Paolo Passeri

信息安全專業(yè)人員解決其基于云計(jì)算的安全問題的最佳方式是密切關(guān)注攻擊鏈的每個(gè)階段，評(píng)估惡意活動(dòng)使用云計(jì)算來躲避傳統(tǒng)安全技術(shù)的位置。

信息安全專業(yè)人員可能聽說過用于識(shí)別和預(yù)防網(wǎng)絡(luò)入侵的網(wǎng)絡(luò)攻擊鏈框架。該模型由洛克希德·馬丁公司建立，并遵循軍事命名的方法描述和處理網(wǎng)絡(luò)威脅的每個(gè)階段。這些階段被稱為偵察、武器化、交付、利用、安裝、命令和控制，最后是對(duì)目標(biāo)的行動(dòng)。

雖然該模型適用于物理威脅和網(wǎng)絡(luò)威脅，但重要的是注意，并非每次網(wǎng)絡(luò)攻擊都會(huì)使用攻擊鏈的所有步驟。例如，第一階段“偵察”和最后階段“行動(dòng)”通常僅在目標(biāo)攻擊中具有特征。攻擊的持續(xù)時(shí)間也可能因其性質(zhì)而異。機(jī)會(huì)性攻擊必須迅速執(zhí)行，惡意行為者的最終價(jià)值往往取決于受害者的數(shù)量，而不是他們的質(zhì)量。

攻擊鏈這個(gè)術(shù)語在網(wǎng)絡(luò)安全使用方面受到了一些批評(píng)。有人說，它強(qiáng)化了傳統(tǒng)的基于邊界和惡意軟件預(yù)防的防御策略，并沒有充分防范內(nèi)部威脅。然而，該模型自成立以來已經(jīng)有了很大的發(fā)展，如今它有助于人們理解慣用操作方式，并對(duì)抗APT進(jìn)行的針對(duì)性攻擊，以及勒索軟件、網(wǎng)絡(luò)釣魚或加密攻擊等機(jī)會(huì)性威脅。

當(dāng)然，網(wǎng)絡(luò)攻擊的發(fā)展速度與他們所針對(duì)的技術(shù)一樣快，信息安全專業(yè)人員現(xiàn)在正在呼吁，要求人們更好地了解攻擊鏈隨著云計(jì)算應(yīng)用程序的出現(xiàn)而發(fā)生變化的方式，這是可以理解的。如果沒有得到妥善保護(hù)，云計(jì)算服務(wù)可以增加組織的攻擊面，以及攻擊鏈的多個(gè)階段。

因此，需要了解一下組織如何使用攻擊鏈方法來解決對(duì)其關(guān)鍵云計(jì)算應(yīng)用程序的這種新型攻擊。

攻擊鏈利用云服務(wù)

信息安全專業(yè)人員解決其基于云計(jì)算的安全問題的最佳方式是密切關(guān)注攻擊鏈的每個(gè)階段，評(píng)估惡意活動(dòng)使用云計(jì)算來躲避傳統(tǒng)安全技術(shù)的位置。

偵察階段是一個(gè)很好的起點(diǎn)。在攻擊鏈的這個(gè)階段，惡意行為者可以使用多種方法從受害者那里收集情報(bào)，而越來越多的云計(jì)算服務(wù)采用只會(huì)給攻擊者提供額外的入口點(diǎn)。攻擊者可以研究受害者使用哪些云計(jì)算服務(wù)（因此他們可以為受害者使用的應(yīng)用程序構(gòu)建定制的網(wǎng)絡(luò)釣魚頁面或惡意插件），或掃描錯(cuò)誤配置或可公開訪問的云計(jì)算資源，然后利用這些資源進(jìn)入目標(biāo)公司。他們還可以利用在明顯無害的云服務(wù)中共享的敏感信息。

在武器化階段，有人認(rèn)為惡意行為者為其工作設(shè)置了必要的基礎(chǔ)設(shè)施：從網(wǎng)絡(luò)釣魚頁面和惡意軟件分發(fā)點(diǎn)到命令和控制域。如今，這些資源可以輕松地托管在云服務(wù)上，并且越來越常見的是，惡意廣告系列從云計(jì)算服務(wù)中分配其有效負(fù)載，甚至使用云計(jì)算服務(wù)作為其命令和控制的安全港。

重要的是，云計(jì)算應(yīng)用程序經(jīng)常沒有得到足夠的定期檢查，或者通過無法有效識(shí)別和分析環(huán)境的傳統(tǒng)技術(shù)完全列入白名單。人們?cè)谶@里看到云計(jì)算在漏洞利用階段的作用。場(chǎng)景感知系統(tǒng)會(huì)注意到被放入AWS或Azure云平臺(tái)的數(shù)據(jù)，例如，組織外部的數(shù)據(jù)，但傳統(tǒng)的安全技術(shù)無法做到這一點(diǎn)。因此，網(wǎng)絡(luò)犯罪分子使用云計(jì)算服務(wù)來逃避一直處于監(jiān)視之下的檢測(cè)。

一旦構(gòu)建了惡意基礎(chǔ)設(shè)施，下一個(gè)邏輯步驟就是從云平臺(tái)中傳遞攻擊媒介。現(xiàn)在可以從云中提供網(wǎng)絡(luò)釣魚頁面，任何其他潛在的惡意有效負(fù)載也可以提供。人們還確定了濫用云計(jì)算服務(wù)作為重定向器的系列廣告，以用于針對(duì)目標(biāo)攻擊的惡意軟件分發(fā)站點(diǎn)。

