大少数CISO都疏忽的八个云安保疑问
当企业的CISO试图在整个环球要挟环境中维持安保时,他们发现自己与各种云环境之间的相关是既爱又恨。关于许多人来说,这种相关更像是恨与厌恶的相关。
云环境看似是现有运营的无缝加长,但实践上它们由扩散在企业各个部门的不同云团队控制,这些团队的目的和需求或许与网络安保团队的指令相抵触。
因此,企业经常使用云的实质或许会带来一系列难以检测的潜在网络安保疑问。咱们与多位云安保专家探讨了企业安保运营核心(SOC)最有或许遭逢的低调云安保疑问。
暂时资源的要挟比你构想的更大
云中没有什么比暂时资源更能带来耐久的头痛疑问了,这关键是由于它们的生命周期很短,难以启动扫描,因此成为暗藏恶意软件的理想场合。
这些暂时资源,如暂时存储实例或灵活调配的资源,只存在于执行特定性能后便终止的期间段中,在云环境中越来越经常出现。
软件供应商Zib的开创人Cache Merrill示意:“暂时资源的持久性或许会让安保团队低估其潜在的安保危险,以为这些资源由于寿命短而要挟较小。”
但是,一旦这些资源被攻破,它们或许会成为攻打者的最佳帮手,充任“恶意优惠的切入点或暂时避难所,而简直不留下任何可供取证剖析的痕迹。”Merrill说道。“这或许尤其具备应战性,由于传统的安保工具和通常通常是为常年存在的基础设备性能的,或许不会智能裁减到这些长命的组件。”
依据Merrill的说法,典型安保扫描错过暂时攻打的几率“十分高。最蹩脚的状况是什么?你将读写权限向全环球放开。”
在云环境中,IT资产清单借口不再有效
安保专家通常会防止处置本地IT资产的清单控制,但是,Wiz公司的首席云安保钻研员Scott Piper以为,许多人没无看法到,在云中启动盘点要容易得多,因此没有理由再逃避这项上班。
“许多人在过去处置IT资产清单时都留下了‘创痕’。传统上,在须要物理追踪电缆并亲身检查设备的环球里,启动IT资产清单的上班十分艰巨。接上去,你还须要尝试了解这些设备运转的软件及其性能状况,这须要在设备上装置代理程序。”Piper说。“这是一个复杂的疑问,由于你须要一个实用于操作系统的代理程序,并为潜在的性能和牢靠性危险启动测试和同意,还须要弄分明如何启动设备身份验证以装置代理程序,启动网络通讯所需的额外性能更改,处置假设代理程序中止上班时的缺点扫除等等。”
相比之下,在云环境中,一切都被视为API,这使得启动资产清单控制要便捷得多。虽然远谈不下幽默,但安保团队必定克制多年积攒的逃避心思。
Piper示意:“识别一切资源只有要一组API。经过API快照磁盘,可以扫描主机上装置的一切运行程序和库,而后花尽或许多的期间评价这些数据,而不用过多担忧扫描的性能疑问。”
Piper还指出,那些以为“虽然清单有其价值,但失掉清单的艰巨不值得”的网络安保专家,实践上是在侵害公司在云环境中的安保态势,由于逃避清单控制或许会带来重大的网络安保疑问。
“由于他们没无关注资产清单,他们无法发现性能失误。那些他们不知道的资产清单中或许存在关键的性能疑问,而这些疑问因此未能失掉处置。”Piper说。
云账单有助于跟踪攻打——但需留意
一些攻打者并不关注经过敲诈软件窃取企业数据或经过DDoS攻打封锁运营。相反,他们是想要处罚企业的破坏者。此类攻打之一包含“钱包拒绝服务”(DoW)攻打,旨在迫使企业承当少量额外的云费用。
但是,不只仅是云支出的参与可以作为恶意优惠的早期目的。
“生产量的急剧降低可以通知你,有人正在破坏你的云环境,而且比你的监控系统更早发现疑问。”技术咨询公司ISG的合伙人Doug Saylors示意。攻打者“或许正在删除过去90天的备份。”
虽然跟踪云支出可以提供网络安保情报,但由于云计费的性质——尤其是在不时参与新性能和服务的状况下——实时侦察变得具备应战性。
Saylors说:“超大规模云服务商正在向市场推出少量产品,有时网络和IT团队在产品开发的初期阶段之外才了解到这些产品。”
至于DoW攻打,IT培训公司Pluralsight的首席云战略师Drew Firment示意,这些攻打通常经过“重复触发API端点来故意参与云计算费用”启动。
“随着数据集的规模增长,应用软弱端点并触发大规模且低廉的数据传输的DoW攻打的潜在财务影响也在参与,”Firment说,“为了缩小危险,组织应该实施API网关速率限度以防止端点被滥用,同时性能Web运行防火墙战略,限度来自单个IP地址或IP范畴的恳求数量。”
Ernst & Young的网络安保战略总监Brian Levine补充说,外部对云经常使用缺乏透明度或许是CISO面临的另一个疑问。
Levine示意:“应该在多个团队之间共享的常识,以及缺乏初级控制人员确保这些常识失掉有效和及时共享,是企业经常出现的痛点。随着云服务供应商推出更多的安保产品和套餐,这或许会让人感到困惑。咱们真正须要的是什么,什么又只是附加开售?这是一项很难做的剖析。”
Levine举了一个例子,某些云平台会向企业额外不要钱来记载和保留日志——这关于启动事情后的剖析和取证至关关键,特意是在攻打者故意删除或窜改他们可以访问的日志时。
