隨著雲端技術的普及,企業的資產和資料越來越多地遷移到雲端環境中,然而雲端環境也面臨著日益嚴峻的安全威脅。從特權帳戶的管理到各種攻擊向量的分析,企業需要建立一套全面的安全防禦策略,以保護其雲端資產和資料的安全。本文將探討雲端環境中的資產管理、身份驗證標準、常見攻擊向量以及如何利用 MITRE ATT&CK 框架來提升防禦能力,並強調最小許可權原則和弱點管理的重要性。透過瞭解這些關鍵要素,企業可以更好地規劃和實施雲端安全策略,降低安全風險,確保業務的持續營運。
資產管理是網路安全最佳實踐的基礎,無論技術是在本地端、雲端或混合環境中運作,瞭解和記錄所有資產至關重要。畢竟,如果不知道某個資產的存在並需要保護,就無法針對威脅制定足夠的安全策略。在雲端,即使不是自己的電腦或資源,追蹤和分類別資產也至關重要,這有助於確保資產不會因身份管理攻擊、資料治理問題和可利用漏洞的持續存在而成為風險。
保護特權帳戶
特權帳戶是攻擊鏈中的關鍵部分。根據Forrester的報告,這些帳戶及其憑證至少涉及80%的資料洩漏事件。保護特權使用者帳戶和機器帳戶(非人類帳戶)是每個有安全意識的組織的首要任務。它們對於滿足許多法規要求和實作零信任(稍後將討論作為零信任共同辦公環境策略的一部分)也至關重要。特權帳戶存取可以使威脅行為者取得敏感資訊、更改系統、管理資源,甚至覆寫安全控制和抹去他們的行為痕跡,具體取決於所獲得的特權型別。
身份驗證與授權標準
在探討資產管理之前,瞭解幾個關鍵的身份驗證和授權標準非常重要。
SAML(Security Assertion Markup Language)
SAML是一種開放標準,用於在資源之間交換身份驗證和授權資料,通常在身份提供者和服務提供者之間。SAML是一種根據XML的安全斷言標記語言,能夠實作單點登入(SSO)等身份驗證技術,從而降低多個憑證被儲存或記憶的風險。
OpenID
OpenID允許您使用現有的帳戶登入多個網站,而無需為每個Web應用程式建立新的密碼。OpenID在SAML的使用案例上進行了概念上的擴充套件,但它在身份驗證請求中增加了屬性,可用於其他流程。使用者可以指定與OpenID相關聯的資訊,以便與存取的網站分享。
OAuth
OAuth是一種開放標準,用於存取委託。它通常用作網際網路上的身份向網站或應用程式授予存取其他網站上資訊的一種方式。其目的是實作身份資訊分享,而無需分享或洩露身份、秘密或密碼。
FIDO(Fast ID Online)
FIDO是一組與技術無關的強身份驗證安全規範。它由FIDO聯盟開發,該聯盟是一個非營利組織,在客戶端和協定層面提供標準化的身份驗證。FIDO規範包括多因素身份驗證(MFA)和公鑰密碼學支援。與傳統的密碼資料函式庫不同,FIDO將個人可識別資訊(PII),例如生物識別身份驗證資料,儲存在消費者的裝置本地,以保護它,通常使用高階儲存技術,如TPM(可信平台模組)。
資產管理的挑戰與策略
隨著企業變得更加複雜和分散,採用雲端技術,以及更多使用者在家工作,特權帳戶的數量和多樣性正在指數級擴張。每個雲端資產在其生命週期中至少需要一個特權帳戶。許多這些特權帳戶正在不受監視、管理和監測的情況下增殖,為威脅行為者提供了進入環境的危險後門。資產管理是控制這種風險的關鍵起點。
資產發現與清查
許多組織依賴資產發現來執行最基本的資產清查。這種技術理想地識別雲端中的每個資產,無論是活躍還是休眠狀態,並提供有關相關服務、帳戶、應用程式(軟體)、組態、作業系統等的詳細資訊。這些資訊然後幫助組織根據敏感性、資料、所有權、地理位置和潛在攻擊向量對資產和帳戶進行分類別。
特權帳戶管理在雲端環境中的重要性
在雲端環境中,特權帳戶的管理是企業資安策略中的關鍵一環。特權帳戶是指具有高度存取許可權的帳戶,例如管理員帳戶、服務帳戶等。這些帳戶如果被駭客取得,將可能導致嚴重的資安事件。因此,如何有效地管理和保護特權帳戶,已經成為企業在雲端環境中必須面對的重要課題。
