返回文章列表
玄貓(BlackCat)

雲端攻擊向量與資安防禦策略

隨著混合辦公模式興起,企業對雲端運算的依賴加深,雲端攻擊向量也成為新的資安挑戰。本文探討雲端環境下的資安風險,包括不安全的遠端連線、漏洞、憑證洩露、過度授權的特權帳戶等。同時,也強調零信任、身份中心安全和DevSecOps的重要性,並深入分析特權帳戶管理和雲端攻擊面的擴大,提供企業應對雲端資安威脅的策略。

資安 雲端運算
雲端安全 DevSecOps 零信任 IAM 特權帳戶 攻擊向量

雲端運算的普及為企業帶來便利的同時,也擴大了攻擊面,使資安風險更加複雜。遠端工作、多雲環境和舊系統的整合,都增加了資安管理的難度。企業不僅要面對外部威脅,還需應對內部威脅和供應鏈攻擊。此外,特權帳戶的管理也成為關鍵挑戰,因為過度授權或洩露的憑證可能導致嚴重後果。在這個「假設已經遭到入侵」的時代,企業必須重新思考資安策略,並採取更積極的防禦措施。

技術審閱者簡介

Derek Smith

Derek Smith 提供網路安全、長官力及專案管理相關主題的培訓服務。他教授 CISSP、Security+、CASP 和 CySA+ 等課程,同時也教授長官力相關課程。
Derek 是一名認證財務教育講師(Certified Financial Education Instructor℠),擁有財務素養認證(CFEI®),並且是認證個人財務顧問(CPFC)和財務教練。

序言與致謝

致謝

編輯總監
Mathew Miller,內容行銷與SEO總監

誠摯感謝以下人員:
Laura Bohnert,內容行銷經理
Greg Francendese,圖形設計師
Joshua Miller,客戶信任經理
Anna Forman,合規分析師
Justin Sparks,IT治理、風險與合規總監
Amy Feldman,合規分析師
John Titor,假CEO與時間旅行者
…在編輯本文過程中提供的技術知識、見解和技能。

特別感謝:
Darran Rolls,在序言中對雲端未來發展的寶貴意見。

序言(作者:Darran Rolls)

合作與背景

我與Morey Haber合作多年,我們的專業道路在多個領域有交集。作為各自身份管理公司的CTO,我們在客戶專案、市場活動和行業倡議上進行了合作。我們來自身份存取管理(IAM)領域的不同分支,但始終分享著對特權存取和安全控制等主題的共同熱情。在我於SailPoint任職期間,BeyondTrust是我們的合作夥伴,我認為Morey是一位很好的朋友。

我們也經歷了相似的職業轉變,進入了正式的CSO/CISO角色,負責產品和企業安全。這對我們來說是邏輯的職業發展,對公司也具有重要價值。我們曾分享過許多關於作為安全公司內部安全負責人的挑戰和機遇。

當前安全挑戰

每位CSO的工作都很艱難,但身處「安全鏈」中更是不同以往。正如最近的安全供應鏈漏洞所顯示的那樣,身為鏈中的一環,會帶來特定的關注和擔憂。《Under Attack》或許不是搖滾樂團Abba最著名的單曲,但這個標題卻很好地總結了當今CSO在日益複雜和相互依賴的安全供應鏈中的經歷。

Morey請我為這本文寫序,是因為我們之前曾成功合作過。在2019年,我們共同撰寫了本系列的第三本文《Identity Attack Vectors: Implementing an Effective Identity and Access Management Solution》。那本文既有趣,又在知識上有所收穫。我們的對話始終是靈感和動力的來源。

雲端攻擊向量

雲端看似遙遠,但實際上已經與本地IT基礎設施緊密相連。平均企業資料中心是本地「舊系統」、虛擬化伺服器和容器化複雜Web應用程式的混合體,所有這些都與分享雲基礎設施和雲交付的SaaS應用程式相連。就像Roald Dahl的《查理與巧克力工廠》中的祖父Joe和祖母Georgina一樣,雲端和傳統本地運算是親密的夥伴。

如今,所有系統都包含資料、特權和存取權,這些必須在其生命週期內得到保護和管理。可以說,「複雜性之網」現在跨越了雲端和企業。新的CI/CD管道、DevOps、微服務和API優先的經濟模式引入了指數級的複雜性。這種新的複雜現實充滿了身份、使用者帳戶、密碼、代理存取、金鑰、秘密、特權和細粒度的身份驗證和授權存取策略。

