90%的安全供应链实则并不安全

发布时间：2023-12-28 22:52:31 所属栏目：安全来源：DaWei

导读： 近日，云安全公司Sysdig发布了《2023年全球云威胁报告》，研究了瞄准垂直行业的针对性云攻击，结果发现云攻击者正在通过利用云服务和常见的错误配置，以复杂的方式发展他们的技术和工具包。

近日，云安全公司Sysdig发布了《2023年全球云威胁报告》，研究了瞄准垂直行业的针对性云攻击，结果发现云攻击者正在通过利用云服务和常见的错误配置，以复杂的方式发展他们的技术和工具包。更重要的是，云中的攻击移动速度很快，侦察到威胁和造成严重破坏之间的间隔可能仅几分钟。

一、报告摘要
云自动化的武器化：云攻击发生得很快，侦察和发现的速度更快。这些技术的自动化使攻击者能够立即发现目标系统中的漏洞。数据显示，机会主义攻击平均在2分钟内就能找到公开暴露的凭据，而从凭证发现到攻击启动往往只需21分钟。

90%的安全供应链并不够安全：另外10%的高级供应链威胁对于预防工具来说是不可见的。规避技术使恶意代码能够隐藏，直到影像被部署。

攻击者隐藏在云中：攻击者正在滥用云服务和策略，以充分利用云原生环境的复杂性。使用源混淆（source obfuscation）使它们更难被跟踪。新技术使得基于IoC的防御失效，将蓝队推向先进的云威胁检测。

65%的云攻击针对电信和金融科技公司：电信和金融公司拥有成熟的高价值信息，提供了快速牟利的机会。

二、从零到管理：扭转云的对抗力
确保安全配置是任何云安全程序的基础。当锁定帐户访问权限并减少攻击面时，威胁参与者也会寻找新的漏洞来获得初始访问权限。

由于身份和访问管理（IAM）是关键的云安全控制，攻击者正专注于发展他们的技术，用于凭据访问、特权升级和横向移动。与此同时，防御者也在学习在“万物皆代码”的世界中操作，在这个世界中，为适当的访问和特权编写代码时出现的语法错误可能成为通往成功的拦路石。

1.初始访问
事实证明，威胁行为者正在不断利用易受攻击的应用程序，寻找云凭据，并将攻击范围扩展至云。这些攻击包括勒索软件、钓鱼邮件、恶意网站以及其他形式的网络威胁。

S3桶和其他类似的对象存储选项是存储秘密和密钥的流行云服务。而威胁行为者正使用Espiderfoot、Linode和S3 Browser等工具持续扫描存储桶，以求找到有用的错误配置。它们还会暴力破解实际组织可能使用的S3桶名，以期找到与目标公司相关的有价值信息。当相关资源被扫描或凭据泄露时，坏人和好人都会使用聊天机器人（Chatbot）来获取通知。

2.信息收集
云环境中的发现策略是攻击者杀伤链中最被低估的步骤之一。防御者倾向于把注意力集中在其他攻击战术上（比如防御逃避），但忘记了大多数复杂的攻击都是从广泛的发现活动开始的。

攻击者还会每天或每小时持续执行一些小的周期性发现活动，以跟踪潜在的受害帐户并利用更改或错误配置。这一阶段的攻击并不微妙。它的特点是对许多端点的查询快速连续，如下表所示。这种类型的活动表明攻击者正在进行信息收集，并且应该触发对帐户的事件响应分析。

（编辑：宁德站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!