《2024云攻击向量防护.docx》由会员分享,可在线阅读,更多相关《2024云攻击向量防护.docx(35页珍藏版)》请在三一办公上搜索。
1、云攻击向量防护目录简介8本文档的目的8文件结构和范围8目标受众9IaaS和PaaS云攻击向量91:可利用的工作负载112:工作负载权限过高143:不安全的密钥、凭证和应用密钥174:可利用的身份验证或授权215:未经授权访问对象存储256:第三方跨环境/账户访问297:不安全/未加密的快照及备份338:受损镜像37结语40简介我们在不断加深对云上风险和威胁的认识与发展过程中,CSA顶级威胁等工作组以及其他组织为我们对这一主题的了解和理解作出了巨大贡献。我们尽管已经记录了许多对业务产生广泛影响的风险和威胁,但还是发现其中许多风险和威胁只利用到了少量的攻击向量。这正是本项研究的主题所在。为了进行本
2、项研究,我们首先回顾了近期大量IaaS与PaaS相关的安全事件,并将这些事件的细节细化为实际利用的攻击向量。我们使用CSA顶级云安全威胁案例、MITRE相关分析以及之前对云事件的研究,尽可能多的分析安全事件。在我们制定了完整的向量列表后,我们邀请了一批在云攻击方面经验丰富的专业人士。我们利用我们的集体经验将不同的个体分组,成为一组八个的主要攻击向量,我们发现它们在各种攻击场景中都非常有效。本文档的目的本研究的目标是梳理常见的aaSPaaS攻击向量并逐一列举,与相关的CSA研究和其他威胁模型对应。通过阅读本文档,组织将更好地了解针云托管应用程序和基础设施的攻击中常用攻击向量,并制定在控制和安全工
3、作上应该重点关注的领域。文件结构和范围该文档由八个与laaS/PaaS相关的攻击向量组成。每个向量章节包括两部分:主要部分包括以下内容:向量的定义和描述、利用方式、如何避免或减轻该向量的关键要点、利用该向量的示例CSA和非CSA框架的攻击向量映射,在本项研究中将会提供更多深入的见解以及相关控制措施。映射包括: 将攻击向量映射到MnrRE中的相关技术或缓解措施 将攻击向量映射到责任共担模型-将相关攻击向量映射到不同责任方:云服务提供商(CSP)、云服务客户(CSC)或共享责任 将攻击向量映射到CSA安全指南(第4版)中的相关领域,添加有关向量的更多知识 将攻击向量映射到CSA云控制矩阵(CCM)
4、版本4.0.X,识别与向量相关的控制措施。X版本标签标记新的控制措施映射,因此我们的文档与4.0版本相关 将攻击向量映射到STRIDE威胁模型,添加有关向量的更多知识 将攻击向量映射到CSA顶级威胁研究,帮助识别相关的风险和威胁目标受众本文档的目标受众是: 对想要了解更多关于实际攻击向量信息感兴趣的,负责云环境安全的GRC专业人员和审计人员 正在构建IaaS/PaaS环境,并寻求安全帮助的安全专业人员、DeVOPS和DeVSeCOPS专业人员、软件和安全架构师以及IT安全人员IaaS和PaaS云攻击向量在深入研究攻击向量的详细信息之前,了解IaaS和PaaS等不同的云服务模型非常重要。 Iaa
5、S(基础设施即服务):在IaaS环境中,客户对基础设施和操作系统具有更多的控制权。这意味着攻击面更大,因为客户需要负责保护自己的虚拟机、存储和网络。在IaaS环境中,常见的攻击向量通常针对虚拟机、存储和网络安全设置中的错误配置或漏洞。 PaaS(平台即服务):在PaaS环境中,客户对软件和应用程序代码拥有更多的控制权,但对基础设施的控制权较少。攻击面与IaaS类似,但更加关注应用程序代码和配置中的漏洞。网络攻击向量是指攻击者用于访问计算机或网络服务器以传递恶意成果的路径或手段。这些向量可以包括多种策略,例如恶意软件、网络钓鱼和社会工程学等,旨在利用目标系统的脆弱点和漏洞。在云环境中,网络攻击向
6、量可以以多种方式呈现。举例来说,攻击者可能使用网络钓鱼电子邮件诱使用户点击恶意链接或输入其登录凭据。此外,攻击者还可利用云服务中的漏洞(如错误配置的权限)获取敏感数据的访问权限。网络攻击向量与脆弱点或漏洞之间的区别在于它们的性质。脆弱点或漏洞是指可以被威胁利用的资产或存在的控制弱点。另一方面,网络攻击向量是攻击者利用这些脆弱点或漏洞的特定方法或技术。例如,云服务中的漏洞可能是配置错误的防火墙,允许未经授权的网络访问。在这种情况下,网络攻击向量可能是SQ1.注入攻击,攻击者使用特制的SQ1.查询访问网络上的敏感数据。软件即服务(SaaS)s基础设施即服务(IaaS)和平台即服务(PaaS)的攻击
