云身份过于宽松，为攻击者打开了大门

 

Palo Alto做的一份新报告Unit 42显示，几乎所有云用户，角色，服务和资源都授予了过多的权限，使组织在受到攻击时容易受到攻击扩展的影响。该安全供应商的研究发现，配置错误的身份和访问管理（IAM）正在为恶意行为者打开大门，这些行为者在攻击中主要针对云基础架构和凭据。

研究结果表明，当涉及到云中的IAM时，组织正在努力实施良好的治理。该报告还确定了针对云环境检测到的五个攻击组，并揭示了它们的攻击方法。

在《身份和访问管理：第一道防线》一书中，Unit 42 的研究人员分析了 18，000 个云帐户和 200 多个不同组织中的 680，000 多个身份，以了解其配置和使用模式。它显示，99%的云用户，角色，服务和资源授予了“过多的权限”，这些权限未使用60天。报告显示，破坏这些身份的对手可以利用这些权限横向或垂直移动并扩大攻击半径。

Unit 42 的数据显示，与客户创建的策略相比，内置内容安全策略 （CSP） 中未使用或过多的权限是其两倍。删除这些权限可以显著降低每个云资源暴露的风险，并最大限度地减少整个云环境的攻击面。然而，报告指出，云安全正受到实施不力的IAM和凭证管理的阻碍。

报告中Unit 42表示，检测到65%的云安全事件背后存在配置错误，而53%的分析云帐户允许弱密码使用，44%允许密码重用。更重要的是，近三分之二（62%）的组织公开了云资源。

云平台中的身份用户，角色或组策略中的错误配置可能会显著增加组织云架构的威胁格局，这些都是对手不断寻求利用的载体。

我们确定的所有云威胁参与者在破坏服务器、容器或笔记本电脑时都试图收集云凭据。具有过多权限的泄露凭据可能会为攻击者提供“王国的密钥”。

Unit 42识别针对云基础架构的五个攻击组

Unit 42 检测并识别了五个威胁参与者，他们利用独特的升级技术收集凭据并直接面向云服务平台。其中，三个执行了特定于容器的操作，包括权限发现和容器资源发现，两个执行了容器逃生操作，并且所有五个都收集了云服务或容器平台凭据作为其操作过程的一部分。它们是：

团队TNT：就云身份枚举技术而言，该小组被认为是最复杂的云威胁参与者，其操作包括Kubernetes集群内的横向移动，IRC僵尸网络的建立以及劫持受感染的云工作负载资源以挖掘门罗币加密货币。

看门狗：虽然技术娴熟，但这个小组愿意牺牲技能来提高访问率，Unit 42说。它使用定制的Go脚本以及来自其他组（包括TeamTNT）的重新利用的加密劫持脚本，是针对暴露的云实例和应用程序的机会主义威胁组。

金辛：另一个机会主义的云威胁参与者具有巨大的云凭据收集潜力，该小组针对暴露的Docker Daemon API，使用在Ubuntu容器上运行的基于GoLang的恶意进程，并已开始将其操作扩展到Docker容器之外，专门针对受感染的云工作负载中包含的容器和云凭据文件。

罗克：Rocke是一个“老前辈”组织，致力于提高云端点枚举技术，专门从事云环境中的勒索软件和加密劫持操作，并以使用基于Linux的受损系统的计算能力而闻名，这些系统通常托管在云基础架构中。

8220：Rocke的“近亲”，这个组织正在将容器纳入其目标中。在操作过程中通常使用的工具是PwnRig或DBUSed，它们是XMRig Monero采矿软件的定制变体。据信，该组织起源于Rocke集团软件的GitHub分支。

IAM 配置错误是一个常见的入口点

Unit 42 建议组织解决 IAM 漏洞，以保护其云基础设施。正确配置的IAM可以阻止意外访问，提供对云活动的可见性，并减少安全事件发生时的影响。“但是，由于其动态性质和复杂性，将 IAM 保持在最安全的状态具有挑战性。从历史上看，IAM配置错误一直是网络犯罪分子最常利用的切入点和枢纽。

为了帮助保护云环境免受威胁，Unit 42表示，组织应实施云原生应用程序保护平台（CNAPP），专注于强化IAM权限，并提高安全自动化程度。（本文出自SCA安全通信联盟，转载请注明出处。）