事件中,該公司不幸成為受害者,近2000萬用戶記錄被泄露。事件的發(fā)展過程是這樣的。
- 第一步:入侵合法用戶。數(shù)據(jù)泄露的第一步往往是攻擊者入侵合法用戶竊取憑證。在此次事件中,攻擊者利用魚叉式網(wǎng)絡釣魚攻擊獲取了公司網(wǎng)絡環(huán)境的管理用戶憑證。
- 第二步:強化訪問。入侵合法用戶之后,黑客即使不通過被入侵用戶,也可以頻繁地采取措施加強對公司網(wǎng)絡環(huán)境的訪問。在此次事件中,攻擊者會通過在國外注冊的IP地址連接到公司的云環(huán)境,并創(chuàng)建了具有完全管理權限的API訪問密鑰 https://blog.radware.com/security/cloudsecurity/2019/03/are-your-devops-your-biggest-security-risks/。
- 第三步:偵察。一旦成功進入公司網(wǎng)絡內(nèi)部,攻擊者就需要了解該角色被授予的權限以及可以進行的操作。
- 第四步:利用。一旦確定了賬戶的可用權限,攻擊者就可以繼續(xù)利用這些權限。在其他活動中,攻擊者可以復制主用戶數(shù)據(jù)庫,并利用公共權限將其泄露到公司網(wǎng)絡外部。
第五步:泄露。最后,由于可以隨時掌握客戶信息,攻擊者可以訪問2000多萬條包含用戶個人信息在內(nèi)的用戶記錄,并且可以將這些信息從網(wǎng)絡中泄露出去。
經(jīng)驗教訓
權限就相當于受攻擊面:利用公有云環(huán)境就意味著,過去托管在企業(yè)內(nèi)部的資源現(xiàn)在脫離了系統(tǒng)管理員的控制,人們在世界任何地方都可以訪問這些資源。因此,公有云的運維安全性是由能夠訪問這些公有云工作負載的人及其所獲得的權限定義的。實際上,權限就相當于受攻擊面。
過多的權限-頭號威脅:在云環(huán)境中,很容易就可以創(chuàng)建新資源并授予很多權限,但卻很難追蹤擁有這些權限的人。這種過多的權限常常被錯誤地描述為錯誤配置,但實際上是權限濫用的結(jié)果。因此,避免權限過多就成為了保護托管在公有云中的工作負載運維安全的首要任務。
云端攻擊有典型的過程:盡管每次數(shù)據(jù)泄露事件的發(fā)展各不相同,但云端原生數(shù)據(jù)泄露攻擊通常都遵循一個典型過程,即入侵合法用戶賬戶、賬戶偵察、權限升級、資源利用和數(shù)據(jù)泄露。
云應該具備哪些優(yōu)勢?
- 保護您的訪問憑證:您與下一次數(shù)據(jù)泄露之間只有一個密碼的距離。最大限度地保護您的云端賬戶憑證對確保這些憑證不落入不法分子之手至關重要。
- 限制權限:云端用戶賬戶通常會被授予很多不需要或從不使用的權限。黑客通常會利用已授權權限和使用權限之間的漏洞。在前面的例子中,攻擊者利用賬戶權限創(chuàng)建了新的具有管理訪問權限的API密鑰,啟用了新的數(shù)據(jù)庫,重置了數(shù)據(jù)庫主密碼并將其泄露到企業(yè)外部。將權限限制在用戶僅需要使用的范圍內(nèi),這樣可以幫助確保即使賬戶被入侵,攻擊者所能造成的損害也是有限的。
- 可疑活動預警:由于云端原生數(shù)據(jù)泄露通常有共同的過程, 那么例如端口掃描、調(diào)用之前使用的API和授予公共權限這些特定的賬戶活動就可以被確定為可疑活動。向惡意行為指示器(MBIs)發(fā)送預警信息可以在數(shù)據(jù)泄露發(fā)生之前進行阻止。
- 自動響應流程/機制:最后,一旦確定了惡意活動,進行快速響應至關重要。自動響應機制可以在檢測到惡意活動的同時將其攔截,并最終阻止了數(shù)據(jù)泄露。
關于Radware
Radware 是為物理數(shù)據(jù)中心、云數(shù)據(jù)中心和軟件定義數(shù)據(jù)中心提供網(wǎng)絡安全和應用交付解決方案的全球領導者。Radware屢獲殊榮的解決方案組合為全球企業(yè)提供了基礎架構(gòu)、應用及企業(yè)IT防護服務,確保企業(yè)的數(shù)字體驗。Radware解決方案成功幫助了全球12,500多家企業(yè)和運營商客戶快速應對市場挑戰(zhàn),保持業(yè)務連續(xù)性,在實現(xiàn)最高生產(chǎn)效率的同時有效降低成本。