7、向量区别在于客户对环境的控制级别,而攻击向量存在于所有级别在云堆栈中,服务模型决定由谁负责及缓解。这项研究的重点是:研究针对IaaS和PaaS消费者的攻击向量。IaaS环境中的攻击向量通常是针对虚拟机、存储和网络安全设置中的错误配置或漏洞。在PaaS环境中,客户对软件和应用程序代码有着更多的控制权,但对基础设施的控制权较少。PaaS环境中的攻击面与IaaS类似,但更关注应用程序代码和配置设置中的漏洞。除了通过用户凭证之外,SaaS的消费者几乎无法控制云攻击向量。因此,在本研究中,大部分缓解工作将由SaaS提供商负责。然而,SaaS中还存在其他攻击向量,例如利用Web应用程序中的漏洞,这是Saa
8、S提供商的责任。需要注意的是,这些攻击向量并不是相互排斥的,攻击者可能会使用多种策略组合,危害目标。因此,客户需要遵循安全最佳实践,并应用多层安全控制措施降低网络攻击带来的风险。1:可利用的工作负载定义根据CSA安全指南(第4章,7.4节),CSA将工作负载定义为“处理单元,可以在虚拟机、容器或者其他的抽象中”。可利用的工作负载是一种攻击向量,详细描述了攻击者利用工作负载的漏洞,在云环境中获取初始访问的能力。这些漏洞可以是已知的漏洞,也可以是零日漏洞。如果不加以缓解,这种对云环境的初始访问可能会增加与攻击向量相关的风险。这种攻击方法的一个常见影响是利用它运行加密货币挖矿或勒索软件攻击。在其他情
9、况下,利用先进的技术,可以使用附加或存储的云凭据在环境中移动,获得数据访问权限,或在云环境中提升权限和横向移动。描述可利用的工作负载是指由于云上网络配置错误,从而对内部或外部攻击者提供访问权限的任何虚拟机或容器。如果工作负载具有公网IP地址,或者攻击者已经能够访问内部环境,那么可达性就会实现。“可利用的工作负载”表示该资产容易受到配置错误的影响,存在已知的常见漏洞(CVE)和应用程序漏洞等。通过结合访问权限和现有漏洞,攻击者可以成功获取访问权限、控制权或利用云工作负载来进一步实施攻击。在这种攻击向量中,受损的资产可能会导致攻击者在云环境中实现持久化、获得数据访问权限或进行权限提升。接下来,攻击
10、者可以利用该资产加强其访问和控制能力,执行横向移动操作并寻找其他目标资产。要点为了强化云环境,应该在攻击路径的所有节点上实现安全保护。网络:尽可能限制网络访问,最好是私有子网并使用安全组和微隔离。使用IP限制,专门设定无类别域间路由(CIDR)范围,并开放对选定端口的访问,而不是过于宽泛的端口访问范围。只要有可能,就使用安全屏障保护对外开放的服务,例如负载均衡器、APl网关和/或Web应用程序防火墙(WAF)。漏洞:定期扫描所有工作负载以检测已知漏洞,并通过建议的补救措施修复。建议专门针对组织的云环境执行安全评估,确保发现未知风险。请记住,不同的工作负载需要不同的漏洞扫描工具(即容器可能需要与
11、虚拟机不同的工具)o应使用自动化工具(用于检测开源软件包中的漏洞的软件组合分析工具、用于检测代码中的漏洞的SAST/DAST/IAST工具【取决于应用程序类型】等)执行漏洞扫描,并将其嵌入到持续集成/持续交付(Cl/CD)流程。 身份和访问管理(IAM):所有对资源的访问都必须经过身份验证和授权。遵循最小权限或已知权限的原则,并向工作负载提供所需的最低权限,使工作负载能够执行指定的任务并将应用程序机密存储在安全位置。 应用程序:确保应用程序的设计符合公认的原则安全开发,包括自动修补。典型事件和案例请参阅以下典型事件和案例: NeWTeamTNTCryPtOiaCkinvMaIWareTarRe
