在傳統(tǒng)云安全失敗時提供幫助的六種策略
隨著云計算技術(shù)在各行各業(yè)的迅速普及,數(shù)據(jù)保護和安全已經(jīng)成為人們最關(guān)心的問題。然而,隨著云安全措施的不斷發(fā)展,惡意行為者尋求利用漏洞的策略也在不斷發(fā)展。
2023年6月,云原生安全領(lǐng)域的權(quán)威機構(gòu)Aqua Security公司發(fā)布了一份研究報告,揭示了網(wǎng)絡(luò)安全領(lǐng)域一個令人深感擔憂的發(fā)展趨勢。該報告表明,與2022年《云原生威脅報告》相比,基于內(nèi)存的攻擊出現(xiàn)了前所未有的1400%的驚人增長。
2023年7月,Wiz公司網(wǎng)絡(luò)安全研究人員做出了突破性的發(fā)現(xiàn),發(fā)現(xiàn)了一個基于python的無文件惡意軟件,名為“PyLoose”。這次攻擊是第一次記錄在案的基于python的無文件攻擊,明確針對現(xiàn)實場景中的云計算工作負載。使用Linux無文件技術(shù)memfd,PyLoose巧妙地將XMRigMiner直接加載到內(nèi)存中,避免了將有效負載寫入磁盤的需要,并利用了操作系統(tǒng)的功能來利用它。
這種反復發(fā)生的攻擊事件凸顯了傳統(tǒng)云安全措施面臨的重大挑戰(zhàn)。以下深入研究基于內(nèi)存的攻擊的技術(shù)方面、它們對傳統(tǒng)安全防御的規(guī)避,并討論保護云計算基礎(chǔ)設(shè)施的主動策略。
了解基于內(nèi)存的攻擊
基于內(nèi)存的攻擊,通常被稱為“無文件攻擊”,已經(jīng)成為老練黑客的首選武器。與依賴于存儲在磁盤上的惡意文件的傳統(tǒng)攻擊不同,基于內(nèi)存的攻擊利用了目標系統(tǒng)的易失性內(nèi)存。由于駐留在內(nèi)存中,這些攻擊在系統(tǒng)上留下的痕跡很小,因此難以檢測和阻止。
通常情況下,基于內(nèi)存的攻擊是通過高級腳本語言(例如PowerShell或JavaScript)實現(xiàn)的。它允許網(wǎng)絡(luò)攻擊者將惡意代碼直接注入運行進程的內(nèi)存空間。一旦代碼被執(zhí)行,攻擊就可以悄悄地進行,執(zhí)行從數(shù)據(jù)竊取和操縱到整個系統(tǒng)危害的各種操作。
規(guī)避傳統(tǒng)云安全防御
基于內(nèi)存的攻擊激增的部分原因是它們能夠避開傳統(tǒng)的云安全防御。惡意行為者正在投入大量資源來實現(xiàn)先進的規(guī)避技術(shù),旨在隱藏他們的活動并在受損的系統(tǒng)中獲得強大的立足點。根據(jù)AquaSecurity公司的研究,對六個月的蜜罐數(shù)據(jù)的分析顯示,超過50%的攻擊是專門針對繞過防御措施的。
以下了解這些攻擊繞過傳統(tǒng)安全措施的一些主要方式:
(1)缺乏基于簽名的檢測:傳統(tǒng)的防病毒軟件和入侵檢測系統(tǒng)(IDS)(如SolarWindsSecurityEventManager和Snort)嚴重依賴基于簽名的檢測來識別已知的惡意軟件和惡意文件。由于基于內(nèi)存的攻擊不涉及將文件寫入磁盤,因此它們有效地避免觸發(fā)這些簽名,使它們對許多安全解決方案不可見。
(2)基于行為的規(guī)避:基于內(nèi)存的攻擊通常使用已經(jīng)在系統(tǒng)上運行的合法進程,這使得基于行為的檢測系統(tǒng)難以區(qū)分正?;顒雍蛺阂饣顒印_@使得網(wǎng)絡(luò)攻擊能夠無縫地融入環(huán)境。
(3)加密的有效負載:許多基于內(nèi)存的攻擊利用加密技術(shù)來混淆其有效負載,使其無法被安全掃描儀讀取。這種策略防止安全工具檢查攻擊的內(nèi)容并理解其意圖。
