從找到一個有效的憑證到發(fā)起攻擊，網(wǎng)絡(luò)攻擊者總共只花了10分鐘，其中有5分鐘是停留時間。

當(dāng)網(wǎng)絡(luò)攻擊者可以進(jìn)入云計算環(huán)境并以這樣的速度發(fā)動攻擊時，防御者很難檢測到入侵并阻止網(wǎng)絡(luò)攻擊的發(fā)生。

在沒有特定目標(biāo)的機(jī)會攻擊中，網(wǎng)絡(luò)攻擊者在掃描漏洞(例如配置錯誤)之后，平均不到兩分鐘就能找到公開暴露的憑證。然后，他們平均需要21分鐘才能發(fā)起網(wǎng)絡(luò)攻擊。

云原生安全服務(wù)商Sysdig公司的研究人員將網(wǎng)絡(luò)攻擊的速度歸因于自動化技術(shù)的武器化，并警告說網(wǎng)絡(luò)攻擊者正在關(guān)注身份和訪問管理(IAM)，并使用不斷發(fā)展的憑證訪問、特權(quán)升級和橫向移動技術(shù)。

雖然從發(fā)現(xiàn)憑證到開始攻擊的時間以分鐘為單位進(jìn)行衡量，但該研究團(tuán)隊指出，網(wǎng)絡(luò)攻擊者可能需要數(shù)小時才能確定合適的目標(biāo)，這取決于動機(jī)和可見性。

網(wǎng)絡(luò)攻擊者獲取秘密在很大程度上取決于存儲位置。例如，使用AWS S3存儲桶，網(wǎng)絡(luò)攻擊者可能需要花費幾天時間來搜索特定的公共名稱。

在云計算環(huán)境中越來越強(qiáng)調(diào)“一切都是代碼”，這導(dǎo)致了防御者面臨一些挑戰(zhàn)。該報告指出：“在為適當(dāng)?shù)脑L問和特權(quán)編寫代碼時出現(xiàn)的語法錯誤可能是防御者面臨的障礙。”

據(jù)稱，網(wǎng)絡(luò)攻擊者對無服務(wù)器功能代碼和基礎(chǔ)設(shè)施即代碼(IaC)軟件(例如Cloud Formation和Terraform)特別感興趣，因為這些文件可能包含憑證或秘密，但可能被安全掃描忽略。

企業(yè)的供應(yīng)鏈中有什么?

研究人員還考慮了容器的狀態(tài)。該技術(shù)本質(zhì)上是一個提供應(yīng)用程序所需的所有內(nèi)置功能的軟件包，可以使它們成為惡意代碼的理想交付機(jī)制。

在分析了13000張Dockerhub圖片后，研究人員發(fā)現(xiàn)819張圖片是惡意的。然而，由于采用了隱藏惡意代碼的先進(jìn)技術(shù)，其中10%的漏洞無法被檢測到。只有在運(yùn)行時才能檢測到威脅。

對容器內(nèi)的內(nèi)容執(zhí)行靜態(tài)掃描只能到此為止，不足以確保安全。

研究人員舉了一個例子，一個威脅行為者創(chuàng)建了11個賬戶，所有賬戶都托管了30個相同的容器圖像。其圖像本身看起來是無害的，但在運(yùn)行時卻啟動了一個偽裝的加密礦工。

因此，企業(yè)需要一個運(yùn)行時(runtime)威脅檢測工具，以及靜態(tài)圖像分析和漏洞掃描工具。

網(wǎng)絡(luò)攻擊目標(biāo)有哪些?

近三分之二(65%)的云計算攻擊專門針對電信和金融行業(yè)。

研究人員沒有評論為什么這些行業(yè)如此頻繁地成為網(wǎng)絡(luò)攻擊者的目標(biāo)，但它們都是世界上最有價值的行業(yè)之一，都持有高度敏感的信息。

對于電信行業(yè)來說，除了收集個人信息之外，收集到的數(shù)據(jù)還可能被用于SIM卡交換——有效地接管受害者的移動設(shè)備，并能夠通過雙因素身份驗證(2FA)對其他重要賬戶進(jìn)行身份驗證

醫(yī)療保健和國防部門排在電信和金融行業(yè)之后，考慮到可能被盜的數(shù)據(jù)類型，這一發(fā)現(xiàn)令研究人員感到驚訝。

其他目標(biāo)包括資源劫持，網(wǎng)絡(luò)攻擊者將通過加密采礦實例并利用現(xiàn)有實例發(fā)起新的攻擊來尋求快速貨幣化資產(chǎn)。

網(wǎng)絡(luò)攻擊緩解措施和趨勢

研究人員表示，網(wǎng)絡(luò)安全防御和減輕攻擊需要多管齊下的方法。

例如，AWS公司等供應(yīng)商將掃描GitHub以獲取任何AWS憑據(jù)，并附加隔離策略以限制潛在損害。根據(jù)發(fā)布的研究報告，GitHub也在檢查幾種秘密格式的提交，并可以自動拒絕它們。

但是，必須認(rèn)識到用戶繞過為其安全設(shè)置的保護(hù)措施的決心。

隨著云計算技術(shù)繼續(xù)向一切都是代碼和容器技術(shù)發(fā)展，復(fù)雜性將繼續(xù)增加，網(wǎng)絡(luò)攻擊者將利用所犯的任何錯誤。

報告指出，盡管供應(yīng)商在安全方面不斷改進(jìn)，但新型云計算服務(wù)的快速發(fā)展給網(wǎng)絡(luò)攻擊者提供了新的機(jī)會。盡管攻擊時間表不太可能比觀察到的速度減短，但攻擊本身將隨著自動化變得更加普遍而繼續(xù)發(fā)展。