當(dāng)企業(yè)的CISO試圖在整個全球威脅環(huán)境中維持安全時，他們發(fā)現(xiàn)自己與各種云環(huán)境之間的關(guān)系是既愛又恨。對于許多人來說，這種關(guān)系更像是恨與厭惡的關(guān)系。 

云環(huán)境看似是現(xiàn)有運營的無縫延伸，但實際上它們由分散在企業(yè)各個部門的不同云團(tuán)隊控制，這些團(tuán)隊的目標(biāo)和需求可能與網(wǎng)絡(luò)安全團(tuán)隊的指令相沖突。 

因此，企業(yè)使用云的本質(zhì)可能會帶來一系列難以檢測的潛在網(wǎng)絡(luò)安全問題。我們與多位云安全專家討論了企業(yè)安全運營中心（SOC）最有可能遭遇的低調(diào)云安全問題。 

臨時資源的威脅比你想象的更大 

云中沒有什么比臨時資源更能帶來持久的頭痛問題了，這主要是因為它們的生命周期很短，難以進(jìn)行掃描，因而成為隱藏惡意軟件的理想場所。 

這些臨時資源，如臨時存儲實例或動態(tài)分配的資源，只存在于執(zhí)行特定功能后便終止的時間段中，在云環(huán)境中越來越常見。 

軟件供應(yīng)商Zibtek的創(chuàng)始人Cache Merrill表示：“臨時資源的短暫性可能會讓安全團(tuán)隊低估其潛在的安全風(fēng)險，認(rèn)為這些資源由于壽命短而威脅較小。” 

但是，一旦這些資源被攻破，它們可能會成為攻擊者的最佳幫手，充當(dāng)“惡意活動的切入點或臨時避難所，而幾乎不留下任何可供取證分析的痕跡。”Merrill說道。“這可能尤其具有挑戰(zhàn)性，因為傳統(tǒng)的安全工具和實踐通常是為長期存在的基礎(chǔ)設(shè)施配置的，可能不會自動擴(kuò)展到這些短命的組件。” 

根據(jù)Merrill的說法，典型安全掃描錯過臨時攻擊的幾率“非常高。最糟糕的情況是什么？你將讀寫權(quán)限向全世界開放。” 

在云環(huán)境中，IT資產(chǎn)清單借口不再有效 

安全專家通常會避免處理本地IT資產(chǎn)的清單管理，然而，Wiz公司的首席云安全研究員Scott Piper認(rèn)為，許多人沒有意識到，在云中進(jìn)行清點要容易得多，因此沒有理由再回避這項工作。 

“許多人在過去處理IT資產(chǎn)清單時都留下了‘傷痕’。傳統(tǒng)上，在需要物理追蹤電纜并親自查看設(shè)備的世界里，進(jìn)行IT資產(chǎn)清單的工作非常困難。接下來，你還需要嘗試了解這些設(shè)備運行的軟件及其配置情況，這需要在設(shè)備上安裝代理程序。”Piper說。“這是一個復(fù)雜的問題，因為你需要一個適用于操作系統(tǒng)的代理程序，并為潛在的性能和可靠性風(fēng)險進(jìn)行測試和批準(zhǔn)，還需要弄清楚如何進(jìn)行設(shè)備身份驗證以安裝代理程序，進(jìn)行網(wǎng)絡(luò)通信所需的額外配置更改，處理如果代理程序停止工作時的故障排除等等。” 

相比之下，在云環(huán)境中，一切都被視為API，這使得進(jìn)行資產(chǎn)清單管理要簡單得多。雖然遠(yuǎn)談不上有趣，但安全團(tuán)隊必須克服多年積累的回避心理。 

Piper表示：“識別所有資源只需要一組API。通過API快照磁盤，可以掃描服務(wù)器上安裝的所有應(yīng)用程序和庫，然后花盡可能多的時間評估這些數(shù)據(jù)，而不必過多擔(dān)心掃描的性能問題。” 

Piper還指出，那些認(rèn)為“盡管清單有其價值，但獲取清單的困難不值得”的網(wǎng)絡(luò)安全專家，實際上是在損害公司在云環(huán)境中的安全態(tài)勢，因為回避清單管理可能會帶來嚴(yán)重的網(wǎng)絡(luò)安全問題。 

“因為他們沒有關(guān)注資產(chǎn)清單，他們無法發(fā)現(xiàn)配置錯誤。那些他們不知道的資產(chǎn)清單中可能存在關(guān)鍵的配置問題，而這些問題因此未能得到解決。”Piper說。 