12、tinRKUberneteSAtIaSSianConflUenCeSerVerSHaCkedViaZero-DaVVUlnerabilitV适用于企业TTP的MITREATTaCK请参阅“利用面向公众的应用程序,MITREID:TlI90.责任共担模型和STRlDE威胁建模图责任共担模型客户云服务提供商共享责任CSACBK安全指南4.0版领域4:合规性和审计管理领域7:基础设施安全领域11:数据安全和加密CSACCMControls4.0.X版AlS-应用程序和接口安全AIS-06:自动化安全应用程序部署AIS-07:应用程序漏洞修复CCC-变更控制和配置管理CCC-06:变更管理基线CCC-
13、07:基线偏差检测IVS-基础设施和虚拟化安全ISV-O4:操作系统强化和基本控制TVM-威胁和漏洞管理TVM-Ol:威胁和漏洞管理政策和程序TVM-O3:漏洞修匏计划TVM-04:检测更新TVM-07:漏洞识别TVM-08:漏洞优先级排序CSATop威胁映射此攻击向量与以下内容相关:安全问题7:系统漏洞安全问题9:SerVeHeSS和容器工作负载的错误配置和利用2:工作负载权限过高定义以下攻击向量描述了云环境中具有过高权限的工作负载。在云环境中,工作负载如虚拟机或容器,通常会分配一个身份或角色,用于执行在云基础设施上的操作。一个典型的例子是为虚拟机分配角色,以便其可以访问云存储。遵循这一向量
14、,如果攻击者能够获取对工作负载的访问权限,就可以利用这些权限获取对整个环境的更高权限。描述工作负载是一个处理单元,可以在虚拟机、容器或其他抽象概念(如SerVerIeSS或FaaS)中运行。常见的做法是创建工作负载,承载多个作业或任务,这些任务可能具有不同的访问模式和身份验证要求,并需要访问各种服务和资源。为了管理对特定服务和资源的访问,权限通常以策略或角色的形式分配给工作负载。这种复杂性给特定服务和资源的访问管理带来了挑战,从而导致了不良的安全实践,例如过度赋予权限的现象。这种攻击向量强调了特权提升的可能性。攻击者通常会以低级别权限获得初始访问权限,工作负载过高的权限可能会导致特权提升,攻击
15、者可以通过这种攻击向量获得更好的持久化效果和造成更多危害的能力。要点 始终遵循最小权限原则,为工作负载提供执行分配到的任务,所需的最低权限。 优先选择使用临时访问令牌而不是永久权限。 与预定义和一般角色相比,应优先定制策略和角色。 尝试通过使用权限边界、承担角色等功能更进一步细化您的策略。 防止激活具有高权限的本地用户账户,尤其是在使用容器时。 验证和审核工作负载的权限,确保没有过多的权限。典型事件和案例请参阅以下典型事件和案例: 1.eSSOnSIeamedfomtheCaPitalOnebreach TheattackOnONUS-Areal-lifeCaSeOfthe1.og4Shell
16、VUInerabiIitV适用于企业TTP的MITREATT&CK请参阅“特权客户管理”,网址为MlTREID:M1026.责任共担模型责任共担模型和STRlDE威胁建模图客户云服务提供商共享责任CSACBK安全指南4.0版领域6:管理平面和业务连续性领域7:基础设施安全领域12:身份、授权和访问管理CSACCMCONTRO1.S4.0.X版ccc-变更控制和配置管理CCC-06:变更管理基线CCC-O7:基线偏差检测IAM-身份和访问管理IAM-01:身份和访问管理政策和程序IAM-05:最小权限IAM-06:用户访问配置CSATop威胁映射此攻击向量与以下内容相关:安全问题1:身份、凭据、
17、访问权限和密钥管理、特权账户不足安全问题2:不安全的接口和API安全问题3:配置错误和变更控制不足3:不安全的密钥、凭证和应用密钥定义该攻击向量详细说明了云工作负载、服务或代码存储库中可能存在的明文凭证或未受保护的凭证。这些凭证可能采用不同的形式,并存放在不同的位置。常见的攻击向量包括将IAM访问keys或APlkeys嵌入配置文件、模板或实际代码中,或者将SSHkeys嵌入到镜像或工作负载中。这些类型的凭证被称为密钥。描述在云服务中,不同的服务之间需要交互,包括与外部服务通信。这种交互涉及到一组权限,因此需要身份验证和授权机制来确保安全性。该机制使用API或访问密钥对消费类服务或工作负载进行