新的雲基礎設施權益模型令人難以理解和管理。它們不可避免地在IT的「血腦屏障」之間來回傳遞資料、存取權和特權。這種安全組態和相關的IAM工作,跨越雲端和本地,必須被記錄、跟蹤和管理,如果我們希望保持控制。

在本系列的最新一書中,作者們以IAM為中心,仔細考慮了人們、流程和技術,以緩解無數潛在問題。

圖表說明

@startuml
skinparam backgroundColor #FEFEFE
skinparam defaultTextAlignment center
skinparam rectangleBackgroundColor #F5F5F5
skinparam rectangleBorderColor #333333
skinparam arrowColor #333333

title 圖表說明

rectangle "整合" as node1
rectangle "服務" as node2
rectangle "包含" as node3
rectangle "依賴" as node4
rectangle "管理" as node5

node1 --> node2
node2 --> node3
node3 --> node4
node4 --> node5

@enduml

此圖示展示了本地系統與雲端基礎設施之間的整合關係,以及SaaS應用程式如何依賴資料、特權和存取權,並且這些元素都需要透過IAM策略進行管理。

詳細解說

  1. 本地系統與雲端基礎設施的整合:現代企業環境中,本地系統與雲端基礎設施不再是獨立的實體,而是透過各種介面和API緊密整合。
  2. SaaS應用程式的依賴性:SaaS應用程式通常依賴於底層的雲端基礎設施,並分享資料、特權和存取權。
  3. 資料、特權、存取權的管理:這些元素是安全管理的核心,需要透過IAM策略進行有效的控制和管理。
  4. IAM策略的重要性:實施有效的IAM策略對於保護企業資料和資源至關重要,可以減少潛在的安全風險。

雲端攻擊向量與DevSecOps的整合

隨著企業運算環境的不斷演變,雲端運算已成為現代IT架構的核心組成部分。《Cloud Attack Vectors》延續了資產、許可權和身份相關的技術內容,聚焦於雲端環境中的關鍵要素。這些要素存在於企業運算的各個層面,無論是在雲端內部還是外部,都扮演著至關重要的角色。正如我們所觀察到的,儘管技術不斷進步,但許多根本性的挑戰依然保持不變。這種一貫性將本地佈署與雲端環境連結起來,但同時也打破了傳統的最佳實踐方法,以應對多年來一直困擾我們的相同威脅。

DevOps與DevSecOps的實踐

如今,大多數開發組織在應用程式和軟體開發過程中遵循核心的DevOps原則和最佳實踐,特別是在為雲端建立應用程式時。在DevOps方法中,整體應用程式的開發和交付是迭代式的,根據「模組和依賴關係」進行,這些模組和依賴關係以頻繁的節奏(通常達到小時級別)組合在一起。在這樣一個複雜、動態和模組化的過程中尋找安全漏洞需要高度的關注。因此,安全自然成為任何DevOps過程或系統的核心原則之一。

在應用程式開發、測試和營運生命週期的每個部分,按照慣例,都負責理解和管理必要的安全措施,以確保最小化漏洞,同時最大化防護、檢測和緩解措施。DevSecOps在邏輯上成為統一和協調DevOps生命週期中所需各種安全工具的整體方法論。

DevSecOps的核心價值

任何一本中學級別的網路安全教科書都會參照「應用程式開發以安全開始和結束」這一格言。DevOps的人員、流程和技術旨在實作這一指令的統一。希望透過消除在動態、獨立但高度相互依賴的應用程式交付過程中不可避免地形成的「安全孤島」,能夠將安全納入同一個模型中。因此,DevSecOps現在在每一個意義上都承擔著責任。DevSecOps團隊選擇用於跟蹤和監控其使用的工具。DevSecOps工程師必須瞭解其「新堆積疊」和「現有遺留系統」中的資產、許可權、存取和身份的細微差別。

雲端中的DevSecOps

在雲端環境中,DevSecOps成為一個攻擊向量——應用程式開發生命週期的每個部分都準備好抵禦網路威脅。這引導我們考慮一些「真理」。這些永恆的真理告訴我們,儘管技術不斷進步,但許多根本性的挑戰依然保持不變。

