首页 > 站长资讯 > 正文

云计算环境攻击的八种方式

来源:芭蒂N网 发布时间:2020-07-31 05:36:56

随着企业努力保护他们的云计算环境,他们需要知道哪种类型的攻击最有可能发生。RedLock公司云计算安全副总裁Matthew Chiodi表示:“云计算已存在多年,但云计算安全性在过去一年左右才成为正式规范。”随着云计算的发展,攻击者正在寻找一些新的、先进的方式来侵入企业环境。

云计算环境攻击的八种方式

Chiodi说,公共云安全事件通常源于对共享责任模式的不了解,这种模式将管理云计算用户和提供商如何承担安全负担。“我们谈论的许多威胁都是组织不了解公共云威胁模型的结果。”他解释道。客户很难在公共云中使用安全工具,而传统的企业工具无法在云计算环境的动态特性中运行。

随着企业以更快的速度将更多代码投入生产,CA Veracode公司安全研究副总裁ChrisEng强调了将漏洞避免直接建立在DevOps管道中的重要性。ShieldX公司的首席技术官Manuel Nedbal表示,如今的云计算正面临着几种类型的威胁。“我们看到大多数攻击都是编排或跨云攻击,或数据中心攻击,”他说,这些事件的整体上升归因于云采用率的上升。

在这里,两位云安全专家指出了不同类型的网络攻击,并解释了它们如何影响云环境。

(1)跨云攻击

ShieldX的Nedbal说,网络攻击者通常使用公共云环境渗透到本地数据中心。当客户将其中一个工作负载移动到公共云环境中,并使用Direct Connect(或任何其他VPN隧道)在公共云之间移动到私有云时,就会出现这些类型的威胁。然后,在安全工具的雷达下,攻击者破坏其中一个环境可以横向移动。

“第二阶段更难以发现,可以从公共云迁移到私有数据中心,”Nedbal说。在攻击者扫描环境后,他可以使用传统的漏洞和攻击来获得公共云的优势。他继续说,这种威胁可能会在公共云中被捕获,但防御在那里比在本地环境中更弱。攻击者在公共云和私有云之间移动方面具有优势,并且可以利用他的位置在目标网络中持久存在。“网络杀伤链变成了网络杀伤循环,”Nedbal解释道,“从侦察开始,开始传播恶意软件,开始横向移动,然后再次启动侦察。”

(2)编排攻击

Nedbal表示,云计算协调用于配置服务器,获取和分配存储容量,处理网络,创建虚拟机以及管理身份以及云中的其他任务。编排攻击旨在窃取可以重用的帐户或加密密钥,以便为云计算资源分配权限。例如,攻击者可以使用被盗帐户创建新虚拟机或访问云存储,

他指出,他们取得多大成功取决于他们窃取的账户的特权。但是,一旦编排帐户被破坏,攻击者就可以使用他们的访问权限为自己创建备份帐户,然后使用这些帐户访问其他资源。Nedbal继续说,编排攻击针对的是云计算API层,因此无法使用标准的网络流量检测工具进行检测。安全团队希望观察基于网络的行为和帐户行为。

(3)加密劫持

RedLock公司Chiodi说,2018年人们面临的威胁仍然是云计算的主要问题。“这仍然非常非常普遍,”他解释道,“如果人们关注这个消息,就会看到加密估值的起起落落,但实际上,窃取计算能力的网络犯罪分子实际上比偷窃实际数据更有利可图。”

Chiodi继续说,黑客是专门针对企业公共云环境的加密器进行攻击,因为它们是弹性计算环境。许多组织还没有成熟的云计算安全计划,使其云端容易受到攻击。他指出了两个同时发生的因素:云计算安全平台的不成熟以及比特币和以太网等加密货币的日益普及,这推动了云中加密劫持的兴起。“企业将全面受到影响,”他指出。云计算提供商本身正在尝试采取更多措施来帮助其平台用户。“黑客想要做的最后一件事就是让人们在脑海中等同于公共云是不安全的。”“公司全面受到影响,”他指出。云提供商本身正在尝试采取更多措施来帮助其平台用户。

Chiodi引用了企业可以采取的一些保护措施:定期轮换访问密钥,限制出站流量,并为Web浏览器安装加密拦截器。

(4)跨租户攻击

ShieldX公司的Nedbal表示,如果企业是云计算提供商或为某些租户提供计算,其租户可以请求配置工作负载。租户可以交换数据和共享服务,从现有资源生成流量,这在拥有私有数据中心的组织中很常见。不幸的是,这种流量留下了安全漏洞。由于许多租户使用相同的云平台,因此无论资源位于何处,周边安全性都会逐渐消失。这会导致IT组织及其资产增长时出现问题,但外围或安全设备不会随之增长。如果一名员工的业务遭到攻击,攻击者可以使用共享服务渗透财务、人力资源和其他部门。

租户可以使用门户来配置虚拟私有云;但是,这些网络中的流量通常不是通过传统的安全控制来发送的。“企业必须扩展私人数据中心或私有云,为租户提供服务。”他补充道。随着私有数据中心的发展以及企业依赖公共云服务,这将继续成为一个问题。

