改进攻击链方法以保护基于云计算的应用程序

信息安全专业人员可能听说过用于识别和防止网络入侵的网络攻击链框架。该模型由洛克希德·马丁公司(Lockheed Martin Company)建立，遵循军事命名方法来描述和处理网络威胁的各个阶段。这些阶段被称为侦察、武器化、交付、使用、安装、指挥和控制，最后是对目标的行动。

尽管此模型适用于物理威胁和网络威胁，但需要注意的是，并非攻击链的所有步骤都用于每次网络攻击。例如，“侦察”的第一阶段和“行动”的最后阶段通常只出现在目标攻击中。攻击的持续时间也可能因其性质而异。机会攻击必须迅速实施，恶意行为者的最终价值往往取决于受害者的数量，而不是他们的质量。术语“攻击链”因用于网络安全而受到批评。有人说，它加强了基于边界和恶意软件防御的传统防御策略，并不能完全防止内部威胁。然而，该模型自建立以来已有很大发展。现在，它帮助人们了解常用的操作方法，抵御APT目标攻击，以及勒索软件、网络钓鱼或加密攻击等机会主义威胁。

但是，当然，网络攻击的发展速度和他们瞄准的技术一样快。信息安全专家现在呼吁人们更好地理解攻击链如何随着云计算应用程序的出现而变化，这是可以理解的。如果没有适当的保护，云计算服务会增加组织的攻击面和攻击链的多个阶段。

因此，有必要了解组织如何使用攻击链方法来解决对其关键云计算应用程序的这种新型攻击。

攻击链利用云服务

信息安全专业人员解决基于云计算的安全问题的最佳方式是密切关注攻击链的每个阶段，并评估恶意活动在哪里使用云计算来避免传统安全技术。

侦察阶段是一个很好的起点。在攻击链的这个阶段，恶意行为者可以使用各种方法从受害者那里收集信息，而越来越多的云计算服务只会为攻击者提供额外的入口点。攻击者可以研究受害者使用哪种云计算服务(因此他们可以为受害者使用的应用程序构建定制的网络钓鱼页面或恶意插件)，或者扫描配置错误或可公开访问的云计算资源，然后使用这些资源进入目标公司。他们还可以利用明显无害的云服务中共享的敏感信息。

武器化阶段认为，恶意行为者已经为他们的工作建立了必要的基础设施:从网络钓鱼页面和恶意软件分发点到命令和控制域。如今，这些资源可以很容易地托管在云服务上，恶意广告系列从云计算服务分发其有效负载也越来越常见，甚至使用云计算服务作为其命令和控制的安全避风港。

重要的是，云计算应用通常没有得到足够的定期检查，或者通过无法有效识别和分析环境的传统技术被完全列入白名单。这里的人们看到云计算在开发阶段的作用。场景感知系统会注意到放入AWS或Azure云平台的数据，例如组织外部的数据，但是传统的安全技术不能做到这一点。因此，网络犯罪分子使用云计算服务来逃避被监控的检测。

一旦恶意基础架构构建完成，下一个逻辑步骤就是从云平台转移攻击媒介。网络钓鱼页面现在可以从云中提供，任何其他潜在的恶意负载也可以。人们还发现了一系列滥用云计算服务作为恶意软件分发网站重定向器的广告，恶意软件分发网站是攻击目标。

安装恶意软件后，您需要连接到它的命令和控制基础架构。攻击者可以利用这个连接来揭示信息，控制僵尸网络中被攻击的端点发起DDoS攻击或垃圾邮件活动，或者建立一个立足点来横向移动并深入挖掘受害者组织的数据。同样，云计算在这一阶段扮演着重要角色，因为攻击者可以使用可信云服务，如AWS和谷歌驱动来隐藏通信渠道

云计算的特点在这些阶段也发挥了重要作用。一旦攻击者直接或通过受攻击的端点访问云计算服务，他们就可以水平移动并穿越云平台。他们不仅可以更改云中托管的关键服务的配置，升级权限以获得更多访问权限，窃取数据并清除其踪迹，还可以启动新实例来实现恶意目的，例如加密攻击。

当然，当人们考虑和处理攻击链时，人们不会包围或分离云计算攻击向量和表面，这当然非常重要。攻击可以使用传统攻击媒体(例如网络和电子邮件)和云计算服务的组合。术语“混合威胁”用于定义利用这种混合方法的攻击。

如何克服基于云计算的挑战

通过观察攻击链的每个阶段，您可以看到信息安全专业人员保持谨慎是正确的。各种业务和行业的云采纳率已经达到96%。尽管本地资源在不久的将来不太可能消失，云计算现在已经成为大多数信息技术基础设施和战略的基础。

人们可以看到云计算应用对安全性构成了重大而独特的挑战。也许在云起源的时代，每个人面临的最大挑战是云计算基础设施和服务的持续发展。

抵御基于云的威胁的唯一方法是使用基于云的安全技术。也许很明显，只有基于云的技术才能检测和减轻基于云的威胁，而像Netskope这样的威胁感知和实例感知的统一平台可以更全面地了解用户的位置，发现混合威胁并实施使用策略。

一旦技术到位，将会有许多独立的计划来帮助解决基于云计算的安全挑战。

这包括需要对所有IaaS资源执行定期的连续安全评估，以防止恶意攻击者利用错误配置，并对受制裁的云计算应用程序中的任何外部共享内容执行定期的数据丢失防止(DLP)扫描，以防止无意中泄露的信息被恶意行为者利用。

组织必须为未经批准的服务和未经批准的云计算服务做好准备，并确保员工接受安全可靠使用云计算服务的有效培训。许多漏洞是由人为错误造成的，因此警告用户云计算应用程序中的缺陷非常重要，例如警告他们避免执行来自不可信来源的未经签名的宏，即使该来源看起来是合法的云服务。更重要的是，组织必须警告用户避免执行任何文件，除非他们非常确定这些文件是良性的，并建议不要打开不受信任的附件，无论其扩展名或文件名如何。

要实施的示例策略包括需要从非托管设备进行扫描，以批准所有上传的云计算应用程序的恶意软件。一个好的选择是阻止未经授权的已批准/众所周知的云计算应用程序实例，以防止攻击者利用用户对云计算的信任，或者防止数据传输到组织外部的S3存储桶。尽管这似乎有点限制性，但它显著降低了恶意软件通过云平台渗透的风险。

显然，正如云计算在过去十年中完全改变了数据和应用程序的部署方式一样，信息技术也从根本上改变了信息技术安全要求。

事实上，虽然传统的安全流程可能仍然在保护现代工作负载方面发挥作用，但完全致力于云计算的安全性和合规性要求的组织必须完全改变其针对云的原生时代的安全策略。