改进攻击链方法以保护基于云计算的应用程序

信息安全专业人员解决其基于云计算的安全问题的最佳方式是密切关注攻击链的每个阶段,评估恶意活动使用云计算来躲避传统安全技术的位置。

信息安全专业人员可能听说过用于识别和预防网络入侵的网络攻击链框架。该模型由洛克希德·马丁公司建立,并遵循军事命名的方法描述和处理网络威胁的每个阶段。这些阶段被称为侦察、武器化、交付、利用、安装、命令和控制,最后是对目标的行动。

虽然该模型适用于物理威胁和网络威胁,但重要的是注意,并非每次网络攻击都会使用攻击链的所有步骤。例如,第一阶段“侦察”和最后阶段“行动”通常仅在目标攻击中具有特征。攻击的持续时间也可能因其性质而异。机会性攻击必须迅速执行,恶意行为者的最终价值往往取决于受害者的数量,而不是他们的质量。

攻击链这个术语在网络安全使用方面受到了一些批评。有人说,它强化了传统的基于边界和恶意软件预防的防御策略,并没有充分防范内部威胁。然而,该模型自成立以来已经有了很大的发展,如今它有助于人们理解惯用操作方式,并对抗APT进行的针对性攻击,以及勒索软件、网络钓鱼或加密攻击等机会性威胁。

但是,当然,网络攻击的发展速度与他们所针对的技术一样快,信息安全专业人员现在正在呼吁,要求人们更好地了解攻击链随着云计算应用程序的出现而发生变化的方式,这是可以理解的。如果没有得到妥善保护,云计算服务可以增加组织的攻击面,以及攻击链的多个阶段。

因此,需要了解一下组织如何使用攻击链方法来解决对其关键云计算应用程序的这种新型攻击。

攻击链利用云服务

信息安全专业人员解决其基于云计算的安全问题的最佳方式是密切关注攻击链的每个阶段,评估恶意活动使用云计算来躲避传统安全技术的位置。

侦察阶段是一个很好的起点。在攻击链的这个阶段,恶意行为者可以使用多种方法从受害者那里收集情报,而越来越多的云计算服务采用只会给攻击者提供额外的入口点。攻击者可以研究受害者使用哪些云计算服务(因此他们可以为受害者使用的应用程序构建定制的网络钓鱼页面或恶意插件),或扫描错误配置或可公开访问的云计算资源,然后利用这些资源进入目标公司。他们还可以利用在明显无害的云服务中共享的敏感信息。

武器化阶段认为恶意行为者为其工作设置了必要的基础设施:从网络钓鱼页面和恶意软件分发点到命令和控制域。如今,这些资源可以轻松地托管在云服务上,并且越来越常见的是,恶意广告系列从云计算服务中分配其有效负载,甚至使用云计算服务作为其命令和控制的安全港。

重要的是,云计算应用程序经常没有得到足够的定期检查,或者通过无法有效识别和分析环境的传统技术完全列入白名单。人们在这里看到云计算在漏洞利用阶段的作用。场景感知系统会注意到被放入AWS或Azure云平台的数据,例如,组织外部的数据,但传统的安全技术无法做到这一点。因此,网络犯罪分子使用云计算服务来逃避一直处于监视之下的检测。

一旦构建了恶意基础设施,下一个逻辑步骤就是从云平台中传递攻击媒介。现在可以从云中提供网络钓鱼页面,任何其他潜在的恶意有效负载也可以提供。人们还确定了滥用云计算服务作为重定向器的系列广告,以用于针对目标攻击的恶意软件分发站点。

安装恶意软件后,需要连接到其命令和控制基础设施。攻击者可以使用此连接泄露信息,在僵尸网络中控制受攻击的端点以发起DDoS攻击或垃圾邮件活动,或建立立足点以横向移动,并深入挖掘受害者组织的数据。同样,云计算在此阶段扮演着重要角色,因为攻击者可以使用AWS和Google Drive之类的可信云服务来隐藏通信渠道。其原因总是一样的:逃避。

云计算的特征也在这些阶段中发挥着重要作用。一旦他们直接或通过受到攻击的端点访问云计算服务,攻击者就可以横向移动并跨越云平台。他们不仅可以更改云中托管的关键服务的配置,升级权限以获取更多访问权限,窃取数据并清除其跟踪,还可以启动新实例以实现恶意目的,例如加密攻击。

当然,在人们考虑和应对攻击链时,人们不会包围或分离云计算攻击向量和表面,这当然是非常重要的。攻击可以使用传统攻击媒介(例如Web和电子邮件)以及云计算服务的组合。人们使用术语“混合威胁”来定义利用这种混合方法的攻击。

如何克服基于云计算的挑战

通过查看攻击链的每个阶段,可以看到信息安全专业人员谨慎行事是正确的。各种业务和行业的云采用率已达到96%,虽然本地资源在不久的将来不太可能消失,但云计算现在已成为大多数IT基础设施和战略的基础。