18、身份验证并授予相应的权限。举例来说,一个常见的用例是EC2实例为了存储或检索数据,需要访问S3存储桶,或者Cl服务需要APl密钥验证外部代码存储库的身份。另一种常见场景是使用SSH密钥管理一组虚拟机,从而为管理SSH密钥带来挑战。由于访问密钥管理的复杂性,组织对多个计算实例使用相同的密钥。因此,攻击者在攻陷一台服务器后,可以访问使用相同SSH密钥对的所有服务器。这是在云环境中移动、收集更多信息并搜索更高权限的简单方法。许多组织未能建立明确的密钥生命周期管理(生成、存储、检索、轮换和退役)策略,从而导致未经授权的资源访问、执行横向移动的能力以及环境中特权的提升。要点存储和使用APl密钥、密钥、密
19、码、SSH密钥或证书的推荐最佳实践取决于实际的访问场景。以下是一些示例: 云提供商工作负载访问同一提供商的服务:向工作负载授予访问权限的建议方法是为其附加具有所需权限的身份。这将消除对静态访问密钥的需要,并动态分配密钥。此类解决方案的示例包括AWSSTS、GCPOICD或AzureSASo 应用程序组件之间交互或与云外部服务交互时,可以将机密存储在指定的安全存储中。示例包括AWSSecretsManager、AzureKeyVault或GCPSecretManagero 对于SSH密钥、具有一次性SSH密钥的安全堡垒主机(jumpbox)或基于IAM的身份验证解决方案(即AWSSessionM
20、anagerAzureBastion或GoogleIdentity-AwareProxy)可用于最大限度地提高安全性。一些企业解决方案还支持MFA和SSH身份验证机制。此外,建议针对不同的环境和分类,使用不同的SSH密钥。 遵循从生成到撤销的任何密钥生命周期的安全程序。 将密钥存储在指定的企业服务中(例如AWSSecretsManager、AZUreKeyVauIt或GCPSecretManager)。 智能的管理开源解决方案中的公共分发流程,例如容器将流程发布到公共容器注册表或该组织开发并在公共开源存储库中共享的代码库。 监控访问日志以检测与访问密钥和凭证相关的任何可疑活动。要检测不同位置上
21、的明文机密,我们建议定期扫描云工作负载配置、基础架构即代码模板和代码存储库,搜索静态凭据和key/secretso典型事件和案例请参阅以下典型事件和案例: CirdeClSaYShackersStOIeencryptionkeysandcustomersSeCretS HOWebreWSeCUritVInCidentDiSCIoSUre SamSUngSPilIedSmartThinRSappSOUrCeCodeandSeCretkenS WebSiteAnimalJambreachedaftermiscreantsSnOtPriVateAWSkey GotROOt!AWSrootACCoUn
22、tTakeOVer适用于企业TTP的MITREATTaCK请参阅“不安全的凭证”,网址为MITREID:T1552.责任共担模型和STRlDE威胁建模图STRIDE身份仿冒数据篡改抵赖信息泄露拒绝服务权限提升CSACBK安全指南4.0版领域6:管理平面和业务连续性领域7:基础设施安全领域10:应用程序安全领域12:身份、授权和访问管理CSACCMCONTRO1.S4.0.X版AlS-应用程序和接口安全AIS-06:自动化安全应用程序部署CCC-变更控制和配置管理CCC-03:变更管理技术CCC-07:基线偏差检测CEK-密码学、加密和密钥管理CEK-21:关键库存管理IAM身份和访问管理IAM
23、-06:用户访问配置IAM-13:唯一可识别用户IAM-15:密码管理IPY-互操作性和可移植性IPY-02:应用程序接口可用性CSATop威胁映射此攻击向量与以下内容相关:安全问题1:身份、凭据、访问权限和密钥管理、特权账户不足安全问题2:不安全的接口和API安全问题3:配置错误和变更控制不足安全问题11:云存储数据泄露4:可利用的身份验证或授权定义该攻击向量详细描述了对实体(如用户、工作负载、功能、角色、组等)的不当管理和身份验证。每个身份都应该受到安全控制,并得到适当的维护。忽视某些身份,即长期未被使用或根本未被使用但拥有过高权限的身份,可能会导致未被察觉的攻击行为,从而对该身份造成风险
