2024云平台攻击向量报告.docx

云平台攻击向量报告

PAGE

PAGE10

目录

简介 8

本文档的目的 8

文件结构和范围 8

目标受众 9

IaaS和PaaS云攻击向量 9

1：可利用的工作负载 11

2：工作负载权限过高 14

3：不安全的密钥、凭证和应用密钥 17

4：可利用的身份验证或授权 21

5：未经授权访问对象存储 25

6：第三方跨环境/账户访问 29

7：不安全/未加密的快照及备份 33

8：受损镜像 37

结语 40

延伸阅读 41

简介

我们在不断加深对云上风险和威胁的认识与发展过程中，CSA顶级威胁等工作组以及其他组织为我们对这一主题的了解和理解作出了巨大贡献。我们尽管已经记录了许多对业务产生广泛影响的风险和威胁，但还是发现其中许多风险和威胁只利用到了少量的攻击向量。这正是本项研究的主题所在。

为了进行本项研究，我们首先回顾了近期大量IaaS与PaaS相关的安全事件，并将这些事件的细节细化为实际利用的攻击向量。我们使用CSA顶级云安全威胁案例、MITRE相关分析以及之前对云事件的研究，尽可能多的分析安全事件。

在我们制定了完整的向量列表后，我们邀请了一批在云攻击方面经验丰富的专业人士。我们利用我们的集体经验将不同的个体分组，成为一组八个的主要攻击向量，我们发现它们在各种攻击场景中都非常有效。

本文档的目的

本研究的目标是梳理常见的IaaS/PaaS攻击向量并逐一列举，与相关的CSA研究和其他威胁模型对应。通过阅读本文档，组织将更好地了解针云托管应用程序和基础设施的攻击中常用攻击向量，并制定在控制和安全工作上应该重点关注的领域。

文件结构和范围

该文档由八个与IaaS/PaaS相关的攻击向量组成。每个向量章节包括两部分：

主要部分包括以下内容：向量的定义和描述、利用方式、如何避免或减轻该向量的关键要点、利用该向量的示例

CSA和非CSA框架的攻击向量映射，在本项研究中将会提供更多深入的见解以及相关控制措施。映射包括：

将攻击向量映射到MITRE中的相关技术或缓解措施

将攻击向量映射到责任共担模型-将相关攻击向量映射到不同责任方：云服务提供商(CSP)、云服务客户(CSC)或共享责任

将攻击向量映射到CSA安全指南（第4版）中的相关领域，添加有关向量的更多知识

将攻击向量映射到CSA云控制矩阵(CCM)版本4.0.X，识别与向量相关的控制措施。X版本标签标记新的控制措施映射，因此我们的文档与4.0版本相关

将攻击向量映射到STRIDE威胁模型，添加有关向量的更多知识

将攻击向量映射到CSA顶级威胁研究，帮助识别相关的风险和威胁

目标受众

本文档的目标受众是：

对想要了解更多关于实际攻击向量信息感兴趣的，负责云环境安全的GRC专业人员和审计人员

正在构建IaaS/PaaS环境，并寻求安全帮助的安全专业人员、DevOps和

DevSecOps专业人员、软件和安全架构师以及IT安全人员

IaaS 和PaaS 云攻击向量

在深入研究攻击向量的详细信息之前，了解IaaS和PaaS等不同的云服务模型非常重要。

IaaS（基础设施即服务）：在IaaS环境中，客户对基础设施和操作系统具有更多的控制权。这意味着攻击面更大，因为客户需要负责保护自己的虚拟机、存储和网络。在IaaS环境中，常见的攻击向量通常针对虚拟机、存储和网络安全设置中的错误配置或漏洞。

PaaS（平台即服务）：在PaaS环境中，客户对软件和应用程序代码拥有更多的控制权，但对基础设施的控制权较少。攻击面与IaaS类似，但更加关注应用程序代码和配置中的漏洞。

网络攻击向量是指攻击者用于访问计算机或网络服务器以传递恶意成果的路径或手段。这些向量可以包括多种策略，例如恶意软件、网络钓鱼和社会工程学等，旨在利用目标系统的脆弱点和漏洞。

在云环境中，网络攻击向量可以以多种方式呈现。举例来说，攻击者可能使用网络钓鱼电子邮件诱使用户点击恶意链接或输入其登录凭据。此外，攻击者还可利用云服务

中的漏洞（如错误配置的权限）获取敏感数据的访问权限。

网络攻击向量与脆弱点或漏洞之间的区别在于它们的性质。脆弱点或漏洞是指可以被威胁利用的资产或存在的控制弱点。

另一方面，网络攻击向量是攻击者利用这些脆弱点或漏洞的特定方法或技术。

例如，云服务中的漏洞可能是配置错误的防火墙，允许未经授权的网络访问。在这种情况下，网络攻击向量可能是SQL注入攻击，攻击者使用特制的SQL查询访问网络上的敏感数据。

软件即服务(SaaS)、基础设施即服务(IaaS)和平台即服务(PaaS)的攻击向量区别在于客户对环境的控制级别，而攻击向量存在于