永恆的真理

撰寫這本文的前言的最大好處之一是,我不需要深入研究整個主題,只需提供一個引子。我有幸能夠創造一個摘要。在我的30多年的IT職業生涯中,大部分時間都花在系統管理和安全交付上,我發現一個非常重要的事實,那就是實際上沒有什麼事情真正發生了太大的變化。當然,在實踐中,在工具和方法上,一切都在變化,但不知何故,它總是保持不變。

我在剛開始從事系統管理工作時,從「老一輩的大型主機專家」那裡學到的許多經驗至今仍然正確。當我經歷了客戶-伺服器架構、每個人都擁有桌面電腦(PC)、Web 2.0,以及現在的雲端和SaaS時,很多事情都發生了變化,但建立良好的身份和安全所需做的事情卻變化不大。

IT基礎元素的迴圈性質令人著迷。系統設計的分佈和重新集中化的重複迴圈已經多次發生。同質性和異質性之間的永恆平衡在多年來一次又一次地上演。遺憾的是,這種永恆的創新迴圈引入了複雜性,而這正是所有安全系統的最終敵人。

可見性是基本的控制措施

在我職業生涯的早期,有人告訴我,「永遠記住,你無法管理你看不到的東西。」這句話在我在Waveset、Sun Microsystems和SailPoint的工作經歷中一直保持正確。可見性是任何安全控制的基礎。一個廣泛、穩定和可靠的發現和清查過程因此成為任何資產、許可權、身份或雲端安全計劃的根本。IT安全領域的任何人員、流程或技術都應始終從資產管理開始。瞭解範圍,評估弱點,並規劃緩解措施。《Cloud Attack Vectors》遵循相同的原則,第6章重點介紹了幫助您從最薄弱的環節——人員——開始的工具和技術。

門後隱患:複雜系統的安全挑戰

在科幻小說迷的圈子裡,「Doors and Corners」這個詞會讓人聯想到《The Expanse》系列小說中,那位粗獷的老Belter警察「Miller」的鬼魂形象,他總是感嘆進入危險房間的最佳方式。這種比喻恰如其分地說明瞭安全弱點總是存在於複雜系統設計中被遺忘的角落,因此在被利用之前,它們一直是未被探索的攻擊向量。

在當今複雜的雲端交付系統中,漏洞往往透過一些簡單而被忽視或遺忘的事情被暴露和利用。事後取證分析往往會揭示,錯誤組態或未被追蹤的依賴關係是隱藏在黑暗角落中的罪魁禍首,隨時準備跳出來造成危害。

隨著我們不斷擴充套件雲端基礎和整合系統的範圍,我們不斷新增新的角落和門道,這些都需要被記錄、評估和保護。這個普遍的真理其實很簡單:瞭解這些門和角落的位置,並花時間(以及專案範圍)對它們的潛在漏洞進行「威脅建模」(即使不能完全緩解),這是雲端安全計劃中最主動和最基本的要素之一。

複雜性:安全的死敵

我強烈推薦收聽Steven Gibson的《Security Now》播客。Steve是一位資深的程式設計師、駭客和安全從業者,多年來一直是我訂閱列表中的常客。Steve有一個重複的梗,已經成為我在設計、交付和保護系統時的座右銘:Gibson總是說,「複雜性是安全的大敵」。這句話在佈署雲端和SaaS時尤其正確。記住,複雜性創造了漏洞潛伏的門和角落。複雜性在組成、組態和佈署中,是大多數攻擊向量的可能原因——無論是雲端還是其他形式。

真實案例與技術分析

以我最近審查的一家大型零售銀行的IAM模型為例。在他們的一個複雜系統中,我統計了五種不同的身份驗證形式,包括帳戶密碼、金鑰、令牌、範圍和屬性策略。這種複雜性不僅增加了安全風險,也提高了管理的難度。

@startuml
skinparam backgroundColor #FEFEFE
skinparam defaultTextAlignment center
skinparam rectangleBackgroundColor #F5F5F5
skinparam rectangleBorderColor #333333
skinparam arrowColor #333333

title 真實案例與技術分析

rectangle "帳戶密碼" as node1
rectangle "金鑰" as node2
rectangle "令牌" as node3
rectangle "範圍" as node4
rectangle "屬性策略" as node5
rectangle "角色" as node6
rectangle "群組" as node7
rectangle "許可權" as node8

node1 --> node2
node2 --> node3
node3 --> node4
node4 --> node5
node5 --> node6
node6 --> node7
node7 --> node8

