网络犯罪分子总是在访问管理中寻找盲点,无论是错误配置、糟糕的认证实践、未修补的安全漏洞还是公司城堡的其他隐藏门。 现在,随着组织继续向云进行现代化迁移,不良行为者正在利用一个新兴机会:组织使用云提供商的访问缺陷和错误配置 身份和访问管理(IAM) 层。
在 10 月 XNUMX 日星期三在 Black Hat USA 举行的题为“我是那个敲的人,” Ermetic 研究主管 Igal Gofman 将提供对这一新兴风险前沿的看法。 “防御者需要明白,新的边界不是以前的网络层。 现在它真的是 IAM——它是管理一切的管理层,”他告诉 Dark Reading。
复杂性,机器身份 = 不安全
他指出,安全团队在实施云 IAM 时最常见的陷阱是没有认识到环境的绝对复杂性。 这包括了解软件即服务 (SaaS) 应用程序创建的不断增加的权限和访问量。
“攻击者继续通过网络钓鱼或其他方法获取令牌或凭据,”Gofman 解释说。 “有一次,除了本地机器上的东西之外,这些对攻击者的帮助并不多。 但现在,这些安全令牌拥有更多访问权限,因为在过去几年中,每个人都迁移到了云端,并且拥有更多对云资源的访问权限。”
复杂性问题在涉及到 机器实体 ——与人类不同,它总是在工作。 在云环境中,它们用于使用 API 密钥访问云 API; 启用无服务器应用程序; 自动化安全角色(即云访问服务代理或 CASB); 使用服务帐户将 SaaS 应用程序和配置文件相互集成; 和更多。
鉴于现在普通公司使用数百个基于云的应用程序和数据库,大量机器身份呈现出高度复杂的交织权限和访问网络,支撑着组织的基础设施,难以获得可见性,因此难以管理,戈夫曼说。 这就是为什么对手越来越多地试图利用这些身份。
“我们看到非人类身份的使用有所增加,这些身份可以在内部访问不同的资源和不同的服务,”他指出。 “这些是与其他服务对话的服务。 他们拥有权限,并且通常比人类拥有更广泛的访问权限。 云提供商正在推动他们的用户使用这些,因为在基本层面上,他们认为它们更安全。 但是,有一些利用技术可以用来破坏使用这些非人类身份的环境。”
他补充说,具有管理权限的机器实体对攻击者使用特别有吸引力。
“这是我们看到网络犯罪分子针对的主要载体之一,尤其是在 Azure 中,”他解释道。 “如果您对如何在 IAM 中管理它们没有深入了解,那么您就是在提供一个安全漏洞。”
如何提高云中的 IAM 安全性
从防御的角度来看,Gofman 计划讨论组织为解决在云中实施有效 IAM 的问题而拥有的多种选择。 一方面,组织应利用云提供商的日志记录功能来全面了解环境中存在的人员和内容。
“这些工具实际上并没有被广泛使用,但它们是更好地了解您的环境中正在发生的事情的好选择,”他解释道。 “你也可以使用日志记录来减少攻击面,因为你可以准确地看到用户正在使用什么,以及他们拥有什么权限。 管理员还可以将声明的策略与给定基础设施中实际使用的策略进行比较。”
他还计划分解和比较前三大公共云提供商——亚马逊网络服务、谷歌云平台和微软 Azure——的不同 IAM 服务以及它们的安全方法,所有这些都略有不同。 对于使用来自不同提供商的不同云的公司来说,多云 IAM 是一个额外的问题,Gofman 指出,了解他们提供的工具之间的细微差异可以大大加强防御。
他指出,组织还可以使用各种第三方开源工具来更好地了解整个基础设施,并补充说他和他的共同演讲者、Ermetic 的研究负责人 Noam Dahan 计划演示一个选项。
“Cloud IAM 非常重要,”Gofman 说。 “我们将讨论危险、可以使用的工具,以及更好地了解使用哪些权限和不使用哪些权限的重要性,以及管理员如何以及在何处识别盲点。”