發現與清點特權帳戶
要有效地管理特權帳戶,首先必須進行全面的發現和清點。這包括識別所有與資產相關的帳戶,無論是人為還是非人為(機器)帳戶。企業可以透過以下步驟來實作這一點:
- 進行資產發現和帳戶清點:利用自動化工具來發現和清點所有與資產相關的帳戶。
- 識別敏感資產和核心資產:找出儲存或處理個人可識別資訊(PII)、商業秘密、財務資訊等的資產。
- 分類別帳戶:根據帳戶的型別(本地或目錄式)和使用方式(互動式或機器式)進行分類別。
- 評估帳戶許可權:確定每個帳戶所擁有的許可權,並找出分享帳戶。
- 評定帳戶重要性:根據資產清單和業務影響評估每個帳戶的重要性。
重點特權帳戶
在眾多的特權帳戶中,有些型別的帳戶因為其高度的敏感性和風險而需要特別關注:
- 網域管理員帳戶:這些帳戶擁有對整個網域的控制權,是駭客的最愛目標。企業應盡量減少這類別帳戶的數量,並將其納入特權存取管理(PAM)方案中。
- 非人為自動化帳戶:這類別帳戶用於應用程式、作業系統、資料函式庫等之間的互動。如果被駭客取得,可能導致橫向移動和特權擴張。企業應識別這類別帳戶並將其納入PAM方案。
- 管理解決方案帳戶:用於管理、監控、組態和自動化雲端環境的技術方案所使用的帳戶。企業應盡量減少分享帳戶的使用,並將這類別帳戶納入PAM方案。
- 服務帳戶:這類別帳戶用於執行服務和程式,可能被濫用或誤用以危害作業系統或應用程式。企業應識別這類別帳戶並將其納入PAM方案。
- 雲端帳戶:在雲端環境中,廠商特定的IAM帳戶被用於管理例項、執行時和資源。企業應清點這類別帳戶並將其納入PAM方案,以管理雲端帳戶的許可權和風險。
實施特權存取管理(PAM)
要有效地管理特權帳戶,企業可以採用特權存取管理(PAM)解決方案。PAM解決方案可以提供以下功能:
- 安全儲存、輪換和檢索特權憑證
- 移除管理員許可權
- 安全的工作階段存取
- 管理用於自動化的秘密
透過實施PAM解決方案,企業可以降低特權帳戶被駭客取得的風險,從而保護其雲端環境中的資產和資料。
PAM實作步驟解密:
- 選擇合適的PAM解決方案:根據企業的需求和雲端環境的特性選擇適合的PAM解決方案。
- 整合PAM與現有系統:將PAM解決方案與現有的身份識別和存取管理(IAM)系統、資安資訊和事件管理(SIEM)系統等進行整合。
- 組態PAM策略:根據企業的資安政策和法規要求組態PAM策略,包括特權憑證的管理、工作階段監控等。
- 培訓人員:對IT人員和管理人員進行PAM解決方案的使用和管理的培訓。
雲端攻擊向量:瞭解與防禦
在建立安全的雲端環境時,瞭解潛在的威脅是首要步驟。攻擊向量決定了您需要優先處理的防禦領域。面對廣泛的威脅,分析癱瘓很容易發生,因此參考現有的資安框架是明智的做法。
攻擊向量的型別
如同 OSI 模型將網路實作分為七層,雲端環境也自成一層攻擊向量層。OSI 模型的七層分別為實體層、資料鏈結層、網路層、傳輸層、會話層、表示層和應用層,而雲端環境則是附加在這些層之上的額外風險層。
重點攻擊向量
特殊帳戶(Specialty Accounts):在端點上建立的特殊帳戶,如重灌、客服等用途的帳戶,往往具有本地管理員許可權,且經常缺乏獨特密碼,或在相似裝置間共用密碼。
- 風險:成為攻擊者進入系統的合法後門。
- 防禦措施:使用 PAM(特權帳戶管理)代理程式來管理和監控這些帳戶的存取。
嵌入式憑證的帳戶(Accounts with Embedded Credentials):開發人員、系統管理員或應用程式可能會將憑證嵌入指令碼、組態檔案或編譯程式碼中。
- 風險:這是一種公認的高安全風險,因為這些憑證可能未被妥善管理。
- 防禦措施:發現並納入這些憑證進行管理,可能需要額外的自動化工具來替換或重新編譯程式碼。