@enduml

此圖示展示了一個複雜的身份驗證和授權流程,其中涉及多種驗證方式和授權策略。

內容解密:

  1. 多重身份驗證:圖中展示了多種身份驗證方式,包括帳戶密碼、金鑰和令牌,這些方式增加了系統的複雜性。
  2. 授權流程:經過身份驗證後,使用者會進入授權階段,這裡涉及範圍和屬性策略,用於決定使用者的存取許可權。
  3. 角色與群組管理:在存取控制階段,角色和群組被用來進一步細化使用者的許可權。
  4. 資源存取:最終,使用者根據其許可權存取特定的資源。

簡化與安全的取捨

雲端運算並非全是複雜性和風險。事實上,它也是一個獨特且強大的轉折點,讓我們在考慮轉型時重新審視、重新設計和重新實施系統。

許多雲端和SaaS供應商都在市場宣傳中強調簡化和統一。我完全贊同這種理念。當能夠以較低的成本、較高的簡化性和更好的安全性來實作相同的應用案例時,我總是樂於選擇「留在框內」,減少自定義,增加分享智慧。

技術最佳化建議

  1. 簡化身份驗證流程:盡量減少身份驗證方式,統一認證標準。
  2. 最佳化授權策略:簡化角色和群組管理,避免過度複雜的授權邏輯。
  3. 定期進行安全稽核:識別系統中的潛在漏洞和不必要的複雜性。

雲端攻擊向量:新常態下的資安挑戰

在後疫情時代,隨著混合辦公模式(hybrid workplace)的興起,企業對於雲端運算的依賴程度大幅增加。與此同時,資安威脅也隨之增加,雲端攻擊向量(cloud attack vectors)成為企業必須面對的新挑戰。

雲端運算的雙面刃

雲端運算提供了便利的遠端工作環境,但也引入了新的資安風險。就像天空中的雲朵可能帶來暴風雨一樣,雲端運算也可能成為攻擊者的目標。當企業不瞭解相關的攻擊向量和漏洞時,雲端運算就可能變成一個「網路噩夢」。

零信任和身份中心安全的重要性

零信任(zero trust)和身份中心安全(identity-centric security)將在未來的雲端資安對策中扮演重要角色。麥肯錫的研究報告指出,企業在疫情期間加速了數位轉型的步伐,將客戶和供應鏈互動的數位化提早了三到四年。與此同時,數位化產品的比例也提早了七年。

遠端工作的資安挑戰

遠端工作者經常使用不安全的家用或公共Wi-Fi網路,並使用個人裝置進行工作。這增加了資安風險,因為攻擊者可以輕易地找到漏洞並透過網際網路將惡意程式送到雲端或遠端資產。

雲端攻擊面的指數級增長

在數位轉型加速的同時,雲端攻擊面也呈指數級增長。企業不再只是使用單一雲端服務,而是使用多個雲端服務(PaaS、IaaS)和SaaS應用程式。這使得IT團隊難以管理和控制複雜的多雲環境中的資安。

內容解密:

  • 企業使用多雲策略增加了資安管理的複雜度。
  • 每個雲端服務都有其自身的分享責任模型和原生工具集。
  • 大多數企業仍在使用混合模型,包括本地基礎設施和舊式技術,這些技術難以使用現代最佳實踐來確保安全。

網路威脅形勢的惡化

網路威脅形勢也在惡化,資安控制和策略並未跟上雲端運算的發展步伐。資安暴露、漏洞和弱點正在指數級增加,這是近期資安事件和洩露事件數量驚人的主要原因。

網路保險的困境

企業越來越多地購買網路保險來保護自己免受網路攻擊的財務損失。然而,網路威脅和勒索軟體攻擊的步伐和範圍促使網路保險提供商大幅提高保費,並要求企業實施特定的資安措施。

內容解密:

  • FBI在2020年收到了創紀錄的791,790宗網路犯罪投訴,年同比增長69%。
  • 網路保險提供商正在提高保費,並要求企業實施特定的資安措施,以降低風險。