24、。描述保持健康的安全环境是非常重要的。虽然这并不是一项容易的任务,关注IAM的最佳实践至关重要,因为它通常是攻击者首先检查和尝试利用的目标。不当的管理有多种形式: 使用默认密码。一些工具在安装时使用默认密码,管理员无法更改这些默认密码,导致了安全风险的存在。另外,弱密码策略也是一个问题。如果没有定义强密码策略,攻击者可以使用众所周知的技术(如字典攻击、暴力破解等)轻松猜测密码,并获取目标用户的身份以登录其云环境。 空组。组通常是为了将用户聚合成一个实体而创建的。在云环境中,可以给组分配权限,并授权其中的用户。这些权限也会被授予组中的所有用户。当添加新用户到组时,这些用户也将被授予该组已有的权限
25、。因此,如果攻击者能够访问IAM并且可以重新填充该组,那么未分配给任何用户的组会对环境带来风险。 过高的权限。将特定权限授予给资源可能是一项繁琐的任务,这就是为什么我们经常看到用户或组无正当理由地拥有过高的权限。这个安全问题可能导致攻击者访问敏感资源并执行可能损害环境的操作。 未开启MFAo未开启多重身份验证(MFA)时,用户缺乏额外的保护层。在没有启用MFA并且仅使用静态凭据(例如用户名和密码)进行身份验证时,攻击者一旦获得这些凭据的访问权限(例如通过网络钓鱼),就有可能轻松的破坏系统环境。首选方法是使用GoogleAuthenticator等身份验证器。 不活动的身份。可以通过审核日志和上
26、次登录记录来跟踪非活动的身份或用户的活动。这些被认为是被忽视的身份,因为它们通常没有受到监控或维护,可能对环境构成风险。 无日志记录。源端不记录AAA操作,导致无法检测恶意利用。 IAM信任策略配置错误。如果错误配置身份和访问管理中的外部身份和跨账户访问的信任策略,可能导致对受害者云账户的未经授权的初始访问。要点为了主动阻止这种攻击路径,组织应该: 启用MFAoMFA对所有用户和所有应用程序都应该是强制性的。 创建强密码策略。确保用户密码不会轻易被泄露C除了标准密码策略的复杂性(长度、大写字母、小写字母、数字和非字母数字字符)之外,管理员还应该设置密码过期时间并配置设置,以便过期密码需要管理员
27、重置并防止密码重复使用。 临时访问。使用临时访问(例如AWSAssumeRole或AZlIreJust-in-Time)而不是静态凭证/权限。 重新评估权限。审核和监控政策并确保遵循最小权限原则。 空组。如果存在没有用户的组,请删除该组。 不活跃的身份。使用审核日志和上次登录记录监控身份活动。如果某个身份在规定的时间内(由组织确定)看起来处于非活动状态,建议将其删除。确保账户在退出流程中被删除。 强制记录。对云中的任何AAA操作实施日志记录和审核应用级别。典型事件和案例请参阅以下典型事件和案例: HaCkerPUtSHostinvSerViCeCOdeSPaCeSOUtOfBUSineSS A
28、drninACCOUntSWithNOPaSSWOrdSattheHeartOfReCentMOnHoDBRanSomAttaCkS EaUifaXUSedtheWordadminfortheIoQnandpasswordofadatabase适用于企业TTP的MITREATTaCK请参阅“有效账户:云账户”,网址为MITREID:TlO78.责任共担模型和STRlDE威胁建模图STRIDE客户云服务提供商共享责任身份仿冒数据篡改抵赖信息泄露拒绝服务权限提升CSACBK安全指南4.0版领域2:治理和企业风险管理领域4:合规与审计管理领域5:信息治理领域6:管理平面和业务连续性领域12:身份、授
29、权和访问管理CSACCMCONTRO1.S4.0.X版AlS-应用程序和接口安全AIS-Ol:应用程序和接口安全政策和程序AIS-02:应用程序安全基线要求AIS-03:应用程序安全指标IAM-身份和访问管理IAM-01:身份和访问管理政策和程序IAM-02:强密码政策和程序责任共担模型IAM-03:身份清单IAM-14:强身份验证1.OG-日志记录和监控1.OG-Ol:记录和监控政策和程序CSATop威胁映射此攻击向量与以下内容相关:安全问题1:身份、凭据、访问权限和密钥管理、特权账户不足安全问题2:不安全的接口和API5:未经授权访问对象存储定义对象存储是云中最常见的服务之一。该攻击向量详
