现今,全球的网络犯罪分子仍在积极寻找各种各样的新技术和新方式,来渗透各个领域的企业和组织。
IBM Security X-Force在近期发布的一份最新报告中,详细阐述了网络犯罪分子当前所采用的各种顶尖渗透策略,以及如何在暗网市场上窃取云资源,而后者对于网络犯罪领域来说则是一个新兴市场。
数据带来的最大好处是,在云安全方面,企业仍然可以掌控自己的全局。IBM在今年的调查过程中观察到,跨应用程序、数据库和策略的错误配置已经成为导致云环境发生数据泄露的主要原因。
IBM的《2021 X-Force云安全威胁形势报告》包含了更多新的和更可靠的数据,这份报告涵盖了2020年Q2至2021年Q2的云安全威胁形势详情。
研究人员所使用的数据集包括暗网分析、IBM安全X-Force红色渗透测试数据、IBM安全服务指标、X-Force事件响应分析和X-Force威胁情报研究。这些扩展数据集可以为我们提供一个涵盖整个网络安全技术领域的广阔视图,以帮助广大研究人员在各个安全元素之间建立连接以提升各组件的安全性。
关键发现
配置问题
云环境中的安全问题有三分之二都是由于应用程序编程接口(API)配置不当所导致。X-Force的事件应急响应人员还发现,目前仍然有很多采用默认安全配置的虚拟机直接暴露在了互联网上,其中还包括很多错误配置的平台以及未充分实施的网络安全控制策略。
违规行为
X-Force的红队研究人员在过去一年进行的绝大多数云渗透测试中,还发现了大量密码和策略违规行为。除此之外,该团队还观察到,部署在云端的应用程序中被曝漏洞的严重性显著增加。在过去五年中,部署在云端的应用程序中公开的漏洞数量激增了150%。
下图显示的是X-Force每年跟踪的云环境安全漏洞数量变化趋势:
为网络犯罪分子提供自动化服务
在暗网市场上,发现了将近30000个受入侵的云端账号正在以低价出售,远程桌面协议占被盗云资源销售的70%。暗网市场甚至还提供了“打包服务”,可以进一步为网络犯罪分子提供针对目标云环境的自动化访问。
勒索软件和挖矿软件成热门
根据分析的数据,加密货币挖矿软件和勒索软件仍然是入侵云端环境最多的两类恶意软件,占比量达到了50%以上。
下图显示的是针对云环境的恶意软件类型占比情况:
现代化构建更好的防御壁垒
现在,越来越多的企业开始认识到了混合云的商业价值,并将其数据分布在不同的基础设施之上。事实上,2021年数据泄露成本报告显示,实施主要公共或私有云方法的数据泄露成本要比采用混合云方法的成本高出约100万美元。
企业也在逐步寻求异构环境来分配其工作负载,并更好地控制其最关键数据的存储位置,这些应用程序的现代化演变正成为核心的安全控制点。
在如今的云环境之下,很多企业在监控和检测云威胁上还存在一定的困难,这也导致很多网络犯罪分子开始从内部环境转向云环境。针对云环境的攻击/感染向量日渐趋升,占了IBM在2020年所有应对事件的23%。
而技术人员所确定的另一个高危感染方式是配置不当的资产。三分之二的攻击事件都涉及到了配置不当的API。缺少身份验证控制的API将允许任何人(包括网络犯罪分子)访问目标组织网络系统内的潜在敏感信息。另一方面,API被授予访问过多数据的权限也会导致无意中的信息泄露。
与内部部署相比,许多企业在云计算环境中配置安全控制时,并不具备相应的专业技能,这也导致云端的安全环境“支离破碎”,更加的复杂,而且难以管理。
组织需要将其分布式基础架构作为一个单一的环境进行管理,以消除复杂性并实现从云到边缘再到后端的更佳的网络可视性。通过使其任务关键型工作负载以现代化的方式实现,安全团队不仅可以实现更快的数据恢复,而且还可以获得一个更全面的观察视角,以更好地了解组织面临的威胁,并加快事件应急响应速度。
不断进击的攻击者
零信任越来越受欢迎,因为这种方式可以消除很多不确定的因素,并允许安全团队提前做好应对准备。
通过应用零信任框架,企业可以更好地保护其混合云基础设施,使其能够控制对其环境的所有访问,并监控云活动和配置情况。通过这种方式,组织能够更好地发现风险行为,并实施隐私监管控制和最低权限访问。
无用的策略
我们的研究表明,三分之二的云环境安全事件可以通过系统安全强化来防止或避免,比如说部署和实施正确的安全策略,或及时修复安全问题。
弱密码,admin 1
该报告还展示了X-Force在过去一年中积累的分析数据,并揭示了团队对各种云环境的渗透测试结果,并从中发现了大量密码策略问题。
这些攻击向量的循环使用强调了攻击者在进入组织时一直利用人为的疏漏。因此,业务和安全团队必须在时刻保持警惕的前提下运作,以守住安全底线。
暗网市场正在销售云端访问权
研究人员发现,目前有将近数万个云端账号正在暗网市场上廉价出售,而这些云资源也为网络犯罪分子提供了很多攻击切入点。
报告显示,暗网市场上目前有近3万个已被入侵的云账号,销售价格从几美元到15000美元不等,具体取决于云资源的地理位置、账户上的信用额度和账户访问级别,而且暗网商家还提供了诱人的退款政策来吸引买家进行购买。
下图显示的是暗网市场中云端账号的销售情况(按访问类型分):
但这并非暗网市场上唯一在售的“云工具”,报告中的分析还表明,远程桌面协议(RDP)账号占销售云资源的70%以上,而这也是一种有效的远程访问方法,并且大大超过了正在销售的任何其他载体。
后话
如需了解我们的全面调查结果并了解组织可以采取的保护其云环境的详细行动,请详细阅读我们的《2021年X-Force云安全威胁形势报告》。
参考链接
https://securityintelligence.com/posts/x-force-report-hacking-cloud-environments/
https://www.ibm.com/downloads/cas/WMDZOWK6?_ga=2.215853207.1044794089.1634019420-2076318708.1614591389