雲端安全威脅與防禦策略

隨著雲端運算的普及,企業面臨著日益嚴峻的安全挑戰。網路保險提供商對客戶的安全成熟度提出了更高的要求,甚至對高風險組織取消承保。部分網路保險業者完全離開該行業。

雲端安全挑戰的新時代

在多雲環境和隨處工作(WFA)的時代,我們進入了一個「假設已經遭到入侵」和「這將發生在我們身上」的新時代。很明顯,我們需要重新思考安全問題,並為其提供與接受相符的保障。

威脅行為者的攻擊手段

威脅行為者不再需要高度的技術能力來進行惡意活動。他們可以利用強大的免費工具,如 Shodan,來發現未受保護的雲端資產和相關帳戶。控制平面負責管理整個雲端基礎設施,但往往沒有得到適當的保護,或者暴露在網際網路上,使其容易受到暴力破解攻擊和其他新興漏洞的攻擊。缺乏適當的控制也導致了錯誤組態,可能會導致服務中斷或將大量資料暴露給任何尋找它們的人。

雲端攻擊向量

根據 McAfee 的雲端採用和風險報告,2020 年初,外部行為者對雲端服務發起的威脅活動激增了 630%。McAfee 還報告說,平均每個組織使用了 1,935 個雲端服務,這有助於解釋擴大的風險面問題。

在雲端中,以下攻擊向量構成了幾乎所有攻擊的基礎:

  • 不安全的遠端存取(RDP、VPN、Secure Shell [SSH]、FTP、Telnet 等)
  • 未修補的漏洞(包括影響幾乎所有人的 Log4J 等漏洞)
  • 被竊取、預設或被洩露的用於身份驗證的憑據和秘密
  • 不當管理、過度授權或被洩露的特權帳戶和不安全的特權憑據
  • 資源、資產或應用程式未正確強化
  • 暴露的資料(加密不足或儲存不當)
  • 對負責雲端資源的資源進行社交工程
  • 惡意軟體滲透導致勒索軟體或其他攻擊向量(檔案、無檔案或利用原生作業系統和命令的「活在土地上」的攻擊)
  • 內部威脅、流氓內部人員、內部執行或組態錯誤,或成為第三方威脅行為者的不知情網路馬前卒
  • 供應鏈攻擊作為進入組織的橋頭堡,根據他們對第三方解決方案的使用

特權帳戶的安全挑戰

BeyondTrust 與 Forrester Consulting 的研究發現,組織普遍預測未來兩年內,特權帳戶及其相關身份的洩露將是未來違規的主要原因。數位化轉型至雲端是這一增長的原因。如圖 1-1 所示,調查結果顯示了特權帳戶的預期增長。

圖 1-1:BeyondTrust 和 Forrester Consulting 的特權帳戶調查結果

這揭示了當前雲端攻擊向量的模式,也表明了技術界認為下一個最大的失敗將會在哪裡。雖然我們可能能夠保護雲端技術並使其更能抵禦網路攻擊,但與人類的互動以及機器之間的互動將繼續成為可預見的未來的主要攻擊向量。

網路犯罪的商業模式

根據 Deloitte 的報告,一些常見的網路犯罪業務每月營運成本低至 34 美元,但在同樣時間內可獲得高達 25,000 美元的回報。簡而言之,網路犯罪具有低進入門檻,加上潛在的高投資回報率(ROI),而且通常是免稅的。根據網路犯罪組織的所在地以及他們攻擊的目標,有很大的可能性避免政府干預。

2021 年,平均勒索軟體贖金飆升至 541,010 美元,而 2019 年為 115,000 美元。根據 Palo Alto Networks 的研究,我們還看到許多勒索軟體受害者及其網路保險公司支付了數百萬美元的贖金,包括 Colonial Pipeline 支付的 440 萬美元(其中部分已被美國政府追回)和肉類別供應商 JBS 支付的 1100 萬美元。

特權存取的管理

身份定義安全聯盟(IDSA)的報告發現,定期審查特權存取是被參照最多(50% 的受訪者)用於防止或緩解他們所經歷的違規的安全控制措施。通常,雲端中的過多存取許可權是預設提供的,或者是開放式的(長期特權),而它應該只在滿足某些上下文引數時才被提供,並且在任務或可接受存取期限完成後被復原。