30、细描述了云托管存储中存在的公共对象的情况,这些对象无需用户身份验证或授权(通常是由于配置错误导致)。在未经授权的情况下,攻击者可以利用常见工具读取和/或写入数据,从而危害存储数据的可用性、完整性或机密性。描述云对象存储在任何部署中的都属于关键因素,大多数应用程序都需要某种形式的存储。假设这些云存储被错误配置为无需额外授权即可公开访问。在这种情况下,攻击者可以使用现成的实用程序破坏数据存储和其中的数据,很可能在不被发现的情况下进行攻击。对象存储服务构建的主要安全配置有以下几种: 公有/私有。在讨论公共云对象存储时,公有和私有之间的区别指的是网络访问(通过端点或主机名)和附加的身份控制措施,例如允
31、许匿名用户从存储中读取和/或写入。在对象存储中创建存储组件时,用户可以选择存储是公有的还是私有的。此配置控制存储的访问设置。当访问是公开的时,存储不需要授权,任何实体都可以访问它,没有特殊限制。 加密。根据事件后响应报告显示,许多云存储组件静态存储时是公开且未加密的。使用云原生加密密钥通常需要额外的权限,但这可以防止数据在某些情况下受到损害。 身份验证。一些公共云对象存储提供多种配置选项来对资源进行身份验证。大多数情况下,提供无身份验证或基本身份验证(用户名和密码)的选项。其他高级选项包括安全断言标记语言(SAM1.)或OPenlDconnect(OIDC),或基于云原生IAM的身份验证。后一
32、种身份验证方法比前一种方法更能抵御外部攻击。 除了这些安全配置之外,还可以实施其他预防措施: 安全意识培训。对用户进行对象存储安全意识培训对于维护云中存储的敏感数据的机密性、完整性和可用性至关重要。培训还可以帮助用户识别网络犯罪分子用来诱骗用户泄露敏感信息或点击恶意链接的网络钓鱼尝试和其他社会工程策略。最终,训练有素的用户群可以作为第一道防线,抵御网络威胁并帮助确保组织数据的安全。 安全扫描。对象存储的安全扫描可以成为一种有效的工具识别可能导致数据容易受到攻击的错误配置。通过扫描对象存储中是否存在配置错误的存储桶、可公开访问的数据或设置不当的访问控制,组织可以在安全问题被网络犯罪分子利用之前主
33、动检测和修复安全问题。定期安全扫描可以集成到组织的安全计划中,提供对对象存储安全状况的持续可见性,并帮助确保对数据的持续保护。要点为了主动保护云环境免遭对象存储攻击向量的未经授权的访问,组织可以: 保持所有对象存储的私有性。如果不打算公开对象存储或其中包含任何不应公开的数据,则最佳实践是将存储资产的设置更改为私有。 使用安全的共享流程。如果需要与外部各方共享数据,可以使用预签名UR1.、AWSSTS或AzureSAS等解决方案提供临时访问。 网络安全控制措施。将所有网络都保留在您的私有对象存储中子网和CSP骨干网,而不是使用私有端点等服务穿越公共互联网。 使用加密密钥。确保所有对象存储资源在传
34、输过程中和静态时都经过加密。优先使用客户管理的加密密钥并根据预定义的策略轮换密钥(至少每年一次)。使用CSP身份和访问管理机制管理对加密密钥的访问。 避免使用基本或无身份验证。虽然可能需要额外的资源和服务,但建议使用基于云原生IAM的身份验证或其他开放标准,例如SAM1.、OIDC等。 确保全面了解责任共担模型-这涉及了解云服务提供商和使用云服务的组织之间的安全责任划分,并确定哪些安全措施是各方的责任。通过了解此模型并实施适当的安全措施,组织可以帮助确保云中对象存储的安全。典型事件和案例请参阅以下典型事件和案例: HOWaMiSConfiRUredStOraReBUCketEXPoSedMed
35、iCalData PfiZerSUfferShuredatabreachOnUnSeCUredCIOUdStOraCeMilIiOnSOfVeriZC)nCUStOmerReCOrdSEXDOSedthroughC)DenAmaZOnS3BUCket适用于企业TTP的MITREATTaCK请参阅“限制文件和目录权限”,网址为MlTREID:MIo22.责任共担模型和STRIDE威胁建模图STRIDE身份仿冒数据篡改抵赖信息泄露拒绝服务权限提升CSACBK安全指南4.0版领域5-信息治理领域7-基础设施安全领域12-身份、授权和访问管理CSACCMCONTRO1.S4.0.X版A&A审计与鉴证A