人们可以看到,云计算应用程序对安全性提出了重大而独特的挑战,也许在云原生时代,所有人面临的最大挑战是云计算基础设施和服务始终在不断发展。

抵御云原生威胁的唯一方法是使用云原生安全技术。或许显而易见的是,只有云原生技术才能检测并缓解云原生威胁,而像Netskope这样的威胁感知和实例感知的统一平台可以更全面地了解用户的位置,发现混合威胁和执行使用政策。

一旦该技术到位,就会有许多独立的计划可以帮助解决基于云计算的安全挑战。

这些涉及需要对所有IaaS资源执行定期连续安全评估,以防止可被恶意攻击者利用的错误配置,并对受制裁的云计算应用程序中的任何外部共享内容执行常规数据丢失防护(DLP)扫描,以防止无意中泄露的信息被恶意行为者利用。

组织必须为未经批准的服务和未经批准的受制裁云计算服务实例做好准备,并确保员工在安全可靠地使用云计算服务方面得到有效培训。许多漏洞是由于人为错误造成的,因此警告用户关于云计算应用程序的缺陷是很重要的,例如警告他们避免从不受信任的来源执行未签名的宏,即使来源似乎是合法的云服务。更重要的是,组织必须警告用户避免执行任何文件,除非他们非常确定它们是良性的,并建议不要打开不受信任的附件,无论其扩展名或文件名是什么。

要实施的示例策略包括需要扫描从非托管设备到批准所有上传的云计算应用程序,以查找恶意软件。一个很好的选择是阻止未经批准的已批准/众所周知的云计算应用程序实例,以防止攻击者利用用户对云计算的信任,或阻止数据传输到组织外部的S3存储桶。虽然这似乎有点限制,但它显著降低了通过云平台进行恶意软件渗透尝试的风险。

很明显,正如云计算已经彻底改变了过去十年中数据和应用程序的部署方式一样,它也从根本上改变了IT安全需求。

实际上,虽然传统安全流程可能仍然在保护现代工作负载方面发挥一定作用,但是,完全致力于云计算所带来的安全性和合规性需求的组织必须彻底改变其针对云原生时代的安全策略。

本文分享自微信公众号 - 云计算D1net(D1Net02)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-07-09

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏凯哥Java

新版本的tomcat对url的参数做了比较规范的限制,不注意就会掉坑了

Invalid character found in the request target. The valid characters are defined ...

54040
来自专栏宜信技术实践

UEM系列(一)用户体验管理介绍

随着互联网产品越来越多,用户群体越来越庞大以及用户品位的多样性增加,我们会发现这样的一个规律,就是相同类型的产品,比如播放器中的QQ影音和暴风影音,再比如小游戏...

19210
来自专栏量子位

世界无人帆船大赛首次登陆中国,水手梦也能用代码实现

如果你兼具程序员、工程师和水手的兴趣,或许不容错过这个世界上最大最悠久的无人帆船赛事。

15940
来自专栏凯哥Java

人人自动生成:renren-generator

人人开源项目的代码生成器,可在线生成entity、xml、dao、service、html、js、sql代码,减少70%以上的开发任务 https://www....

32810
来自专栏FreeBuf

俄犯罪分子窃取反病毒公司源代码并在线销售

根据安全研究人员的发现,近期一个名叫 Fxsmsp 的网络犯罪组织正在网上在线销售主流反病毒软件的源代码,而且售价金额高达30万美元。

11130
来自专栏宜信技术实践

UEM系列(二)初识UEM“探针”技术

链接:https://www.toutiao.com/i6600983314784322056/

14320
来自专栏FreeBuf

我是怎么把研发安全做“没”了的

我叫王大锤,万万没想到,我成了马栏山不省心集团的研发安全工程师……这一定是对我的终极考验,相信用不了多久我就会升职加薪,当上总经理,出任CEO,迎娶白富美,走向...

8120
来自专栏量子位

一文看尽CVPR 2019十大新研究:“不看也知”成热点,无人车新增重磅开源数据集

在该备受瞩目的AI顶会落幕之际,外媒VentureBeat盘点了十项不能错过的新研究、新进展。

24530
来自专栏FreeBuf

针对《网络安全漏洞管理规定(征求意见稿)》的一些看法:利大于弊

6月18日晚间,工信部一纸《网络安全漏洞管理规定 (征求意见稿)》(以下简称规定)很快引爆了安全圈……FreeBuf上一位作者及时发布了一篇针对该意见稿的解读文...

21640
来自专栏量子位

20项任务横扫BERT!CMU谷歌发布XLNet,NLP再迎屠榜时刻

去年10月,Google团队发布BERT模型横扫一切,在11种不同NLP测试中创出最佳成绩。现在,轮到BERT被碾压了。

9820

扫码关注云+社区

领取腾讯云代金券

年度创作总结 领取年终奖励