管理與防禦策略
- 持續發現與管理:採用自動化的發現流程來識別各類別帳戶,並根據風險等級進行分類別和優先排序。
- 特權帳戶管理:對於特權帳戶,應實施持續的監控和管理。
- 安全最佳實踐:遵循最佳實踐,如定期更新密碼、避免共用密碼等。
OSI模型與雲端攻擊向量分析
OSI模型簡介
開放系統互連(OSI)模型是一個由國際標準化組織(ISO)制定的概念模型,用於規範不同電腦系統之間的通訊。OSI模型將通訊過程分為七個層次,每一層都有特定的功能和安全風險。
1. 物理層(Physical Layer)
物理層是OSI模型的最底層,負責在網路上傳輸原始的、未結構化的資料位元。這個層次定義了電氣或光學特性,例如電壓、針腳佈局、電纜、遮蔽、硬體以及無線電頻率等。物理層的裝置包括網路集線器、電纜、中繼器、網路介面卡或資料機。這個層次容易受到竊聽攻擊,特別是在無線網路環境中。
內容解密:
物理層的安全風險主要來自於無線網路的暴露性。攻擊者可以輕易地擷取未經加密的資料,因此在雲端環境中,無線網路的安全性至關重要。
2. 資料鏈路層(Data Link Layer)
資料鏈路層負責在直接連線的裝置之間進行節點對節點的資料傳輸。資料被封裝成幀進行傳輸。這個層次還會糾正物理層可能發生的錯誤。資料鏈路層規範包含兩個元件:媒體存取控制(MAC)和邏輯鏈路控制(LLC)。MAC提供網路上裝置傳輸的流量控制和多路復用,而LLC則提供物理媒體上的流量和錯誤控制,並識別線路協定。這個層次的主要攻擊向量是欺騙攻擊。
內容解密:
資料鏈路層的欺騙攻擊可以透過偽造MAC地址來實作,攻擊者可以冒充合法裝置進行惡意活動。在雲端環境中,這種攻擊的風險較高,因為網路連線往往依賴不安全的Wi-Fi。
3. 網路層(Network Layer)
網路層負責從資料鏈路層接收幀,並根據幀中的地址將其轉發到預期的目的地。這個層次使用邏輯地址(如IP)來路由來源和目的地的流量。網路路由器通常與這個層次相關聯,用於執行路由功能。在雲端環境中,幾乎所有通訊都透過網際網路進行,因此容易受到中間人攻擊。
內容解密:
網路層的中間人攻擊可以透過擷取網路流量來實作,攻擊者可以在會話中間插入自己,以竊取或篡改資料。在雲端環境中,這種攻擊的風險較高,因為網路連線往往依賴不安全的Wi-Fi。
4. 傳輸層(Transport Layer)
傳輸層負責管理資料包的傳遞和內容的錯誤檢查。它調節資料包的大小、順序,並最終實作裝置之間的資料傳輸。傳輸控制協定(TCP)是最常見的傳輸層協定,容易受到拒絕服務(DoS)攻擊。
內容解密:
傳輸層的DoS攻擊可以透過向目標裝置傳送大量的請求,使其無法處理正常的請求,從而實作攻擊。在雲端環境中,這種攻擊的風險較高,因為攻擊者可以輕易地利用網際網路進行大規模的攻擊。
5. 會話層(Session Layer)
會話層控制裝置之間的對話。它建立、管理並終止裝置之間的會話或連線。會話層服務還包括身份驗證、重新連線和狀態管理。這個層次的主要攻擊向量是會話劫持攻擊。
內容解密:
會話層的會話劫持攻擊可以透過竊取或偽造會話ID來實作,攻擊者可以冒充合法使用者進行惡意活動。在雲端環境中,這種攻擊的風險較高,因為網路連線往往依賴不安全的Wi-Fi。
6. 表示層(Presentation Layer)
表示層負責根據應用層接受的協定、設計和內容格式化和轉換資料。這個層次對於雲端服務至關重要,因為它還處理應用層所需的加密和解密。表示層也是終端使用者的最大風險表面,容易受到網路釣魚攻擊。
內容解密:
表示層的網路釣魚攻擊可以透過偽造合法網站或電子郵件來實作,攻擊者可以誘騙使用者揭露敏感資訊。在雲端環境中,這種攻擊的風險較高,因為使用者往往透過網際網路存取雲端服務。
7. 應用層(Application Layer)
