压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

互聯(lián)網(wǎng)上隨處可訪問的云 API 為黑客開啟了獲取云資產(chǎn)訪問特權(quán)的新窗口。

公共云基礎(chǔ)設(shè)施為安全團(tuán)隊帶來了新的不可見管理層，制造了需更深入理解的新安全挑戰(zhàn)。很多公司企業(yè)未能正確理解云身份與訪問管理層，更別提安全防護(hù)了。

這種誤解常導(dǎo)致危險的錯誤配置，可催生類似近期 Capital One 數(shù)據(jù)泄露的客戶風(fēng)險。XM 安全研究主管 Igal Gofman 和 XM 高級安全研究員 Yaron Shani 解釋稱，當(dāng)前安全操作與控制措施不足以緩解公共云錯誤理解導(dǎo)致的風(fēng)險。

開始研究針對云的威脅時，Gofman 和 Shani 意識到，很多流行防御機制都專注特定攻擊途徑：例如暴力破解防護(hù)措施針對密碼噴射工具或 AWS 偵察工具類云服務(wù)和應(yīng)用。后泄露防御通常基于不同用戶活動和機器學(xué)習(xí)算法。

兩位研究人員在接受媒體采訪時表示：該方法中缺失的一環(huán)是，這些機制通常在本質(zhì)上是防御性的，不是預(yù)測性的。傳統(tǒng)防御措施主要針對網(wǎng)絡(luò)、應(yīng)用和操作系統(tǒng)防護(hù)。

云提供商的應(yīng)用程序編程接口 (API) 中存在新的攻擊途徑：這些 API 可通過互聯(lián)網(wǎng)訪問，給惡意黑客留下了利用并獲取云端關(guān)鍵資產(chǎn)高訪問特權(quán)的機會。負(fù)責(zé)管理云資源的人通常是 DevOps、開發(fā)和 IT 團(tuán)隊成員，這些人使用不同軟件開發(fā)包和專用命令行工具訪問 API。

研究人員稱：一旦這些賬戶憑證被盜，獲得高價值資源訪問權(quán)并不困難。即便公司劃分了不對互聯(lián)網(wǎng)開放的私有子網(wǎng)，云 API 仍可以利用正確的 API 密鑰從互聯(lián)網(wǎng)輕松訪問。云提供商工具，比如命令行接口工具 (CLI)，將用戶憑證保存在一個文件中，通常本地存儲在個人工作站上。

今年的歐洲黑帽大會上，Gofman 和 Shani 計劃在題為《由內(nèi)而外——云從未如此接近》的演講中展示一種攻擊云基礎(chǔ)設(shè)施的新方法。他們的方法學(xué)涉及使用圖形顯示不同實體之間的權(quán)限關(guān)系，揭示需處理和清除的危險阻塞點。兩位研究人員稱，該圖的結(jié)果可為紅隊和藍(lán)隊所用，更深入了解云環(huán)境中的權(quán)限關(guān)系。他們還將在闡述了其間聯(lián)系之后演示攻擊者可如何濫用各種功能以獲取權(quán)限。

研究人員指出，攻擊者無需具備太強的技術(shù)即可利用公共云 API，他們自己都沒利用到任何開源工具來自動化整個研究技術(shù)棧。

實際上，開發(fā)此類工具的技術(shù)門檻并不高，因為所有信息基本上都公開可得，且大多數(shù)云提供商還有良好文檔記錄——他們詳細(xì)記錄了每個安全功能，防御者和攻擊者均可利用。

基本上，開發(fā)可利用他們研究成果的攻擊性工具，比構(gòu)建圍繞該研究的防御性系統(tǒng)更簡單。

若想防護(hù)自身，公司企業(yè)首先應(yīng)遵循來自云提供商的最佳實踐指南。研究人員解釋稱，大企業(yè)常難以跟蹤和監(jiān)視大型云基礎(chǔ)設(shè)施中的權(quán)限，也難以評估總體組織性風(fēng)險因素。所以，最好持續(xù)監(jiān)視攻擊者可觸碰高價值云資源的路徑。

《由內(nèi)而外——云從未如此接近》：

https://www.blackhat.com/eu-19/briefings/schedule/index.html#inside-out—the-cloud-has-never-been-so-close-17797