36、&A-06:修复AIS-应用程序和接口安全AIS-Ol:应用程序和接口安全政策和程序AIS-02:应用程序安全基线要求AIS-04:安全应用程序设计和开发CCC-变更控制和配置管理CCC-04:未经授权的变更保护CCC-06:变更管理基线CCC-07:基线偏差检测DSP-数据安全和隐私生命周期管理DSP-01:安全和隐私政策和程序DSP-07:设计和默认的数据保护DSP-12:个人数据处理目的的限制DSP-13:个人数据子处理DSP-17:敏感数据保护HRS:人力资源HRS-03:清洁办公桌政策和程序HRS-12:个人和敏感数据意识和培训IAM:身份和访问管理IAM-05:最低权限IAM-06
37、:用户访问配置STA-03:SSRM指南STA-04:SSRM控制所有权STA-06:SSRM控制实施UEM通用端点管理UEM-11:数据丢失防护CSATop威胁映射此攻击向量与以下内容相关:安全问题8:意外数据泄露安全问题11:云存储数据泄露6:第三方跨环境/账户访问定义此攻击向量详细说明了第三方实体或资源访问客户云环境时的信任策略。在此攻击向量中,当授予第三方实体或资源的访问权限过于宽泛,可能导致第三方公司接管账户。在某些情况下,即使权限授予的并不足够强大,但仍有滥用的风险。第三方可获取额外权限或身份,进而导致账户被接管。描述组织在支持、监控或保护其环境时,常依赖第三方供应商和托管服务提供
38、商。这种访问可以通过多种方式实现,例如使用APKIAM角色、VPC对等互连、代理软件,或者是由第三方控制的特定VM或容器驻留在客户环境中。如果第三方受到攻击或遭受损害,公司可能会面临一定的风险。要点 在执行详细的安全评估后,合理地选择第三方提供商,确保供应商处于所需的安全级别 通过提供所需的最低权限实现最小权限原则,并拥有审查和削减权限的流程 如果可能(根据法律部门的批准),删除所有不使用的身份和第三方账户 确保为外部用户配置MFA 外部支持服务的时间使用AWSSTS、AZUrePriVilegedldentityManagement或AZUreJust-in等技术 审核所有身份执行的所有操作
39、,并确保有适当的日志记录机制检测异常行为 确保安全机制到位,防止未经授权的登录活动,例如,用于承担IAM角色的外部ID 定期绘制共享资源图,并分析风险及其衍生含义典型事件和案例请参阅以下典型事件和案例: CUStomerGUidanCeOnReCentNation-StateCyberAttaCkS CirCIeClWarnSCUStOmerStorotateanyandallsecretsafterhack CriminalaetOrtargetinRorganizationsfordataexfiltrationanddestruction 1.iVeAUCtiOneerSSeCUritV
40、BreaCh适用于企业TTP的MITREATTaCK ValidACCoUntS VaIidAccounts:ClOUdACCoUntS StealAPPliCationAeCeSSTOken ACCOUntManiPUIatiOn EXDIOitatiOnforPriViIereESCalation TrUStedReIatiOnShiPSTRIDE责任共担模型和STRlDE威胁建模图客户云服务提供商共享责任责任共担模型身份仿冒数据篡改抵赖信息泄露拒绝服务权限提升CSACBK安全指南4.0版领域2:治理和企业风险管理领域4:合规与审计管理领域6:管理平面和业务连续性领域7:基础设施安全领域1
41、2:身份、授权和访问管理CSACCMCONTRO1.S4.0.X版IAM-01:身份和访问管理政策和程序IAM-02:强密码政策和程序IAM-03:身份清单IAM-04:职责分离IAM-05:最低权限IAM-06:用户访问配置IAM-07:用户访问权限更改和撤销IAM-08:用户访问审核IAM-09:特权访问角色的隔离IAM-10:特权访问角色管理IAM-11:CSC批准约定的特权访问角色IAM-12:保护日志完整性IAM-13:唯一可识别用户IAM-14:强认证IAM-15:密码管理IAM-16:授权机制CCC-04:未经授权的变更保护DSP-07:设计和默认数据保护HRS-IO:保密协议1
