配置不當的雲服務可以在幾分鐘内被威脅攻擊者利用,有時甚至不到30秒。研究人員發現,攻擊包括網絡入侵、數據盜竊和勒索軟件感染。
Palo Alto Networks的Unit 42的研究人員使用了一個由320個部署在全球的節點組成的honeypot基礎設施,他們錯誤地配置了雲中的關鍵服務——包括遠程桌面協議(RDP)、安全外殼協議(SSH)、服務器消息塊(Samba)和Postgres數據庫。
研究人員在周一發布的一份報告中披露,他們發現攻擊者抓住了利用錯誤配置的機會,320個Honeypot中有80%在24小時内遭到入侵,并且在一周内全部遭到入侵。
此外,研究人員發現,一些攻擊在幾分鐘内發生,其中一個速度特别快的威脅行為者在30秒内入侵了全球80個Honeypot中的96%。
鑒于組織管理漏洞的速度通常以天或月為單位,“攻擊者可以在幾分鐘内找到并破壞我們的Honeypot,這一點非常令人震驚。”Unit 42首席雲安全研究員Jay Chen在帖子中寫道。
常見的雲錯誤
研究清楚地表明,鑒于“這些面向互聯網的服務大多連接到其他雲工作負載,”這些常見的錯誤配置能以多快的速度導緻數據洩露或攻擊者破壞整個網絡,Chen寫道。他說,這強化了快速緩解和修補安全問題的重要性。
“當錯誤配置或易受攻擊的服務暴露在互聯網上時,攻擊者隻需幾分鐘即可發現并破壞該服務,”Chen寫道,“在安全修複的時間安排方面沒有任何誤差。”
事實上,由于雲服務配置錯誤,已經發生了許多引人注目的網絡事件。僅今年,兩個受歡迎的商業網點——Hobby Lobby零售連鎖店和Wegman的雜貨店——就因這些類型的錯誤而分别遭遇了數據洩露。
由于雲存儲桶配置錯誤,Hobby Lobby暴露了客戶數據,而Wegman客戶數據洩露也同樣基于雲的數據庫配置錯誤。
引誘攻擊者
Unit 42在2021年7月至2021年8月期間進行了當前的雲錯誤配置研究,部署了320個蜜罐,在北美(NA)、亞太(APAC)和歐洲(EU)四個地區,SSH、Samba、Postgres和RDP的分布均勻。他們的研究分析了當時在基礎設施中觀察到的攻擊的時間、頻率和來源。
為了引誘攻擊者,研究人員故意配置了一些具有弱憑據的帳戶,例如admin:admin、guest:guest、administrator:password,它們在沙盒環境中授予對應用程序的有限訪問權限。它們在發生妥協事件——即當威脅行為者通過其中一個憑據成功通過身份驗證并獲得對應用程序的訪問權限時——重置honeypot。
研究人員還在honeypot子集上封鎖了一系列已知掃描儀IP,根據觀察到的網絡掃描流量每天更新一次防火牆策略。
該團隊根據各種攻擊模式分析了攻擊,包括:攻擊者發現和破壞新服務所花費的時間、目标應用程序的兩次連續入侵事件之間的平均時間、在honeypot上觀察到的攻擊者IP數量以及觀察到攻擊者IP的天數。
具體結果
研究結果表明,Samba honeypot是攻擊速度最快的honeypot,也是攻擊者以最快速度連續破壞服務honeypot。
然而,研究人員報告說,SSH是攻擊者數量最多的錯誤配置服務,遭受的攻擊者和破壞事件的數量遠高于其他三個應用程序。他們發現,受攻擊最多的SSH honeypot在一天内遭到169次攻擊,而平均每個SSH蜜罐每天遭受26次攻擊。
他們發現,研究人員還根據地區追蹤了攻擊情況,其中北美地區攻擊的最多的是Samba和RDP,而來自亞太地區的攻擊更頻繁地針對Postgres和SSH。
Chen寫道,總體而言,85%的honeypot攻擊是在一天内觀察到的,這向研究人員表明,阻止已知掃描儀IP對緩解攻擊無效,因為攻擊者很少重複使用相同的IP來發起攻擊。
避免常見的雲錯誤
研究人員表示,對于犯下容易被利用的常見雲配置錯誤的組織來說,好消息是,它們也很容易避免。Chen為系統管理員列出了幾項建議,以避免讓服務暴露在攻擊之下。
為了保護服務免受攻擊者IP的攻擊,雲管理員可以實施防護措施以防止特權端口被打開,并創建審核規則來監控所有打開的端口和暴露的服務。
研究人員還建議管理員創建自動響應和補救規則來自動修複錯誤配置,并部署下一代防火牆來阻止惡意流量。
,更多精彩资讯请关注tft每日頭條,我们将持续为您更新最新资讯!