(4)減少內(nèi)存占用:通過僅在內(nèi)存空間內(nèi)操作,基于內(nèi)存的攻擊在系統(tǒng)上留下的內(nèi)存占用可以忽略不計。這種規(guī)避特征使得攻擊后的法醫(yī)分析更加困難。
技術(shù)緩解戰(zhàn)略
為了應(yīng)對日益增長的基于內(nèi)存的攻擊威脅,云計算安全專業(yè)人員和IT管理員必須采用結(jié)合各種安全技術(shù)和最佳實踐的多層方法。以下了解企業(yè)可以采用的關(guān)鍵緩解策略,以防止基于內(nèi)存的惡意軟件。
(1)端點檢測和響應(yīng)(EDR):端點檢測和響應(yīng)(EDR)解決方案提供端點的實時監(jiān)控,包括服務(wù)器和工作站,使組織能夠檢測和響應(yīng)可疑活動,即使它們發(fā)生在內(nèi)存中。利用機器學習和行為分析,EDR工具可以識別表明基于內(nèi)存的攻擊的異?;顒?。例如,MalwarebytesEDR為識別和對抗無文件惡意軟件威脅提供了有效的補救措施。它密切監(jiān)視端點上潛在的有害行為,并有效地檢測可疑行為。此外,MalwarebytesNebula中的“可疑活動監(jiān)控”是一個托管在云中的安全平臺,它使用ML程序和在云中完成的分析來快速檢測可疑行為。
(2)內(nèi)存完整性保護:現(xiàn)代操作系統(tǒng)和云平臺提供內(nèi)存完整性保護機制。例如,微軟在Windows10、Windows11和WindowsServer2016及更高版本中引入了基于虛擬化的安全(VBS)特性,即內(nèi)存完整性(MemoryIntegrity),以打擊內(nèi)存漏洞,增強系統(tǒng)安全性。這些特性確保了系統(tǒng)內(nèi)存空間的完整性,防止了未經(jīng)授權(quán)的修改和篡改。
(3)定期軟件更新和補丁管理:使所有軟件和應(yīng)用程序保持最新對于減輕基于內(nèi)存的攻擊至關(guān)重要。攻擊者經(jīng)常利用未打補丁軟件中的已知漏洞滲透系統(tǒng)。定期更新有助于消除這些安全漏洞。
(4)特權(quán)升級緩解:限制用戶特權(quán)和實現(xiàn)最小特權(quán)原則可以減輕基于內(nèi)存的攻擊的影響。限制用戶在未經(jīng)授權(quán)的情況下執(zhí)行腳本或訪問關(guān)鍵系統(tǒng)資源,可以減少攻擊面。
(5)網(wǎng)絡(luò)分段:將云網(wǎng)絡(luò)正確地分割為不同的安全區(qū)域可以限制攻擊者在環(huán)境中的橫向移動。組織可以通過使用防火墻和訪問控制來控制基于內(nèi)存的攻擊的影響。
(6)行為分析:實現(xiàn)監(jiān)視用戶和進程行為的行為分析工具可以幫助識別表明基于內(nèi)存的攻擊的可疑活動。例如,Mixpanel、Amplitude和FullStory等流行的用戶行為分析工具可以檢測未授權(quán)的向運行進程注入代碼的企圖。
結(jié)語
隨著基于內(nèi)存的攻擊的激增繼續(xù)挑戰(zhàn)傳統(tǒng)的云安全防御,對主動和全面的安全措施的需求變得至關(guān)重要。采用結(jié)合端點檢測和響應(yīng)、內(nèi)存完整性保護和定期更新的多層方法可以加強對這些難以捉摸的威脅的防御。
威脅形勢不斷變化,企業(yè)必須保持警惕,適應(yīng)新的安全挑戰(zhàn),并采用尖端技術(shù),以保護其云計算基礎(chǔ)設(shè)施和敏感數(shù)據(jù)。只有保持積極主動和信息靈通,才能在數(shù)字時代抵御黑客無情的攻擊。