2024云平臺攻擊向量報告

云平臺攻擊向量報告PAGEPAGE10目錄簡介 8本檔的的 8文結(jié)構(gòu)范圍 8目受眾 9IaaS和PaaS云擊向量 91：利用工作載 112：作負(fù)權(quán)限高 143：安全密鑰憑證應(yīng)用鑰 174：利用身份證或權(quán) 215：經(jīng)授訪問象存儲 256：三方環(huán)境/賬訪問 297：安全/未密的照及份 338：損鏡像 37結(jié)語 40延閱讀 41簡介CSAIaaSPaaS相關(guān)的安全事件，并將這些事件的細(xì)節(jié)細(xì)化為實際利用的攻擊向量。我們使用CSA頂級云安全威脅案例、MITRE本文檔的目的IaaS/PaaSCSA研究和文件結(jié)構(gòu)和范圍該文檔由八個與IaaS/PaaS相關(guān)的攻擊向量組成。每個向量章節(jié)包括兩部分：CSA和非CSA將攻擊向量映射到MITRE-(CSP)(CSC)將攻擊向量映射到CSA4版CSA(CCM)4.0.X，識別與向量相關(guān)的控制措施。X4.0版本相關(guān)STRIDE將攻擊向量映射到CSA目標(biāo)受眾本文檔的目標(biāo)受眾是：GRC專業(yè)正在構(gòu)建IaaS/PaaS環(huán)境，并尋求安全幫助的安全專業(yè)人員、DevOps和DevSecOps專業(yè)人員、軟件和安全架構(gòu)師以及IT安全人員IaaS 和云攻擊向量IaaS和PaaS等不同的云服務(wù)模型非常IaaS（）IaaS儲和網(wǎng)絡(luò)。在IaaSPaaSIaaS網(wǎng)絡(luò)攻擊向量是指攻擊者用于訪問計算機或網(wǎng)絡(luò)服務(wù)器以傳遞惡意成果的路徑或中的漏洞（如錯誤配置的權(quán)限）獲取敏感數(shù)據(jù)的訪問權(quán)限。網(wǎng)絡(luò)攻擊向量與脆弱點或漏洞之間的區(qū)別在于它們的性質(zhì)。脆弱點或漏洞是指可以被威脅利用的資產(chǎn)或存在的控制弱點。另一方面，網(wǎng)絡(luò)攻擊向量是攻擊者利用這些脆弱點或漏洞的特定方法或技術(shù)。SQLSQL(SaaS)(IaaS)(PaaS)IaaSPaaS消費者的攻擊向量。IaaS環(huán)境中的攻擊在PaaS環(huán)境中，客戶對軟件和應(yīng)用程序代碼有著更多的控制權(quán)，但對基礎(chǔ)設(shè)施的控制權(quán)較少。PaaSIaaS類似，但更關(guān)注應(yīng)用程序代碼和配置設(shè)置中SaaS提供商負(fù)責(zé)。然而，SaaS中還存在其他攻擊向量，例如利用Web應(yīng)用程序中的漏洞，這是SaaS1：可利用的工作負(fù)載定義根據(jù)CSA4節(jié)虛擬機、容器或者其他的抽象中”?？衫玫墓ぷ髫?fù)載是一種攻擊向量，詳細(xì)描述了攻描述IP地址，或者攻擊者已經(jīng)能夠訪問（CVE）和應(yīng)用程序漏洞等。通過結(jié)合訪問權(quán)限和現(xiàn)有漏在這要點為了強化云環(huán)境，應(yīng)該在攻擊路徑的所有節(jié)點上實現(xiàn)安全保護(hù)。網(wǎng)絡(luò)IP限路由(CIDR)載均衡器、API網(wǎng)關(guān)和/或Web應(yīng)用程序防火墻(WAF)。漏洞（即容器可能需要與虛擬機不同的工具（DAST/IAST工具【取決于應(yīng)用程序類型】等）執(zhí)行漏洞掃描，并將其嵌入到持續(xù)集成/持續(xù)交付(CI/CD)流程。身份和訪問管理(IAM)：所有對資源的訪問都必須經(jīng)過身份驗證和授權(quán)。遵循最小應(yīng)用程序：確保應(yīng)用程序的設(shè)計符合公認(rèn)的原則安全開發(fā)，包括自動修補。