網絡攻擊方法論正在被容器與無服務器計算改變
技術和生活一樣,最不缺的就是變化。各種系統創新發展的時候,攻擊這些系統的方法也在進化,始終朝著最大化攻擊回報的方向前進。黑客的創新腳步從未減緩,安全技術及方法必須跟上相同的步伐。
在需要黑進企業數據中心的數據庫才能賺錢的時候,攻擊者學會了繞過防火墻和網絡入侵防御系統。隨著網絡邊界的消失,隨著數據逐漸遷移到SaaS,聰明的黑客已經轉向了終端入侵和勒索軟件。而現在,基于云的應用迅速發展,攻擊者又瞄上了Web應用、微服務和API中的大量數據。
可更新基礎設施改變了安全生態
老式簡單而靜態的應用程序正快速變成歷史文物一樣的東西。曾經,典型應用程序的所有技術棧基本上都得包含在數據中心里。如今,更多的是勾選基于云的基礎設施即服務(IaaS)或平臺即服務(PaaS)的相關功能來構成企業IT運營所需。利用敏捷方法,開發運維團隊每天能推送一二十次應用代碼更新,遠遠超出以往每年或每兩年才升級一次的頻率。傳統應用的漫長生命周期曾令系統級攻擊的有效期非常持久,但無服務器架構和容器技術如今已減少了系統駐留時間,縮小了網絡攻擊界面。
云這種現代基礎設施的盛行對安全產生了重要影響。雖然很多傳統Web風格的攻擊依然可以攻破滿是漏洞的代碼,但應用程序在構建、部署和開發方式上的轉變,給攻擊者開辟出很多染指敏感或有價值數據的新機會。
事實上,去年IaaS配置錯誤導致的重大數據泄露就不止一起,而使用現代部署模式的企業如今必須像保護基礎設施本身一樣保護好自己的配置。這就要求企業做好配置管理,經常進行配置評估,并施行恰當的訪問控制。對提供商和配置的實時監控也是必要的,必須確保日志記錄能夠提供足夠的數據以檢測攻擊。
不過,利用可更新系統(或者說暫時性系統)的新式開發和部署模式也給安全團隊帶來了新的防護方法。
新防護方法的思路很簡單:每隔幾分鐘或幾小時就輪轉一下數據中心憑證;每隔幾小時就將數據中心里的服務器和應用都恢復到已知安全狀態;在補丁推出后的幾小時里就修復好所有操作系統和應用。
安全團隊遵循上述防護方法就能有效減小暴露面,縮短暴露在攻擊之下的時間窗口,讓黑客更難以攻擊構建部署在現代技術棧中的系統。這種方法可以讓企業跑在攻擊者前面,但卻談不上是牢不可破的防線。
攻擊持續性和自動化
攻擊者有專門的套路針對傳統的固化基礎設施。首先滲透進企業環境,然后在其中橫向移動,搜索高價值目標。而轉向容器和無服務器計算之后,基礎設施可以快速全盤刷新,整體替換一遍也就是幾分鐘的事,攻擊者在主機上駐留越來越難了。于是,他們將目光放在了攻擊App上,也就將應用安全推上了現代防護要求的高地。
隨著攻擊持續性概念的式微,黑客傾向于用自動化技術在遭遇系統重啟時讓自己的攻擊在幾秒鐘內從頭再來。當長期駐留不再可能,攻擊步驟自動化就成了關鍵,每次基礎設施刷新,自動化都可以將攻擊者瞬間帶回最深入的滲透點。
不過,這也給安全團隊提供了新的關鍵攻擊指標(IoC)。通過實時攻擊遙測,如果觀測到系統、基礎設施或應用反復出現相同的請求或修改,那就有極大的可能是遭到攻擊了。應用安全專家得長期關注基于閾值的行為檢測才能檢查出此類自動化攻擊序列。他們可以在當前Web防護產品中創建腳本或系統進行自動監測,或者查閱日志記錄,或者采用Splunk之類安全信息及事件管理系統(SIEM)。檢測出來的東西未必就是漏洞利用,也有可能是每次刷新時觸發的同個用戶或IP地址的錯誤操作。
對現代攻擊者來說,攻防游戲已經不再是取得系統駐留了,無論手段如何,達到目的即可。相比高級威脅、持續性威脅和長期駐留,基于云和基于服務的基礎設施更適合采用打了就跑的閃電戰攻擊模式——一個更新周期內即可執行完畢,或者能以自動化攻擊挺過多次刷新。
安全團隊必須重視應用技術和攻擊方法的轉變。黑客靠創新取勝,適應不及的系統就是他們最容易得手的目標。根據新興威脅態勢調整或采納安全模型,才可以確保下一代應用環境的安全狀態不弱于邊界安全時代。