云賬單有助于跟蹤攻擊——但需注意 

一些攻擊者并不關(guān)注通過勒索軟件竊取企業(yè)數(shù)據(jù)或通過DDoS攻擊關(guān)閉運營。相反，他們是想要懲罰企業(yè)的破壞者。此類攻擊之一包括“錢包拒絕服務(wù)”（DoW）攻擊，旨在迫使企業(yè)承擔(dān)大量額外的云費用。 

然而，不僅僅是云支出的增加可以作為惡意活動的早期指標(biāo)。 

“消費量的急劇下降可以告訴你，有人正在破壞你的云環(huán)境，而且比你的監(jiān)控系統(tǒng)更早發(fā)現(xiàn)問題。”技術(shù)咨詢公司ISG的合伙人Doug Saylors表示。攻擊者“可能正在刪除過去90天的備份。” 

盡管跟蹤云支出可以提供網(wǎng)絡(luò)安全情報，但由于云計費的性質(zhì)——尤其是在不斷添加新功能和服務(wù)的情況下——實時偵查變得具有挑戰(zhàn)性。 

Saylors說：“超大規(guī)模云服務(wù)商正在向市場推出大量產(chǎn)品，有時網(wǎng)絡(luò)和IT團(tuán)隊在產(chǎn)品開發(fā)的初期階段之外才了解到這些產(chǎn)品。” 

至于DoW攻擊，IT培訓(xùn)公司Pluralsight的首席云策略師Drew Firment表示，這些攻擊通常通過“反復(fù)觸發(fā)API端點來故意增加云計算費用”進(jìn)行。 

“隨著數(shù)據(jù)集的規(guī)模增長，利用脆弱端點并觸發(fā)大規(guī)模且昂貴的數(shù)據(jù)傳輸?shù)腄oW攻擊的潛在財務(wù)影響也在增加，”Firment說，“為了減少風(fēng)險，組織應(yīng)該實施API網(wǎng)關(guān)速率限制以防止端點被濫用，同時配置Web應(yīng)用防火墻策略，限制來自單個IP地址或IP范圍的請求數(shù)量。” 

Ernst & Young的網(wǎng)絡(luò)安全戰(zhàn)略總監(jiān)Brian Levine補充說，內(nèi)部對云使用缺乏透明度可能是CISO面臨的另一個問題。 

Levine表示：“應(yīng)該在多個團(tuán)隊之間共享的知識，以及缺乏高級管理人員確保這些知識得到有效和及時共享，是企業(yè)常見的痛點。隨著云服務(wù)供應(yīng)商推出更多的安全產(chǎn)品和套餐，這可能會讓人感到困惑。我們真正需要的是什么，什么又只是附加銷售？這是一項很難做的分析。” 

Levine舉了一個例子，某些云平臺會向企業(yè)額外收費來記錄和保存日志——這對于進(jìn)行事件后的分析和取證至關(guān)重要，特別是在攻擊者故意刪除或篡改他們可以訪問的日志時。 

你的IDP策略可能存在不足 

身份提供商（IDP）服務(wù)中斷相對罕見，持續(xù)時間也不長。而且，切換到備用服務(wù)可能會對終端用戶造成更大的干擾——因為這可能需要行為上的改變——相比之下，等待幾分鐘看主要系統(tǒng)是否恢復(fù)可能更為簡單。 

但由于無法確定何時會恢復(fù)服務(wù)，企業(yè)仍然需要一個IDP備份策略，德國咨詢公司KuppingerCole Analysts的首席分析師Martin Kuppinger說。不幸的是，由于上述原因，許多公司放棄了這種策略。 

Kuppinger建議：“當(dāng)所有認(rèn)證都依賴于IDaaS/SaaS服務(wù)時，你能承受多長時間的服務(wù)中斷？你需要有一些措施，以便在主要IDP不可用時能夠認(rèn)證這些服務(wù)。”他建議擁有一個在本地運行或獨立于主要IDP使用的云環(huán)境之外的第二個IDP。 

你未充分應(yīng)對的SaaS安全問題 

SaaS安全漏洞是狡猾且隱秘的，它們悄悄地增加了巨大的風(fēng)險，而許多安全運營中心（SOC）員工卻沒有注意到。 

Gartner分析師Charlie Winckless表示：“SaaS供應(yīng)商的風(fēng)險差異巨大。SaaS應(yīng)用程序在對組織構(gòu)成的風(fēng)險程度上存在根本性的差異。最大的一些供應(yīng)商非常出色。接下來的幾個層級的供應(yīng)商也可以使用，但還有大量的SaaS應(yīng)用程序很難評估。” 

“這一問題因許多CISO過度關(guān)注三大超大規(guī)模云服務(wù)商而忽視了SaaS而變得更加復(fù)雜，”他補充道，“代碼庫通常托管在SaaS上，可能是開放的，或者遠(yuǎn)比你預(yù)期的要不安全。” 

