在云环境中寻找攻击路径
云基础设施的大规模采用有着数不清的优势。因此,如今,企业最敏感的业务应用程序、工作负载和数据都在云中。
无论是好是坏,黑客都注意到了这一趋势,并有效地改进了他们的攻击技术,以适应这种新的诱人的目标环境。由于威胁参与者的高反应性和适应性,建议假设组织受到攻击,并且一些用户帐户或应用程序可能已经受到攻击。
要通过受损账户或被破坏的资产准确查明哪些资产面临风险,需要在资产之间所有关系的综合地图上绘制潜在攻击路径。
如今,使用AzureHound或AWSPX等扫描工具绘制潜在攻击路径。这些是基于图形的工具,能够可视化相关云服务提供商内的资产和资源关系。
通过解析策略信息,这些收集器可以确定特定访问路径如何影响特定资源,以及如何组合这些访问路径来创建攻击路径。
这些基于图形的收集器显示拓扑结果,映射出环境中的所有云托管实体以及它们之间的关系。
根据资产的属性分析结果图中建立的每个实体之间的链接,以提取关系的确切性质和资产之间的逻辑交互,基于:
- 关系方向——是从资产X到资产Y的连接方向,或者反过来。
- 关系类型;是资产X:
- 包含在资产Y中
- 可以访问资产Y
- 可以对资产Y采取行动
所提供信息的目的是帮助红队队员识别潜在的横向移动和权限提升攻击路径,并帮助蓝队队员找到阻止关键升级和阻止攻击者的方法。
那句话的关键词是“协助”它们生成的综合映射输出是被动的结果,因为需要准确、及时地分析和处理信息,以便有效地映射潜在的攻击路径并采取预防措施。
尽管特定于云的收集器提供的信息将揭示特权访问管理中的错误配置和错误的身份访问管理器(Identity Access Manager,IAM)策略,并启用先发制人的纠正措施,但它无法检测到攻击者可能利用的潜在二级权限层来开辟攻击路径。
这需要额外的分析能力,能够对包含资产和相对于包含资产的被动关系等进行深入分析。Cymate目前正在开发一个工具包,该工具包可操作一种更主动的发现方法,从而执行更深入的分析。
例如,如果我们设想一种情况,特权用户a可以访问密钥库X,那么基于图形的收集器将正确映射用户a和资产X之间的关系。
在这种情况下,用户A和密钥库X中包含的机密之间没有直接关系。根据上述分类,如果我们称机密资产Y(1到N),收集器描述的关系是:
- 资产Y包含在资产X中
- 用户A和资产X之间的连接方向
然而,从敌对的角度来看,进入密钥库有可能获得通过这些秘密可以访问的所有资产。换句话说,基于图形的关系图无法识别用户A到资产Y(1到3)之间的关系N)。这需要具备分析能力,能够识别其他资产中包含的资产与包含资产的外部资产之间的关系。
在这种情况下,要准确查明哪些资产可能会受到用户A的威胁,需要列出与密钥库X中存储的机密相关的所有资产。
Cymate在扩展安全态势管理(XSPM)平台中统一的大量连续安全验证功能已经被红队采用,用于自动化、扩展和定制攻击场景和活动。Cymate一直在寻找新的方法来帮助他们克服这些挑战,它致力于不断用额外的功能丰富平台工具集。
在空闲时自由探索XSPM功能。