典型事件和案例請參閱以下典型事件和案例：NewTeamTNTCryptojackingMalwareTargetingKubernetesAtlassianConfluenceServersHackedviaZero-DayVulnerabilityTTPMITRE請參閱“利用面向公眾的應(yīng)用程序”，MITREIDT1190.責(zé)任共擔(dān)模型和STRIDE威脅建模圖CSACBK安全指南4.0版領(lǐng)域4：合規(guī)性和審計管理領(lǐng)域7：基礎(chǔ)設(shè)施安全領(lǐng)域11：數(shù)據(jù)安全和加密CSACCMControls4.0.X版AIS? 應(yīng)用程序和接口安全AIS?06：自動化安全應(yīng)用程序部署AIS?07：應(yīng)用程序漏洞修復(fù)CCC? CCC?06：變更管理基線CCC?07：基線偏差檢測IVS? 基礎(chǔ)設(shè)施和虛擬化安全I(xiàn)SV?04：操作系統(tǒng)強化和基本控制TVM? 威脅和漏洞管理TVM?01：威脅和漏洞管理政策和程序TVM?03：漏洞修復(fù)計劃TVM?04：檢測更新TVM?07：漏洞識別TVM?08：漏洞優(yōu)先級排序CSATop威脅映射此攻擊向量與以下內(nèi)容相關(guān)：安全問題7：系統(tǒng)漏洞安全問題9：Serverless和容器工作負(fù)載的錯誤配置和利用2：工作負(fù)載權(quán)限過高定義描述Serverless或要點始終遵循最小權(quán)限原則，為工作負(fù)載提供執(zhí)行分配到的任務(wù)，所需的最低權(quán)限。優(yōu)先選擇使用臨時訪問令牌而不是永久權(quán)限。與預(yù)定義和一般角色相比，應(yīng)優(yōu)先定制策略和角色。嘗試通過使用權(quán)限邊界、承擔(dān)角色等功能更進(jìn)一步細(xì)化您的策略。防止激活具有高權(quán)限的本地用戶賬戶，尤其是在使用容器時。驗證和審核工作負(fù)載的權(quán)限，確保沒有過多的權(quán)限。典型事件和案例請參閱以下典型事件和案例：LessonslearnedfromtheCapitalOnebreachTheattackonONUS–Areal-lifecaseoftheLog4ShellvulnerabilityTTPMITRE請參閱“特權(quán)客戶管理”，網(wǎng)址為MITREID：M1026.責(zé)任共擔(dān)模型和STRIDE威脅建模圖CSACBK安全指南4.0版領(lǐng)域6：管理平面和業(yè)務(wù)連續(xù)性領(lǐng)域7：基礎(chǔ)設(shè)施安全領(lǐng)域12：身份、授權(quán)和訪問管理CSACCMCONTROLS4.0.X版CCC? 變更控制和配置管理CCC?06：變更管理基線CCC?07:基線偏差檢測IAM? 身份和訪問管理IAM?01：身份和訪問管理政策和程序IAM?05：最小權(quán)限IAM?06：用戶訪問配置CSATop威脅映射此攻擊向量與以下內(nèi)容相關(guān)：安全問題1：身份、憑據(jù)、訪問權(quán)限和密鑰管理、特權(quán)賬戶不足安全問題2：不安全的接口和API安全問題3：配置錯誤和變更控制不足3：不安全的密鑰、憑證和應(yīng)用密鑰定義IAMkeysAPIkeysSSHkeys描述API或訪問密鑰對舉例來說，一個常見的用例是EC2實例為了存儲或檢索數(shù)據(jù)，需要訪問S3存儲桶，或者CI服務(wù)需要API密鑰驗證外部代碼存儲庫的身份。SSHSSHSSH許多組織未能建立明確的密鑰生命周期管理（生成、存儲、檢索、輪換和退役）策略，從而導(dǎo)致未經(jīng)授權(quán)的資源訪問、執(zhí)行橫向移動的能力以及環(huán)境中特權(quán)的提升。要點存儲和使用API密鑰、密鑰、密碼、SSH密鑰或證書的推薦最佳實踐取決于實際的訪問場景。