(5)跨数据中心攻击

据ShieldX的Nedbal称,一旦进入数据中心,攻击者通常不会面临获取敏感资源的界限。使用交付点(PoD)或协同工作以提供服务的模块来管理数据中心。随着数据中心的扩展,连接这些模块并添加更多内容是很常见的。应通过多层系统重定向流量来保护PoD,但许多企业忽略了这一点,开辟了潜在的攻击向量。如果PoD的一部分受到攻击,攻击者可以从一个数据中心扩散到另一个数据中心。

(6)即时元数据API的误用

RedDock公司Chiodi说,即时元数据API是所有云计算提供商提供的特定功能。没有错误或漏洞利用,但鉴于它不存在于本地数据中心,它通常不能得到妥善保护或监控。攻击者可能以两种可能的方式利用它。

他解释说,首先是易受攻击的反向代理。反向代理在公共云环境中很常见,并且可以通过某人可以设置主机来调用即时元数据API并获取凭据的方式进行配置。如果有人在云环境中启动代理,则可以通过以下方式对其进行配置:如果其中一个云计算实例通过该反向代理访问全球互联网,则可以存储这些凭据。“如果某人没有正确设置该特定实例的访问凭证的权限,他们可以做任何权限授予该实例的任何内容,”他说。

第二种方式是通过恶意Docker镜像。Chiodi解释说,开发人员通过DockerHub共享Docker镜像,但易用性导致了公开信任可能利用恶意命令来提取访问密钥的图像的行为。网络攻击可能会从受感染的容器扩展到攻击者访问公共云帐户。“这是一个很棒的功能,但你必须知道如何处理它,”他说。Chiodi建议监控云中的用户行为,并在颁发凭证时遵循最小权限原则。

(7)无服务器攻击

ShieldX公司Nedbal称这是云计算攻击的“下一级”。无服务器或功能即服务(FaaS)架构相对较新且流行,因为用户无需部署、维护和扩展自己的服务器。虽然它使管理变得简单,但无服务器架构的棘手部分是实施安全控制的挑战。

FaaS服务通常具有可写的临时文件系统,因此攻击者可以在临时文件系统中使用其攻击工具。FaaS功能可以访问具有敏感数据的公司数据库。因此,攻击者可以使用他们的攻击工具泄漏数据并泄露数据。使用错误的权限,FaaS功能可以帮助他们创建新的虚拟机,访问云存储或创建新帐户或租户。“传统的安全控制措施真的很少,因为无服务器甚至可以从安全管理员手中夺走虚拟网络,”Nedbal说,“无服务器攻击非常难以应对传统的安全控制,而.对于无服务器攻击,企业需要一种在流量功能即服务之前重定向流量的方法。”

(8)跨工作负载攻击

ShieldX公司Nedbal说,这些类型的攻击发生在同一个租户中,没有什么可以阻止工作负载在同一租户或虚拟网络中相互通信,因此对虚拟桌面的攻击可能会扩散到虚拟Web服务器或数据库。企业通常使用不受信任的虚拟机来浏览和下载在线内容。如果受到感染,并且它与具有敏感数据的其他工作负载在同一租户上运行,那么这些可能会受到影响。

为了降低违规风险,具有不同安全要求的工作负载应该位于不同的时区。Nedbal在一篇博客文章中表示,“应该使用一系列丰富的安全控制措施来检查遍布这些区域的流量,例如就像南北周边防御系统所预期的安全控制措施。”然而,他补充说,在工作负载之间添加安全控制很困难。(来源360机房)

据外媒报道,三星电子年终组织结构调整将会在维持目前三个部门(设备解决方案、IT和移动通信、消费电子产品)框架不变的同时,把重点放在人工智能(AI)、汽车零部件和5G网络三项新业务中。每个部门都将拥有新的团队,这些团队将加强对三大新业务的关注。

三星重点业务一:人工智能AI

三星一位高管表示:“由于智能手机和消费电子产品这两大部门的营业利润率不断下滑,因此公司正在考虑将一些富余的人力资源转移至研发中心,其中消费电子事业部的部分软件工作人员将被转移到三星人工智能(AI)中心。”

三星重点业务二:汽车零部件

进入电动化、智能化时代的汽车产业,汽车制造商与IT科技公司的界限开始变得越来越模糊。在过去的25年里,三星积累了大量的汽车专利。曾经有机构搜索了三星、谷歌、苹果、特斯拉和Uber在1990年至2014年之间提交的汽车相关专利。数据显示,在提交的4761项专利中,三星占到了60%以上,这些专利分布在动力电池、燃料电池、汽车电子等多个领域。

三星此次业务重组,将会把一些软件工程师将从三星电子的消费电子产品部门转移到半导体事业部的系统LSI业务部门,这是这家芯片制造商新规划的汽车零部件业务计划的一部分。另外在半导体事业部,三星将加强系统LSI业务(System LSI Business)下的汽车部门。

三星电子认为汽车行业会是其继半导体,智能手机之后的新增长点。它的期望值是到2025年把汽车电子业务做到年营收200亿美元,目前接近完成200亿美元目标的50%。

三星重点业务三:5G车联网

三星在5G车联网上也有布局。2018年初CES上,三星就发布了被称为“业界首个5G汽车解决方案”的新平台(TCU远程控制系统),由三星与哈曼联手开发。至此,三星电子已经覆盖了从自动驾驶、智能座舱到车联网的未来汽车电子的三大细分市场。