懸空的DNS指針可能帶來大問題 

Gartner的Winckless表示，DNS是另一個看似無害但在云環(huán)境中可能變得非常棘手的問題。 

“在云環(huán)境的動態(tài)性質(zhì)中，DNS暴露的風(fēng)險很高。例如，你的團(tuán)隊在Azure上設(shè)置了一個帶有azurewebsites.net DNS的網(wǎng)站，并為自己創(chuàng)建了一個CNAME并指向該網(wǎng)站，”他解釋道。“如果你刪除了該網(wǎng)站（這是常見的操作），但沒有刪除CNAME，那么攻擊者可以利用你的懸空DNS進(jìn)行偽裝，這并不是云獨有的問題，但云的動態(tài)性使得意外留下懸空DNS指針的可能性大大增加。” 

當(dāng)某人在云中配置資源時，它會被賦予一個名稱，“但沒有人會記住那個名稱，”Winckless說，所以它被扔進(jìn)了DNS中。“攻擊者可以注冊那個底層域名，并在上面放置他們想要的任何內(nèi)容，看起來非常像一個合法的企業(yè)文件。” 

API訪問是潛在的安全事故 

API可能是云結(jié)構(gòu)的精髓，但它們也為攻擊者提供了許多切入點。 

“應(yīng)用程序中的本地API密鑰是一個令人驚訝的常見但被忽視的云安全漏洞。舉個例子，一名員工被解雇了，你禁用了該用戶的單點登錄（SSO），”身份治理公司ConductorOne的CTO Paul Querna說。“在許多情況下，本地API密鑰在SSO被禁用后仍然可以繼續(xù)工作，這是因為本地API密鑰獨立于用戶的SSO狀態(tài)運行，當(dāng)SSO關(guān)閉時不會自動撤銷，這意味著該用戶可能仍然能夠訪問某些系統(tǒng)或數(shù)據(jù)，這構(gòu)成了嚴(yán)重的安全風(fēng)險。” 

ISG的Saylors同意這一觀點，強調(diào)了訪問API的自定義代碼的安全問題。他舉了一個在所有主要云平臺上都有業(yè)務(wù)存在的企業(yè)的例子。 

“假設(shè)有人正在使用這些提供商，他們可能有一個通用的身份平臺，比如SailPoint。如果SailPoint將數(shù)據(jù)流傳輸?shù)紸WS、Microsoft及其他平臺，它可能允許在這些超大規(guī)模云環(huán)境中的所有客戶信息的訪問，它可能允許在云中有限的數(shù)據(jù)訪問。現(xiàn)在假設(shè)攻擊者正在針對那個AWS API。如果該客戶在這些云平臺上使用相同的憑據(jù)，”這可能會提供廣泛的訪問權(quán)限，他說。 

IMDSv2：你不知道的可能會毀掉你的云 

2024年3月，Amazon悄悄地更新了AWS平臺的一個關(guān)鍵部分：實例元數(shù)據(jù)服務(wù)（IMDS）。Pluralsight的Firment表示，一些安全運營中心（SOC）“可能甚至沒有意識到他們在使用[IMDS]”，因此他們的操作面臨與元數(shù)據(jù)暴露相關(guān)的嚴(yán)重“安全威脅”。 

“AWS使用IMDS存儲其他應(yīng)用程序和服務(wù)使用的安全憑據(jù)，并通過REST API提供這些信息。攻擊者可以利用服務(wù)器端請求偽造（SSRF）從IMDS竊取憑據(jù)，從而以實例角色的身份進(jìn)行橫向移動或數(shù)據(jù)盜竊，”Firment解釋道，“AWS推出了IMDS的新版本，即版本2，以提高對未授權(quán)元數(shù)據(jù)的安全性，盡管許多組織仍將原始的IMDSv1作為默認(rèn)設(shè)置。為了幫助CISO們堵住這一潛在的安全漏洞，AWS最近宣布，可以將所有新啟動的Amazon EC2實例默認(rèn)設(shè)置為更安全的IMDSv2。” 

Firment指出，IMDSv2“于2019年11月由AWS推出，但直到2024年3月才引入將默認(rèn)設(shè)置為新版本的功能。因此，許多組織仍繼續(xù)使用原本存在漏洞的IMDSv1。值得注意的是，默認(rèn)設(shè)置只適用于新啟動的實例，因此使用IMDSv1的現(xiàn)有實例仍需要重新配置。” 

“對于大多數(shù)組織來說，這構(gòu)成了相當(dāng)大的威脅。可能沒有足夠的意識到需要將所有人切換到新版本，”他說，并補充道，風(fēng)險在于攻擊者“可能會竊取憑據(jù)，并在你的組織內(nèi)橫向移動。”