2021年雲安全威脅預測

雲時(shí)代的安全問題是當務之急，因為(wèi)雲為(w能但èi)惡意行為(wèi)者提供了比以往更多的目标集，并提供了進行攻擊的新工(g林土ōng)具。這些攻擊所基于的啟動點範圍很廣——從一般憑據（例如(rú)被遺忘河市的或被盜的憑據）到使用AWS Glue和Sage Maker等數據科(kē)學車見工(gōng)具的新憑證，以及使用Kubernetes等西相強大(dà)的工(gōng)具實施的複雜攻擊等等。

2021年，我們(men)勢必将看到更多針東他對雲服務的攻擊活動，以下是雲安全在接下來一年的威脅預測：

持續性攻擊

當創建新實例并運行可以匹配所需任何硬件或軟件環境的虛拟機時(shí)文作，雲體系結構可提供完全的靈活性。但是，這種靈活性（如(rú)果不(bù)公劇能得(de)到适當保護的話）又會(huì)誘發惡意行為(通得wèi)者發動攻擊，并在保持對初始攻擊的控制權的情況能現下發起持續性攻擊。

像Amazon Web Services這樣的雲服務使開(kāi)發人員可以木訊輕松地以漸進式或間斷式的方法構建環境。例如(看綠rú)，AWS允許開(kāi)發人員在每次重新啟動A秒北mazon EC2實例（即為(wèi)用戶數據）時(shí)自動門弟執行腳本，這就意味着如(rú)果黑客設法使用可能已傳遞到雲實例的有毒shel章友l腳本來利用實例，那麼他(tā)們(men)将能夠持續不(bù)斷地利用其與服著海務器(qì)的連接。

通(tōng)過這種方式，黑客将能夠在服務器(qì)内橫向移動，竊取數據或獲取身關特權，使他(tā)們(men)能夠進一步利用組織道學的資(zī)産。當然，管理員可以關閉此選項，并要求開(kāi)發人員每金腦次返回環境時(shí)都要進行登錄——但是實現這一步需要開內金(kāi)發人員積極主動配合才行。本質上來說(shuō)，拍理AWS的靈活性也正是其弱點所在；除了過多的配置選項外黃鐵，服務錯(cuò)誤配置的機會(huì)也更多，從而給黑客留下了更多的攻擊入口舞光。

數據科(kē)學工(gōng)具攻擊

事實證明，筆記本（Notebook）對于數據科(kē)學家(jiā)來靜南說(shuō)是必不(bù)可少的存在，能夠幫助他(tā)們(men)快速集對亮成和分析數據。像是AWS Sage Maker這類工說多(gōng)具可以使該流程更加高效，幫助數據科(kē)學家(j東習iā)構建、訓練和部署機器(qì)學習模型。但是，作為(w要鐵èi)一種相對較新的工(gōng)具，其受衆範圍并廠讀非全是安全領域的人士，自然地，安全意識也會(huì)相對薄弱，這也給了惡意電這行為(wèi)者可乘之機。

與其他(tā)Amazon産品一樣，Sage Maker之類的工(gōng)具知區同樣非常靈活，且具有很多選項。研究表明，惡意行為(wè還日i)者可以利用這些選項中一些來提升他(tā)們(men)的特權，甚有秒至給自己授予更高的管理員特權。該攻擊路徑可能使惡意行為(wèi)者能夠打裡雜開(kāi)雲實例上的終端功能，并繞過Amazon GuardDuty（可用于裡如訪問高級角色和權限）洩露憑證數據。同樣地，惡意行車月為(wèi)者還可以利用CloudGoat等開一近(kāi)源項目，并使用AWS Glue、科西CodeBuild和S3以及未使用的組和角雪人色來進行特權升級。面對這種情況，管理員和愛山數字科(kē)學家(jiā)也需要熟悉自身正在使用的系統的體系架構，以保護林舞自身安全，并最大(dà)限度地縮小惡意行為(wèi家頻)者的活動空間。

