信息化觀察網(wǎng)

配置不當?shù)脑品湛梢栽趲追昼妰?nèi)被威脅攻擊者利用，有時甚至不到30秒。研究人員發(fā)現(xiàn)，攻擊包括網(wǎng)絡入侵、數(shù)據(jù)盜竊和勒索軟件感染。

Palo Alto Networks的Unit 42的研究人員使用了一個由320個部署在全球的節(jié)點組成的Honeypot基礎設施，他們錯誤地配置了云中的關鍵服務——包括遠程桌面協(xié)議（RDP）、安全外殼協(xié)議（SSH）、服務器消息塊（Samba）和Postgres數(shù)據(jù)庫。

研究人員在周一發(fā)布的一份報告中披露，他們發(fā)現(xiàn)攻擊者抓住了利用錯誤配置的機會，320個Honeypot中有80%在24小時內(nèi)遭到入侵，并且在一周內(nèi)全部遭到入侵。

此外，研究人員發(fā)現(xiàn)，一些攻擊在幾分鐘內(nèi)發(fā)生，其中一個速度特別快的威脅行為者在30秒內(nèi)入侵了全球80個Honeypot中的96%。

鑒于組織管理漏洞的速度通常以天或月為單位，“攻擊者可以在幾分鐘內(nèi)找到并破壞我們的Honeypot，這一點非常令人震驚。”Unit 42首席云安全研究員Jay Chen在帖子中寫道。

常見的云錯誤

研究清楚地表明，鑒于“這些面向互聯(lián)網(wǎng)的服務大多連接到其他云工作負載，”這些常見的錯誤配置能以多快的速度導致數(shù)據(jù)泄露或攻擊者破壞整個網(wǎng)絡，Chen寫道。他說，這強化了快速緩解和修補安全問題的重要性。

“當錯誤配置或易受攻擊的服務暴露在互聯(lián)網(wǎng)上時，攻擊者只需幾分鐘即可發(fā)現(xiàn)并破壞該服務，”Chen寫道，“在安全修復的時間安排方面沒有任何誤差。”

事實上，由于云服務配置錯誤，已經(jīng)發(fā)生了許多引人注目的網(wǎng)絡事件。僅今年，兩個受歡迎的商業(yè)網(wǎng)點——Hobby Lobby零售連鎖店和Wegman的雜貨店——就因這些類型的錯誤而分別遭遇了數(shù)據(jù)泄露。

由于云存儲桶配置錯誤，Hobby Lobby暴露了客戶數(shù)據(jù)，而Wegman客戶數(shù)據(jù)泄露也同樣基于云的數(shù)據(jù)庫配置錯誤。

引誘攻擊者

Unit 42在2021年7月至2021年8月期間進行了當前的云錯誤配置研究，部署了320個蜜罐，在北美（NA）、亞太（APAC）和歐洲（EU）四個地區(qū)，SSH、Samba、Postgres和RDP的分布均勻。他們的研究分析了當時在基礎設施中觀察到的攻擊的時間、頻率和來源。

為了引誘攻擊者，研究人員故意配置了一些具有弱憑據(jù)的帳戶，例如admin:admin、guest:guest、administrator:password，它們在沙盒環(huán)境中授予對應用程序的有限訪問權限。它們在發(fā)生妥協(xié)事件——即當威脅行為者通過其中一個憑據(jù)成功通過身份驗證并獲得對應用程序的訪問權限時——重置honeypot。

研究人員還在honeypot子集上封鎖了一系列已知掃描儀IP，根據(jù)觀察到的網(wǎng)絡掃描流量每天更新一次防火墻策略。

該團隊根據(jù)各種攻擊模式分析了攻擊，包括：攻擊者發(fā)現(xiàn)和破壞新服務所花費的時間、目標應用程序的兩次連續(xù)入侵事件之間的平均時間、在honeypot上觀察到的攻擊者IP數(shù)量以及觀察到攻擊者IP的天數(shù)。

具體結(jié)果

研究結(jié)果表明，Samba honeypot是攻擊速度最快的honeypot，也是攻擊者以最快速度連續(xù)破壞服務honeypot。

然而，研究人員報告說，SSH是攻擊者數(shù)量最多的錯誤配置服務，遭受的攻擊者和破壞事件的數(shù)量遠高于其他三個應用程序。他們發(fā)現(xiàn)，受攻擊最多的SSH honeypot在一天內(nèi)遭到169次攻擊，而平均每個SSH蜜罐每天遭受26次攻擊。

他們發(fā)現(xiàn)，研究人員還根據(jù)地區(qū)追蹤了攻擊情況，其中北美地區(qū)攻擊的最多的是Samba和RDP，而來自亞太地區(qū)的攻擊更頻繁地針對Postgres和SSH。

Chen寫道，總體而言，85%的honeypot攻擊是在一天內(nèi)觀察到的，這向研究人員表明，阻止已知掃描儀IP對緩解攻擊無效，因為攻擊者很少重復使用相同的IP來發(fā)起攻擊。

避免常見的云錯誤

研究人員表示，對于犯下容易被利用的常見云配置錯誤的組織來說，好消息是，它們也很容易避免。Chen為系統(tǒng)管理員列出了幾項建議，以避免讓服務暴露在攻擊之下。

為了保護服務免受攻擊者IP的攻擊，云管理員可以實施防護措施以防止特權端口被打開，并創(chuàng)建審核規(guī)則來監(jiān)控所有打開的端口和暴露的服務。

研究人員還建議管理員創(chuàng)建自動響應和補救規(guī)則來自動修復錯誤配置，并部署下一代防火墻來阻止惡意流量。