應用層是終端使用者和應用程式直接互動的層次。它啟用終端使用者應用程式,如網頁瀏覽器或行動應用程式。在這個層次,漏洞和利用是雲端攻擊向量的主要來源,也是大多數新聞報導的安全漏洞的原因。
內容解密:
應用層的安全風險主要來自於軟體漏洞和利用,攻擊者可以利用這些漏洞進行惡意活動。在雲端環境中,這種攻擊的風險較高,因為雲端服務往往根據網際網路。
雲端與本地佈署環境的安全性比較
在雲端環境中,OSI模型的各個層次都面臨著不同的安全風險。然而,與本地佈署環境相比,雲端環境的安全風險在某些層次上更高。例如,在物理層,本地佈署環境由於有實體安全措施(如鎖門和線纜室),因此更難被攻破。然而,在應用層,雲端環境由於其暴露在網際網路上,因此更容易受到攻擊。
表6-1:OSI模型與攻擊向量比較
| OSI層次 | 攻擊向量 | 本地佈署 | 網際網路/雲端 |
|---|---|---|---|
| 1. 物理層 | 竊聽 | 困難 | 不一定 |
| 2. 資料鏈路層 | 欺騙 | 困難 | 中等 |
| 3. 網路層 | 中間人 | 困難 | 中等 |
| 4. 傳輸層 | 偵察/DoS | 中等 | 中等(視目標而定) |
| 5. 會話層 | 劫持 | 中等 | 中等 |
| 6. 表示層 | 鋼魚網路釣魚 | 簡單 | 簡單 |
| 7. 應用層 | 利用 | 中等 | 簡單 |
| 8. 人為因素(非官方,但相關) | 社交工程 | 簡單 | 簡單 |
此圖示說明瞭OSI模型的各個層次與其對應的攻擊向量,以及在本地佈署和雲端環境中的安全性比較。
雲端攻擊向量的深度分析與防禦策略
雲端運算環境中的攻擊向量日益複雜,特別是在遠端工作模式成為常態的今天,外部漏洞的利用與內部安全防護之間的差距日益擴大。本文將探討雲端攻擊向量的特性、身份驗證的重要性,以及如何利用MITRE ATT&CK框架來提升防禦能力。
雲端攻擊向量的特性
外部漏洞通常會被優先修補,以防止入侵。這些漏洞在內部網路中可能不會被立即修補,這使得威脅行為者更傾向於從外部尋找可利用的漏洞。因此,雲端環境中的安全防護需要特別關注外部攻擊向量。
身份驗證的重要性
雲端攻擊向量往往與身份驗證有關。身份管理不善會導致風險增加,不僅是因為漏洞和秘密洩露,還可能涉及惡意身份的使用。因此,健全的身份管理、存取管理和策略管理對於雲端安全至關重要。
圖示:身份驗證流程
此圖示說明瞭身份驗證的流程
- 拒絕評估:採用最小許可權和零信任模型,首先進行拒絕評估。
- 組織策略:檢查是否存在允許身份存取的組織策略。
- 資源策略:驗證資源是否允許存取。
- 邊界/屬性策略:根據屬性(如地理位置、時間、日期等)決定是否允許存取。
- 會話策略:根據之前的決定和屬性評估會話是否允許存取。
- 身份策略:最終確認身份是否具有存取許可權。
MITRE ATT&CK框架
MITRE ATT&CK框架是一個知識函式庫,記錄了威脅行為者使用的攻擊方法和漏洞。它最初於2013年成立,旨在統一描述駭客使用的戰術、技術和手段。該框架自2015年公開發布以來,已擴充套件到涵蓋多種作業系統和平台,包括雲端環境。
圖示:MITRE ATT&CK框架
@startuml
skinparam backgroundColor #FEFEFE
skinparam componentStyle rectangle
title 雲端安全防禦策略與攻擊向量分析:資產管理與雲端安全
package "安全架構" {
package "網路安全" {
component [防火牆] as firewall
component [WAF] as waf
component [DDoS 防護] as ddos
}
package "身份認證" {
component [OAuth 2.0] as oauth