以下是一些示例：STS、GCPOICDAzureSAS。SecretsManager、AzureKeyGCPSecretManager。SSHSSHIAM的身份驗證解決方案（SessionManager、AzureBastionGoogleIdentity?AwareSSHSSH密鑰。遵循從生成到撤銷的任何密鑰生命周期的安全程序。（SecretsManagerAzureKeyVaultGCPSecretManager）。監(jiān)控訪問日志以檢測與訪問密鑰和憑證相關(guān)的任何可疑活動。key/secrets。典型事件和案例請參閱以下典型事件和案例：CircleCIsayshackersstoleencryptionkeysandcustomers’secretsHowebrewSecurityIncidentDisclosureSamsungspilledSmartThingsappsourcecodeandsecretkeyswebsiteAnimalJambreachedaftermiscreantsspotprivateAWSkeyGotRoot!AWSrootAccountTakeoverTTPMITRE請參閱“不安全的憑證”，網(wǎng)址為MITREID：T1552.責(zé)任共擔(dān)模型和STRIDE威脅建模圖CSACBK安全指南4.0版領(lǐng)域6：管理平面和業(yè)務(wù)連續(xù)性領(lǐng)域7：基礎(chǔ)設(shè)施安全領(lǐng)域10：應(yīng)用程序安全領(lǐng)域12：身份、授權(quán)和訪問管理CSACCMCONTROLS4.0.X版AIS? 應(yīng)用程序和接口安全AIS?06：自動化安全應(yīng)用程序部署CCC? 變更控制和配置管理CCC?03：變更管理技術(shù)CCC?07：基線偏差檢測CEK? 密碼學(xué)、加密和密鑰管理CEK?21：關(guān)鍵庫存管理IAM? 身份和訪問管IAM?06：用戶訪問配置IAM?13：唯一可識別用戶IAM?15：密碼管理IPY? 互操作性和可移植性IPY?02：應(yīng)用程序接口可用性CSATop威脅映射此攻擊向量與以下內(nèi)容相關(guān)：安全問題1：身份、憑據(jù)、訪問權(quán)限和密鑰管理、特權(quán)賬戶不足安全問題2：不安全的接口和API安全問題3：配置錯誤和變更控制不足安全問題11：云存儲數(shù)據(jù)泄露4：可利用的身份驗證或授權(quán)定義描述IAM的最不當(dāng)?shù)墓芾碛卸喾N形式：使用默認(rèn)密碼。一些工具在安裝時使用默認(rèn)密碼，管理員無法更改這些默認(rèn)密碼，IAM并且可以重新填充該組，那么未分配給任何用戶的組會對環(huán)境帶來風(fēng)險。并且僅使用靜態(tài)憑據(jù)（例如用戶名和密碼）進(jìn)行身份驗證時，攻擊者一旦獲得這些憑據(jù)的訪問權(quán)限（例如通過網(wǎng)絡(luò)釣魚），就有可能輕松的破壞系統(tǒng)環(huán)境。GoogleAuthenticator等身份驗證器。構(gòu)成風(fēng)險。AAA操作，導(dǎo)致無法檢測惡意利用。IAM要點為了主動阻止這種攻擊路徑，組織應(yīng)該：。對所有用戶和所有應(yīng)用程序都應(yīng)該是強制性的。易被泄露（長臨時訪問。使用臨時訪問（例如AssumeRoleAzureJust?in?Time）而不是靜態(tài)憑證/權(quán)限。重新評估權(quán)限。審核和監(jiān)控政策并確保遵循最小權(quán)限原則?？战M。如果存在沒有用戶的組，請刪除該組。（由組織確定AAA操作實施日志記錄和審核應(yīng)用級別。