Palo Alto Networks 調查團隊 Unit 42 雲端威脅報告: IAM為防禦雲端威脅的第一道防線

週六, 2022年4月30日 02:27
打印

Palo Alto Networks 調查團隊 Unit 42 雲端威脅報告: IAM為防禦雲端威脅的第一道防線


現今的企業持續遷移業務上雲端,令更多存儲於雲端的敏感數據有機會被網絡攻擊者利用。身份管理是保護雲端安全的第一道防線。若沒有適當的身份和訪問管理(Identity and access management,IAM)措施,企業即使購買再多的保安工具,也無法全面保障網絡安全。

為研究IAM措施如何影響企業的雲端安全部署,我們分析了來自200間不同企業的18,000個雲端帳戶的68萬多個身份,了解這些身份的配置和使用方式,當中結果令人震驚。

幾乎所有分析的企業都缺乏維持安全所需的適當IAM管理措施

配置錯誤的IAM措施為雲端攻擊者敞開了大門。根據Unit 42的定義,雲端攻擊者透過定向和持續訪問雲端平台資源、服務或嵌入式中繼資料,對企業構成個人或團體的威脅。Unit 42調查團隊觀察到攻擊者已經開始採用一套專門針對雲端的攻擊策略、技術和程序(Tactics, techniques and procedures,TTP),例如利用同時執行橫向移動和特權升級操作的能力。

疫情期間,雲端工作負載總體出現了顯著的擴展,企業更常使用雲端,在雲端託管一半以上工作負載的企業數量急劇增加(見圖1)。越來越多的企業將工作負載遷移到雲端並在雲端中開發原生應用,因此在構建雲端安全策略時,需要特別著重身份管理。

不久前,Unit 42亦發佈一份關於IAM重要性的報告。配置錯誤或過於寬鬆的身份訪問控制容許攻擊者無須使用複雜的程式,便可不費吹灰之力獲得資源的訪問權限。

攻擊者對缺乏適當IAM控制措施的企業虎視眈眈,再加上雲端平台使用增加,令雲端攻擊更多元化並更容易發起。要保障網絡安全,企業需要了解問題的起因及攻擊者的威脅方式。

Unit 42雲端威脅報告《IAM為防禦雲端威脅的第一道防線》的主要發現

IAM會成為攻擊目標的原因眾多,有以下主要因素:

密碼重複使用:44%的企業機構允許IAM密碼重複使用。

弱密碼(少於14個字符):53%的雲端賬戶允許使用弱密碼。

雲端身份過於寬鬆:99%的雲端用戶、角色、服務和資源被授予過多的權限,而這些權限最終沒有被使用(是次研究將60天或更長時間內沒有被使用的權限視為過多的權限)。

用戶未適當管理內置的措施:大多數雲端用戶喜歡使用內置措施,而雲端服務提供商(Cloud service provider,CSP)管理措施所授予的權限通常是客戶管理措施的2.5倍。用戶能夠減少授予的權限,但他們往往不這樣做。

由於企業允許過多的權限和過於寬鬆的措施,因此攻擊者往往在進入企業的雲端環境時暢通無阻。大多數企業對利用寬鬆的IAM措施發起的攻擊毫無準備,而攻擊者也知道這一點,因而瞄準雲端IAM憑證,並以收集這些憑證為攻擊過程的目標。現時,攻擊者已利用獨特用於雲端平台的TTP發動新攻擊。企業需要意識到這一點,才能採取適當的策略來保護自己的雲端。

雲端攻擊者名單:協助企業防禦IAM雲端威脅

為幫助企業抵禦IAM威脅,Unit 42創建業界首個雲端攻擊者名單,分析攻擊組織針對雲端基礎架構所執行的操作。這些圖表詳細說明每個雲端攻擊者的TTP,使安全團隊和整個企業能夠評估其自身的防禦策略並建立適當的監控、檢測、警報和預防機制。

雲端攻擊者名單能指出針對雲端基礎架構的主要攻擊者以及已知利用雲端進行攻擊的國家級攻擊者。以下是一部分主要的雲端攻擊者。是次報告中分析了他們的行動並按照廣泛程度排序:

TeamTNT:最惡名昭彰和攻擊最精密複雜的憑證攻擊組織。

WatchDog:針對有弱點的的雲端情况和應用程式的投機威脅組織。

Kinsing:以謀取經濟利益為目標的投機雲端威脅組織,具有收集雲端憑證的巨大潛力。

Rocke:專門從事雲端環境中的勒索軟件和加密劫持行動。

8220:Monero採礦組織,據稱在2021年12月利用Log4j升級了他們的採礦行動。

利用和針對雲端基礎架構的主要高級持續威脅組織

APT 28 (Fancy Bear)

APT 29 (Cozy Bear)

APT 41 (Gadolinium)

防禦雲端威脅

適當的IAM配置可以阻止非法訪問、提供對雲端活動的可視性並減少安全事件發生時的影響。Unit 42強烈建議企業採取下列方式防禦針對雲端的威脅:

雲端原生應用保護平台(CNAPP)套件集成

強化IAM權限

提高安全自動化程度

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

( 內容由有關方面代表提供, 經編輯後刊登 )