网络攻击方法正在被容器与无服务器计算改变鹏越·行业动态

技术和生活一样，最不缺的就是变化。需要黑进企业数据中心的数据库才能赚钱的时候，攻击者学会了绕过防火墙和网络入侵防御系统。随着网络边界的消失，随着数据逐渐迁移到SaaS，聪明的黑客已经转向了终端入侵和勒索软件。而现在，基于云的应用迅速发展，攻击者又瞄上了Web应用、微服务和API中的大量数据。

可更新基础设施改变了安全生态

老式简单而静态的应用程序正快速变成历史文物一样的东西。曾经，典型应用程序的所有技术栈基本上都得包含在数据中心里。如今，更多的是勾选基于云的基础设施即服务(IaaS)或平台即服务(PaaS)的相关功能来构成企业IT运营所需。利用敏捷方法，开发运维团队每天能推送一二十次应用代码更新，远远超出以往每年或每两年才升级一次的频率。传统应用的漫长生命周期曾令系统级攻击的有效期非常持久，但无服务器架构和容器技术如今已减少了系统驻留时间，缩小了网络攻击界面。

云这种现代基础设施的盛行对安全产生了重要影响。虽然很多传统Web风格的攻击依然可以攻破满是漏洞的代码，但应用程序在构建、部署和开发方式上的转变，给攻击者开辟出很多染指敏感或有价值数据的新机会。

不过，利用可更新系统(或者说暂时性系统)的新式开发和部署模式也给安全团队带来了新的防护方法。

新防护方法的思路很简单：每隔几分钟或几小时就轮转一下数据中心凭证;每隔几小时就将数据中心里的服务器和应用都恢复到已知安全状态;在补丁推出后的几小时里就修复好所有操作系统和应用。

安全团队遵循上述防护方法就能有效减小暴露面，缩短暴露在攻击之下的时间窗口，让黑客更难以攻击构建部署在现代技术栈中的系统。这种方法可以让企业跑在攻击者前面，但却谈不上是牢不可破的防线。

攻击持续性和自动化

攻击者有专门的套路针对传统的固化基础设施。首先渗透进企业环境，然后在其中横向移动，搜索高价值目标。而转向容器和无服务器计算之后，基础设施可以快速全盘刷新，整体替换一遍也就是几分钟的事，攻击者在主机上驻留越来越难了。于是，他们将目光放在了攻击App上，也就将应用安全推上了现代防护要求的高地。

随着攻击持续性概念的式微，黑客倾向于用自动化技术在遭遇系统重启时让自己的攻击在几秒钟内从头再来。当长期驻留不再可能，攻击步骤自动化就成了关键，每次基础设施刷新，自动化都可以将攻击者瞬间带回最深入的渗透点。

不过，这也给安全团队提供了新的关键攻击指标(IoC)。

安全团队必须重视应用技术和攻击方法的转变。黑客靠创新取胜，适应不及的系统就是他们最容易得手的目标。根据新兴威胁态势调整或采纳安全模型，才可以确保下一代应用环境的安全状态不弱于边界安全时代。

（来源：红黑联盟、安全牛，作者：nana）