典型事件和案例請參閱以下典型事件和案例：HackerPutsHostingServiceCodeSpacesOutofBusinessAdminAccountsWithNoPasswordsattheHeartofRecentMongoDBRansomAttacksEquifaxusedtheword‘a(chǎn)dmin’fortheloginandpasswordofadatabase適用于企業(yè)TTP的MITREATT&CK請參閱“有效賬戶：云賬戶”，網(wǎng)址為MITREID：T1078.責(zé)任共擔(dān)模型和STRIDE威脅建模圖CSACBK安全指南4.0版領(lǐng)域2：治理和企業(yè)風(fēng)險管理領(lǐng)域4：合規(guī)與審計管理領(lǐng)域5：信息治理領(lǐng)域6：管理平面和業(yè)務(wù)連續(xù)性領(lǐng)域12：身份、授權(quán)和訪問管理CSACCMCONTROLS4.0.X版AIS? 應(yīng)用程序和接口安全AIS?01：應(yīng)用程序和接口安全政策和程序AIS?02：應(yīng)用程序安全基線要求AIS?03：應(yīng)用程序安全指標(biāo)IAM? 身份和訪問管理IAM?01：身份和訪問管理政策和程序IAM?02：強密碼政策和程序IAM?03：身份清單IAM?14：強身份驗證LOG? 日志記錄和監(jiān)LOG?01：記錄和監(jiān)控政策和程序CSATop威脅映射此攻擊向量與以下內(nèi)容相關(guān)：安全問題1：身份、憑據(jù)、訪問權(quán)限和密鑰管理、特權(quán)賬戶不足安全問題2：不安全的接口和API5：未經(jīng)授權(quán)訪問對象存儲定義（描述對象存儲服務(wù)構(gòu)建的主要安全配置有以下幾種：公有/（通過端點或主機名）和附加的身份控制措施，例如允許匿名用戶從存儲中讀取和/或加密。根據(jù)事件后響應(yīng)報告顯示，許多云存儲組件靜態(tài)存儲時是公開且未加密的。（用戶名和密碼(SAML)OpenIDconnectOIDC)IAM的身份驗證。后一種身份驗證方法比前一種方法更能抵御外部攻擊。除了這些安全配置之外，還可以實施其他預(yù)防措施：騙用戶泄露敏感信息或點擊惡意鏈接的網(wǎng)絡(luò)釣魚嘗試和其他社會工程策略。最終，訓(xùn)練有素的用戶群可以作為第一道防線，抵御網(wǎng)絡(luò)威脅并幫助確保組織數(shù)據(jù)的安全。易受儲安全狀況的持續(xù)可見性，并幫助確保對數(shù)據(jù)的持續(xù)保護(hù)。要點為了主動保護(hù)云環(huán)境免遭對象存儲攻擊向量的未經(jīng)授權(quán)的訪問，組織可以：URLSTSAzureSAS等解決方案提供臨時訪問。CSP骨干網(wǎng)，而不是使用私有端點等服務(wù)穿越公共互聯(lián)網(wǎng)。（至少每年一次CSP身份和訪問管理機制管理對加密密鑰的訪問。IAMSAML、OIDC等。確保全面了解責(zé)任共擔(dān)模型?這涉及了解云服務(wù)提供商和使用云服務(wù)的組織之間典型事件和案例請參閱以下典型事件和案例：HowaMisconfiguredStorageBucketExposedMedicalDataPfizersuffershugedatabreachonunsecuredcloudstorageMillionsofVerizonCustomerRecordsExposedthroughOpenAmazonS3Bucket適用于企業(yè)TTP的MITREATT&CK請參閱“限制文件和目錄權(quán)限”，網(wǎng)址為MITREID：M1022.責(zé)任共擔(dān)模型和STRIDE威脅建模圖CSACBK安全指南4.0版領(lǐng)域5? 信息治理領(lǐng)域7? 基礎(chǔ)設(shè)施安全領(lǐng)域12? 身份、授權(quán)和訪問管理CSACCMCONTROLS4.0.X版A&A? 審計與鑒證A&A?06：修復(fù)AIS? 