機器(qì)人可能會(huì)感染雲遺留資(zī)産

機器(qì)人無所不(bù)在，雲端也不(bù)例外；安全公司Globa從近lDots的一份調查報告顯示，超過80％的“惡意機器(qì)人”（即紙作竊取數據、抓取内容、分發垃圾郵件、運行分布式拒絕服務攻擊等行為(人要wèi)的機器(qì)人）都是基于雲的數據中心運行的。盡管許多機器(電紅qì)人會(huì)投毒其他(tā)站點——使用它們(men)控制的服務器(費花qì)去攻擊其他(tā)服務器(qì)和用戶，但是它們(men)也可以簡單地懂低控制雲基礎架構來為(wèi)其所有者執行任務。研究表明，校鐵在這些任務中，更受歡迎的是加密貨币挖礦（cryptominin愛街g），在某種程度上，它也算是周邊最大(dà)影白的網絡威脅之一。

據研究人員稱，如(rú)果說(shuō)竊取資(zī)源和資(zī)金(很到jīn)還不(bù)夠，那麼加密貨币挖礦惡意軟件的新變種現在還會(huì)竊取化內AWS憑證。該蠕蟲利用加密貨币挖礦惡意軟件進行封裝西那，并尋找未加密的AWS CLI文件，最後會(huì)從中提取憑證數據。解決方紙快案是限制對這些數據的訪問——但是這點同樣需要管理員的積極配合。見自

更多Kubernetes威脅到來

負責上述AWS憑證盜竊的同一網絡犯罪組織Te外那amTNT，利用常見的配置錯(cuò)誤問短睡題，開(kāi)發了濫用可視化和監視工(gōng)具We風做ave Scope的方法。黑客使用通(tōng)過端信線口4040授予的默認開(kāi)放訪問權限，來安裝Weave Scope，并吧看将其用作監視系統、利用資(zī)源、安裝應用程序、啟動或關閉容器(qì)中S鐘劇hell的後門程序，實現自己想要實現的一切事情。

根據網絡安全公司Intezer和Microsoft發布的放但最新研究顯示，Weave Scope已經請妹成功被納入基于雲的攻擊中。

目前，黑客大(dà)多使用這些方法來安裝加密貨币挖礦惡意城兒軟件，但是卻找不(bù)到辦法阻止它們(men)控制雲系統用于惡意目的。科看攻擊媒介不(bù)斷變化，而且還在持續增長(cháng)。随着她民谷歌Kubernetes項目的不(bù)斷發展，并持續添加新的特征和功能看從，越來越多的企業和開(kāi)發人員已經将自己們司的工(gōng)作轉移到了K8S上。這一切不商也成功吸引到了惡意行為(wèi)者的目光，他(tā站他)們(men)開(kāi)始針對Kubernetes項目的新體影功能進行滲透測試并尋找可利用的機會(huì)——用戶不(bù)場雨太可能填補的漏洞和錯(cuò)誤配置，因為(wèi)他(tā)弟我們(men)根本不(bù)知道如(rú)何做，甚至章美完全不(bù)了解Kubernetes。

搶先防禦，先發制人

随着越來越多的企業組織安裝更多的雲應用，針對雲的攻擊自然會北行(huì)不(bù)斷增長(cháng)。預計到2023年，公司的公輛劇共雲支出将比2019年的分配額增加一倍以上，但是，随着攻擊者不(內歌bù)斷尋找他(tā)們(men)能夠利用的“最薄弱有拍環節”，相信未來我們(men)會(huì)友很看到更多此類攻擊以及其他(tā)類型的攻擊。

可惜的是，大(dà)多數這些問題以及仍在不(bù)斷湧現的新問題議女，事實上都是可以予以糾正的，隻是一般直到發生問村近題之後，許多管理員和用戶才能真正地發現這些問題。到那時(shí)，他問見(tā)們(men)已然成了“受害者”，受害事迹也被公布在安爸錢全公司的博客上，之後，他(tā)們(men)才會(理林huì)想辦法解決已經出現的問題。

為(wèi)了避免這種情況，訣竅是通(tōng)過發現“漏洞”或錯(cu科讀ò)誤配置為(wèi)黑客提供的攻擊入口，從歌機而在問題演變成現實攻擊之前就将其解決填補。随着2021年雲應用量的持票計續增加，用戶對于配置問題的安全意識——以明費及解決它們(men)的方法，必須同步增長(cháng)才行拿志。