安裝惡意軟件后，需要連接到其命令和控制基礎(chǔ)設(shè)施。攻擊者可以使用此連接泄露信息，在僵尸網(wǎng)絡(luò)中控制受攻擊的端點(diǎn)以發(fā)起DDoS攻擊或垃圾郵件活動(dòng)，或建立立足點(diǎn)以橫向移動(dòng)，并深入挖掘受害者組織的數(shù)據(jù)。同樣，云計(jì)算在此階段扮演著重要角色，因?yàn)楣粽呖梢允褂肁WS和Google Drive之類的可信云服務(wù)來隱藏通信渠道。其原因總是一樣的：逃避。

云計(jì)算的特征也在這些階段中發(fā)揮著重要作用。

一旦他們直接或通過受到攻擊的端點(diǎn)訪問云計(jì)算服務(wù)，攻擊者就可以橫向移動(dòng)并跨越云平臺(tái)。他們不僅可以更改云中托管的關(guān)鍵服務(wù)的配置，升級(jí)權(quán)限以獲取更多訪問權(quán)限，竊取數(shù)據(jù)并清除其跟蹤，還可以啟動(dòng)新實(shí)例以實(shí)現(xiàn)惡意目的，例如加密攻擊。

當(dāng)然，在人們考慮和應(yīng)對(duì)攻擊鏈時(shí)，人們不會(huì)包圍或分離云計(jì)算攻擊向量和表面，這當(dāng)然是非常重要的。攻擊可以使用傳統(tǒng)攻擊媒介（例如Web和電子郵件）以及云計(jì)算服務(wù)的組合。人們使用術(shù)語“混合威脅”來定義利用這種混合方法的攻擊。

如何克服基于云計(jì)算的挑戰(zhàn)

通過查看攻擊鏈的每個(gè)階段，可以看到信息安全專業(yè)人員謹(jǐn)慎行事是正確的。各種業(yè)務(wù)和行業(yè)的云采用率已達(dá)到96%，雖然本地資源在不久的將來不太可能消失，但云計(jì)算現(xiàn)在已成為大多數(shù)IT基礎(chǔ)設(shè)施和戰(zhàn)略的基礎(chǔ)。

人們可以看到，云計(jì)算應(yīng)用程序?qū)Π踩蕴岢隽酥卮蠖?dú)特的挑戰(zhàn)，也許在云原生時(shí)代，所有人面臨的最大挑戰(zhàn)是云計(jì)算基礎(chǔ)設(shè)施和服務(wù)始終在不斷發(fā)展。

抵御云原生威脅的唯一方法是使用云原生安全技術(shù)?；蛟S顯而易見的是，只有云原生技術(shù)才能檢測(cè)并緩解云原生威脅，而像Netskope這樣的威脅感知和實(shí)例感知的統(tǒng)一平臺(tái)可以更全面地了解用戶的位置，發(fā)現(xiàn)混合威脅和執(zhí)行使用政策。

一旦該技術(shù)到位，就會(huì)有許多獨(dú)立的計(jì)劃可以幫助解決基于云計(jì)算的安全挑戰(zhàn)。

這些涉及需要對(duì)所有IaaS資源執(zhí)行定期連續(xù)安全評(píng)估，以防止可被惡意攻擊者利用的錯(cuò)誤配置，并對(duì)受制裁的云計(jì)算應(yīng)用程序中的任何外部共享內(nèi)容執(zhí)行常規(guī)數(shù)據(jù)丟失防護(hù)（DLP）掃描，以防止無意中泄露的信息被惡意行為者利用。

組織必須為未經(jīng)批準(zhǔn)的服務(wù)和未經(jīng)批準(zhǔn)的受制裁云計(jì)算服務(wù)實(shí)例做好準(zhǔn)備，并確保員工在安全可靠地使用云計(jì)算服務(wù)方面得到有效培訓(xùn)。許多漏洞是由于人為錯(cuò)誤造成的，因此警告用戶關(guān)于云計(jì)算應(yīng)用程序的缺陷是很重要的，例如警告他們避免從不受信任的來源執(zhí)行未簽名的宏，即使來源似乎是合法的云服務(wù)。

更重要的是，組織必須警告用戶避免執(zhí)行任何文件，除非他們非常確定它們是良性的，并建議不要打開不受信任的附件，無論其擴(kuò)展名或文件名是什么。

要實(shí)施的示例策略包括需要掃描從非托管設(shè)備到批準(zhǔn)所有上傳的云計(jì)算應(yīng)用程序，以查找惡意軟件。一個(gè)很好的選擇是阻止未經(jīng)批準(zhǔn)的已批準(zhǔn)/眾所周知的云計(jì)算應(yīng)用程序?qū)嵗?，以防止攻擊者利用用戶?duì)云計(jì)算的信任，或阻止數(shù)據(jù)傳輸?shù)浇M織外部的S3存儲(chǔ)桶。雖然這似乎有點(diǎn)限制，但它顯著降低了通過云平臺(tái)進(jìn)行惡意軟件滲透嘗試的風(fēng)險(xiǎn)。

很明顯，正如云計(jì)算已經(jīng)徹底改變了過去十年中數(shù)據(jù)和應(yīng)用程序的部署方式一樣，它也從根本上改變了IT安全需求。

實(shí)際上，雖然傳統(tǒng)安全流程可能仍然在保護(hù)現(xiàn)代工作負(fù)載方面發(fā)揮一定作用，但是，完全致力于云計(jì)算所帶來的安全性和合規(guī)性需求的組織必須徹底改變其針對(duì)云原生時(shí)代的安全策略。