應(yīng)用程序和接口安全AIS?01：應(yīng)用程序和接口安全政策和程序AIS?02：應(yīng)用程序安全基線要求AIS?04：安全應(yīng)用程序設(shè)計和開發(fā)CCC? 變更控制和配置管理CCC?04：未經(jīng)授權(quán)的變更保護(hù)CCC?06：變更管理基線CCC?07：基線偏差檢測DSP? DSP?01：安全和隱私政策和程序DSP?07：設(shè)計和默認(rèn)的數(shù)據(jù)保護(hù)DSP?12：個人數(shù)據(jù)處理目的的限制DSP?13：個人數(shù)據(jù)子處理DSP?17：敏感數(shù)據(jù)保護(hù)HRS：人力資源HRS?03：清潔辦公桌政策和程序HRS?12：個人和敏感數(shù)據(jù)意識和培訓(xùn)IAM：身份和訪問管理IAM?05：最低權(quán)限IAM?06：用戶訪問配置STA?03：SSRM指南STA?04：SSRM控制所有權(quán)STA?06：SSRM控制實施UEM?通用端點管理UEM?11：數(shù)據(jù)丟失防護(hù)CSATop威脅映射此攻擊向量與以下內(nèi)容相關(guān)：安全問題8：意外數(shù)據(jù)泄露安全問題11：云存儲數(shù)據(jù)泄露6：第三方跨環(huán)境/賬戶訪問定義描述API、IAM角色、VPC對等互連、代理軟件，或者是由第三方控制的特定VM要點通過提供所需的最低權(quán)限實現(xiàn)最小權(quán)限原則，并擁有審查和削減權(quán)限的流程如果可能（根據(jù)法律部門的批準(zhǔn)），刪除所有不使用的身份和第三方賬戶STS、AzurePrivilegedIdentityManagementAzureJust?in等技術(shù)審核所有身份執(zhí)行的所有操作，并確保有適當(dāng)?shù)娜罩居涗洐C制檢測異常行為IAM角色的外部ID定期繪制共享資源圖，并分析風(fēng)險及其衍生含義典型事件和案例請參閱以下典型事件和案例：CustomerGuidanceonRecentNation-StateCyberAttacksCircleCIwarnscustomerstorotate‘a(chǎn)nyandallsecrets’afterhackcriminalactortargetingorganizationsfordataexfiltrationanddestructionLiveAuctioneersSecurityBreach適用于企業(yè)TTP的MITREATT&CKValidAccountsValidAccounts:CloudAccountsStealApplicationAccessAccountManipulationExploitationforPrivilegeEscalationTrustedRelationship責(zé)任共擔(dān)模型和STRIDE威脅建模圖CSACBK安全指南4.0版領(lǐng)域2：治理和企業(yè)風(fēng)險管理領(lǐng)域4：合規(guī)與審計管理領(lǐng)域6：管理平面和業(yè)務(wù)連續(xù)性領(lǐng)域7：基礎(chǔ)設(shè)施安全領(lǐng)域12：身份、授權(quán)和訪問管理CSACCMCONTROLS4.0.X版IAM?01：身份和訪問管理政策和程序IAM?02：強密碼政策和程序IAM?03：身份清單IAM?04：職責(zé)分離IAM?05：最低權(quán)限IAM?06IAM?07IAM?08：用戶訪問審核IAM?09：特權(quán)訪問角色的隔離IAM?10：特權(quán)訪問角色管理IAM?11：CSC批準(zhǔn)約定的特權(quán)訪問角色I(xiàn)AM?12：保護(hù)日志完整性IAM?13：唯一可識別用戶IAM?14：強認(rèn)證IAM?15：密碼管理IAM?16：授權(quán)機制CCC?04：未經