隨著越來越多的企業組織將業務遷移到云計算環境之中，針對他們的網絡犯罪分子也隨之將目光瞄準云計算環境。了解最新的云攻擊技術可以幫助企業組織更好地應對即將到來的威脅。

網絡安全廠商WhiteHatSecurity公司首席技術官(CTO)AnthonyBettini在近日召開的RSA安全大會上的一個小組討論中表示：

每當看到技術變革時，我認為您肯定也會看到泛濫成災的網絡攻擊者，他們要么對技術變革進行攻擊，要么駕馭變革浪潮。”當企業組織沒有考慮這些威脅因素，而選擇直接遷移至云環境時，很可能會搞得安全團隊不知所措，從而致使其數據和流程面臨嚴峻風險。

網絡攻擊者一直在尋找利用云計算技術進行攻擊的新方法。以最近發現的“CloudSnooper”攻擊為例，該攻擊使用rootkit通過受害者的AmazonWebServices(AWS)環境和本地部署防火墻將惡意流量引入，然后再將遠程訪問木馬程序植入到基于云計算的服務器上。隨著這些問題的不斷出現，許多犯罪分子都依賴經過實踐檢驗的方法，例如強行使用憑據或訪問存儲在錯誤配置的S3存儲桶中的數據。安全專家表示，企業云安全道阻且長，安全團隊必須跟上技術發展的步伐。

在談及云平臺中的網絡攻擊鏈問題時，Securosis公司分析師兼DisruptOps公司首席信息安全官(CISO)RichMogull表示：

“當您要利用現有的安全技能并且要進入一個完全不同的環境時，務必先要弄清楚您真正需要關注的重點以及真實情況到底是什么，這將是一個巨大的挑戰。”

接下來，我們將討論其中一些常見的攻擊鏈，以及其他云攻擊技術，這些都是安全專業人士和網絡犯罪分子的首要考慮因素。

1.憑證泄露導致帳戶被劫持

導致帳戶劫持的API憑據公開是云平臺中的一個高危性攻擊鏈。Mogull在RSA大會的演講中表示：

“這種特殊的攻擊確實是最常見的攻擊類型之一。”

他表示，通過靜態憑據(在AWS中，靜態憑證是訪問密鑰和秘密密鑰，它們類似于用戶名和密碼，但用于AWSAPI調用)，攻擊者可以偽裝成用戶登錄賬戶并將資金轉移出去，因為這些憑據通常用于登錄并授權交易中的操作。而我們之所以必須使用這些密碼，是因為用戶希望某些內部部署數據中心在與云平臺對話時，需要具備某種用戶名/密碼憑證的能力。

當攻擊者獲得其中一個訪問密鑰時，他們就可以在受其控制的主機或平臺上使用它，并執行API調用以進行惡意操作或特權升級。這些密鑰通常是通過GitHub、BitBucket、共享圖像、快照公開等方式泄露。網絡攻擊者反編譯GooglePlay商店應用程序并提取靜態憑據，然后便可以使用這些憑據。有人可能會侵入開發人員的筆記本電腦或實例，并查看他們的命令歷史記錄或配置文件，以找到允許他們進入云計算環境的訪問密鑰。

Mogull表示：

“我認為，這確實是當今云攻擊的最大單一載體……是眾多方法中的其中一種。尤其是公開發布內容。”

他建議，用戶應該盡量減少使用其憑證，并在代碼存儲庫和公司GitHub中進行掃描。因為一旦這些密鑰公開暴露，網絡攻擊者只需幾分鐘就可以對您的基礎架構進行嘗試攻擊。

2.配置錯誤

星巴克公司全球首席信息安全官(CISO)AndyKirkland在今年的CSA信息峰會上的一次演講中表示，配置錯誤在很大程度上或至少部分是“影子IT的品牌重塑”。幾乎任何人都可以得到一個S3存儲桶，并隨心所欲地使用它。與錯誤配置有關的網絡攻擊仍然會發生，因為企業組織經常無法保護其存儲在公共云中的信息。

訪問控制可能被設置為公共或匿名;存儲桶策略或網絡安全策略可能過于寬松;或將公共內容分發網絡(CDN)設置為訪問私有數據。面對這些情況，可以肯定的是，被放置在對象存儲(ObjectStorage)中的敏感數據并沒有得到適當的保護。網絡攻擊者通過掃描只要發現任何一個公開的數據存儲，就能夠輕松地提取他們想要的數據。

Mogull表示，這些默認值是安全的，但是可以很容易地將它們公開暴露。云計算提供商提供了減少這種情況的工具，但對于企業組織而言，這仍然是一個痛點。他建議，企業組織可以進行持續性評估，并特別注意對象級別權限：在更改存儲桶級別權限時，directadmin安裝，并不總是更改對象級別權限。

他說：

“這些問題確實很難解決，因為有些企業組織在這些環境中有成千上萬的對象，現在他們必須嘗試找到它們。而最好的辦法是使用控件‘不要讓任何人公開此信息’。”

如果確實需要公開某些內容，則可以配置環境，以使所有內容保持原狀，但以后不能公開其他內容。

OracleCloud安全產品管理高級總監JohnnieKonstantas表示：

“越來越多的關鍵工作負載運行在公共云中。我認為……公共云提供商有責任開展這種對話并商談一下接下來的發展計劃。”

3.主流云計算服務是熱門目標