42、.OG-0:记录和监控政策和程序1.OG-02:审计日志保护1.OG-03:安全监控和警报1.OG-04:审核日志访问和责任1.OG05:审核日志监控和响应1.OG-06:时钟同步1.OG-07:日志范围1.OG-08:日志记录1.oG-09:日志保护1.OG11:事务/活动记录1.OG-12:访问控制日志1.oG-13:故障和异常报告CSATop威胁映射此攻击向量与以下内容相关:安全问题1:身份、凭据、访问权限和密钥管理、特权账户不足安全问题3:配置错误和变更控制不足安全问题4:缺乏云安全架构和策略安全问题6:不安全的第三方资源安全问题11:云存储数据泄露7:不安全/未加密的快照及备份定义该
43、攻击向量涉及云平台或服务中存在的不安全或未加密的快照或备份。这些快照/备份可能包含敏感信息,例如密码、个人数据或机密商业信息。如果没有采取加密或其他安全措施进行适当保护,未经授权的人员可能会访问这些快照/备份。因此,正确的保护方式是着以原始数据相同的安全级别保护它们。这些快照/备份可以存储在不同的位置,通常用于数据丢失或其他中断情况下恢复数据。因此,确保对这些快照/备份的适当访问以及保持完整性级别非常重要。本文档将使用短语“不安全备份”指代不安全或未加密的快照或备份。描述一些潜在的攻击向量正在使用不安全的云备份,包括:1 .权限提升:攻击者可能使用不安全的备份进行横向移动或获得过多的权限(使用
44、备份来定位密钥和密码)。2 .勒索软件危害增强:攻击者可能会删除不安全的备份,阻止组织从勒索软件攻击中恢复。3 .权限配置错误:如果备份没有正确配置适当的权限,未经授权的各方可能会访问备份,进而访问和操纵敏感数据。4 .恶意代码注入:攻击者可能会使用不安全的备份作为向系统或网络注入恶意代码的手段,从而可能导致数据丢失、系统中断和其他负面影响。要点以下是防止不安全备份带来的潜在攻击向量的一些建议和最佳实践,如下所示: 在云备份上也使用数据最小化策略(通过数据保留策略),消除不必要的信息,从而降低风险。 对所有云备份账户使用强度高而独特的密码,并定期更新以防止未经授权的访问。 为云备份人员账户启用
45、MFA,并限制服务账户的访问已知的流量来源,以添加额外的安全层。对所有云备份和快照使用加密,防止敏感数据被泄露被未经授权的各方访问。 使用客户管理的加密密钥,并将其存储在安全的保管库中(例如AWSKMSAzureKeyVault或GoogleCloudKMS)。 每季度审查和更新所有云备份和快照的权限,确保只有授权身份才能访问。 实施备份和恢复计划,确保数据得到正确且轻松地备份,在数据丢失或其他中断期间恢复。 定期审查和更新安全措施,确保有效防范对备份和快照的潜在威胁。 将备份和快照保存在存档层或其他云提供商中,并进行适当的访问管理,以不可变的形式存储,并监控任何对备份和快照的访问。典型事件和
46、案例请参阅以下典型事件和案例: BOne)bosCIothinRStOreSUfferSadatabreach FindinRSeCretSInPUbiidyEXPOSedEbSVoIUmeS 1.e)OtPUbliCEBSSnaDShOtS适用于企业TTP的MITREATTaCK请参阅“数据备份”,MITREID:MIo53.责任共担模型和STRlDE威胁建模图共享责任CSACBK安全指南4.0版领域5:信息治理领域7:基础设施安全领域11:数据安全和加密领域12:身份、授权和访问管理CSACCMCONTRO1.S4.0.X版BCR-08:备份DSP-数据安全和隐私生命周期管理DSP-01:安全和隐私政策和程序DSP-07:设计和默认的数据保护DSP-12:个人数据处理目的的限制DSP-13:个人数据子处理DSP-17:敏感数据保护HRS-12:个人和敏感数据意识和培训IAM身份和访问管理IAM-Ol:身份和访问管理政策和程序