component [JWT Token] as jwt
component [MFA] as mfa
}
package "資料安全" {
component [加密傳輸 TLS] as tls
component [資料加密] as encrypt
component [金鑰管理] as kms
}
package "監控審計" {
component [日誌收集] as log
component [威脅偵測] as threat
component [合規審計] as audit
}
}
firewall --> waf : 過濾流量
waf --> oauth : 驗證身份
oauth --> jwt : 簽發憑證
jwt --> tls : 加密傳輸
tls --> encrypt : 資料保護
log --> threat : 異常分析
threat --> audit : 報告生成
@enduml
此圖示呈現了MITRE ATT&CK框架的主要階段
該框架提供了一個統一的語言來描述攻擊行為,有助於防禦團隊評估進度和改善防禦措施。
雲端攻擊向量分析與防禦策略
MITRE ATT&CK 框架與雲端安全威脅
MITRE ATT&CK 框架是一個全面性的資安威脅知識函式庫,目前包含超過200個頂級技術,涵蓋14個主要領域,包括偵察、執行、持續性、憑證存取、橫向移動、資料外洩和影響等。該框架還包含子技術,使總技術數量達到約600個。透過線上篩選功能,可以針對特定目標(如Windows、macOS、Linux、雲端、網路和容器)進行檢視。若專注於雲端攻擊向量(包括Microsoft 365、Azure AD、Google Workspace、SaaS和IaaS),相關技術數量會減少到76個。
大多數雲端攻擊與網頁式攻擊策略密切相關,常見手法包括:
- 盜取憑證
- 誘導使用者造訪偽造網站以竊取憑證
- 利用存取許可權提升許可權並外洩資料或破壞系統
這些威脅情境凸顯了身份驗證、帳戶、憑證和機密資訊管理的重要性。
過度授權:首要攻擊向量
過度授權是常見的攻擊向量。許多組織仍廣泛地為使用者分配管理員或root許可權,而非根據最小許可權原則授予特定許可權。這種做法為攻擊者提供了可乘之機:
- 具備管理員許可權的帳戶更容易成為攻擊目標
- 普通使用者帳戶的密碼通常較容易被猜測或透過社交工程攻擊獲得
- 過度授權帳戶的活動往往難以與正常活動區分
有效的許可權控制必須遵循最小許可權原則,並在任何資安策略中佔據重要地位。
弱點管理挑戰
許多組織在弱點管理上面臨挑戰。弱點可定義為:
- 軟體中的技術性問題,可能允許攻擊者獲得額外系統存取許可權
- 解決方案編碼錯誤,可被惡意程式碼利用
- 組態錯誤,提供原本不存在的進入點
- 人為因素導致未經授權的第三方存取系統
根據Comparitech和Check Point 2021年網路安全報告,超過75%的成功攻擊源於弱點。因此,建立有效的弱點管理機制至關重要。
建構防禦策略
針對上述攻擊向量和弱點,組織應採取以下措施:
- 實施最小許可權原則,嚴格控制使用者許可權
- 加強身份驗證和憑證管理,防止憑證被盜用
- 定期進行弱點掃描和修補,及時修復已知弱點
- 建立完善的監控和日誌記錄機制,及時發現異常活動
- 進行紅隊演練,模擬真實攻擊場景,測試防禦能力
透過這些措施,組織可以顯著提升雲端環境的安全性,有效抵禦各種攻擊向量。
弱點管理最佳實踐
- 定期進行弱點掃描和風險評估
- 優先處理高風險弱點
- 建立弱點修補流程和責任歸屬
- 持續監控系統狀態和安全組態
過度授權風險管控
- 定期審查使用者許可權和存取控制列表
- 實施動態許可權管理機制
- 建立許可權變更審批流程
- 對高許可權帳戶實施特殊保護措施
透過這些具體措施,可以有效降低雲端環境中的安全風險,提升整體安全防禦能力。