你的IDP战略或许存在无余
身份提供商(IDP)服务终止相对稀有,继续期间也不长。而且,切换到备用服务或许会对终端用户形成更大的搅扰——由于这或许须要行为上的扭转——相比之下,期待几分钟看关键系统能否复原或许更为便捷。
但由于无法确定何时会复原服务,企业依然须要一个IDP备份战略,德国咨询公司KuppingerCole Analysts的首席剖析师Martin Kuppinger说。可怜的是,由于上述要素,许多公司丢弃了这种战略。
Kuppinger倡导:“当一切认证都依赖于IDaaS/SaaS服务时,你能接受多常年间的服务终止?你须要有一些措施,以便在关键IDP无法用时能够认证这些服务。”他倡导领有一个在本地运转或独立于关键IDP经常使用的云环境之外的第二个IDP。
你未充沛应答的SaaS安保疑问
SaaS安保破绽是狡诈且保密的,它们轻轻地参与了渺小的危险,而许多安保运营核心(SOC)员工却没有留意到。
Gartner剖析师Charlie Winckless示意:“SaaS供应商的危险差异渺小。SaaS运行程序在对组织形成的危险水平上存在基本色的差异。最大的一些供应商十分杰出。接上去的几个层级的供应商也可以经常使用,但还有少量的SaaS运行程序很难评价。”
“这一疑问因许多CISO适度关注三大超大规模云服务商而漠视了SaaS而变得愈加复杂,”他补充道,“代码库通常托管在SaaS上,或许是放开的,或许远比你预期的要不安保。”
悬空的DNS指针或许带来大疑问
Gartner的Winckless示意,DNS是另一个看似有害但在云环境中或许变得十分辣手的疑问。
“在云环境的灵活性质中,DNS暴露的危险很高。例如,你的团队在Azure上设置了一个带有azurewebsites.netDNS的网站,并为自己创立了一个CNAME并指向该网站,”他解释道。“假设你删除了该网站(这是经常出现的操作),但没有删除CNAME,那么攻打者可以应用你的悬空DNS启动伪装,这并不是云独有的疑问,但云的灵活性使得异常留下悬空DNS指针的或许性大大参与。”
当某人在云中性能资源时,它会被赋予一个称号,“但没有人会记住那个称号,”Winckless说,所以它被扔进了DNS中。“攻打者可以注册那个底层域名,并在下面搁置他们想要的任何内容,看起来十分像一个非法的企业文件。”
API访问是潜在的安保意外
API或许是云结构的精髓,但它们也为攻打者提供了许多切入点。
“运行程序中的本地API密钥是一个令人惊讶的经常出现但被漠视的云安保破绽。举个例子,一名员工被解雇了,你禁用了该用户的单点登录(SSO),”身份控制公司ConductorOne的CTO PaulQuerna说。“在许多状况下,本地API密钥在SSO被禁用后依然可以继续上班,这是由于本地API密钥独立于用户的SSO形态运转,当SSO封锁时不会智能撤销,这象征着该用户或许依然能够访问某些系统或数据,这形成了重大的安保危险。”
ISG的Saylors赞同这一观念,强调了访问API的自定义代码的安保疑问。他举了一个在一切关键云平台上都有业务存在的企业的例子。
“假定有人正在经常使用这些提供商,他们或许有一个通用的身份平台,比如SailPoint。假设SailPoint将数据传达输到AWS、Microsoft及其余平台,它或许准许在这些超大规模云环境中的一切客户消息的访问,它或许准许在云中有限的数据访问。如今假定攻打者正在针对那个AWS API。假设该客户在这些云平台上经常使用相反的凭据,”这或许会提供宽泛的访问权限,他说。
IMDSv2:你不知道的或许会毁掉你的云
2024年3月,Amazon轻轻地更新了AWS平台的一个关键局部:实例元数据服务(IMDS)。Pluralsight的Firment示意,一些安保运营核心(SOC)“或许甚至没无看法到他们在经常使用[IMDS]”,因此他们的操作面临与元数据暴露相关的重大“安保要挟”。
“AWS经常使用IMDS存储其余运行程序和服务经常使用的安保凭据,并经过RESTAPI提供这些消息。攻打者可以应用主机端恳求伪造(SSRF)从IMDS窃取凭据,从而以实例角色的身份启动横向移动或数据偷盗,”Firment解释道,“AWS推出了IMDS的新版本,即版本2,以提高对未授权元数据的安保性,虽然许多组织仍将原始的IMDSv1作为自动设置。为了协助CISO们堵住这一潜在的安保破绽,AWS最近发表,可以将一切新启动的Amazon EC2实例自动设置为更安保的IMDSv2。”
Firment指出,IMDSv2“于2019年11月由AWS推出,但直到2024年3月才引入将自动设置为新版本的性能。因此,许多组织仍继续经常使用原本存在破绽的IMDSv1。值得留意的是,自动设置只实用于新启动的实例,因此经常使用IMDSv1的现有实例仍须要从新性能。”
“关于大少数组织来说,这形成了相当大的要挟。或许没有足够的看法到须要将一切人切换到新版本,”他说,并补充道,危险在于攻打者“或许会窃取凭据,并在你的组织内横向移动。”