(jīng)授權(quán)的變更保護(hù)DSP?07：設(shè)計和默認(rèn)數(shù)據(jù)保護(hù)HRS?10：保密協(xié)議LOG?0：記錄和監(jiān)控政策和程序LOG?02：審計日志保護(hù)LOG?03：安全監(jiān)控和警報LOG?04：審核日志訪問和責(zé)任LOG?05：審核日志監(jiān)控和響應(yīng)LOG?06：時鐘同步LOG?07：日志范圍LOG?08：日志記錄LOG?09：日志保護(hù)LOG?11：事務(wù)/活動記錄LOG?12：訪問控制日志LOG?13：故障和異常報告CSATop威脅映射此攻擊向量與以下內(nèi)容相關(guān)：安全問題1：身份、憑據(jù)、訪問權(quán)限和密鑰管理、特權(quán)賬戶不足安全問題3：配置錯誤和變更控制不足安全問題4：缺乏云安全架構(gòu)和策略安全問題6：不安全的第三方資源安全問題11：云存儲數(shù)據(jù)泄露7：不安全/未加密的快照及備份定義該攻擊向量涉及云平臺或服務(wù)中存在的不安全或未加密的快照或備份。這些快照/這些快照/備份可以存儲在不同的位置，通常用于數(shù)據(jù)丟失或其他中斷情況下恢復(fù)數(shù)據(jù)。因此，確保對這些快照/備份的適當(dāng)訪問以及保持完整性級別非常重要。本文檔將使用短語“不安全備份”指代不安全或未加密的快照或備份。描述一些潛在的攻擊向量正在使用不安全的云備份，包括：（使用備份來定位密鑰和密碼）。勒勒索軟件攻擊中恢復(fù)。權(quán)限配置錯誤：如果備份沒有正確配置適當(dāng)?shù)臋?quán)限，未經(jīng)授權(quán)的各方可能會訪問備份，進(jìn)而訪問和操縱敏感數(shù)據(jù)。要點以下是防止不安全備份帶來的潛在攻擊向量的一些建議和最佳實踐，如下所示：（通過數(shù)據(jù)保留策略對所有云備份賬戶使用強度高而獨特的密碼，并定期更新以防止未經(jīng)授權(quán)的訪問。MFA，并限制服務(wù)賬戶的訪問已知的流量來源，以添加額外的安全層。對所有云備份和快照使用加密，防止敏感數(shù)據(jù)被泄露被未經(jīng)授權(quán)的各方訪問。（KMSAzureKeyGoogleCloudKMS）。每季度審查和更新所有云備份和快照的權(quán)限，確保只有授權(quán)身份才能訪問。定期審查和更新安全措施，確保有效防范對備份和快照的潛在威脅。典型事件和案例請參閱以下典型事件和案例：BonobosclothingstoresuffersadatabreachFindingSecretsInPubliclyExposedEbsVolumesLootPublicEBSSnapshotsTTPMITRE請參閱“數(shù)據(jù)備份”，MITREID：M1053.責(zé)任共擔(dān)模型和STRIDE威脅建模圖CSACBK安全指南4.0版領(lǐng)域5：信息治理領(lǐng)域7：基礎(chǔ)設(shè)施安全領(lǐng)域11：數(shù)據(jù)安全和加密領(lǐng)域12：身份、授權(quán)和訪問管理CSACCMCONTROLS4.0.X版BCR?08：備份DSP? DSP?01：安全和隱私政策和程序DSP?07：設(shè)計和默認(rèn)的數(shù)據(jù)保護(hù)DSP?12：個人數(shù)據(jù)處理目的的限制DSP?13：個人數(shù)據(jù)子處理DSP?17：敏感數(shù)據(jù)保護(hù)HRS?12：個人和敏感數(shù)據(jù)意識和培訓(xùn)IAM身份和訪問管理IAM?01：身份和訪問管理政策和程序IAM?02：強密碼政策和程序IAM?03：身份清單IAM?05：最低權(quán)限IAM?14：強身份驗證LOG? 日志記錄和監(jiān)LOG?01UEM?11：數(shù)據(jù)丟失防護(hù)CSATop威脅