本文探討使用無伺服器服務來管理機密的潛在風險。
無伺服器環境正日益受到歡迎,這類環境經常主打一些方便企業營運與拓展業務的功能特色,例如:內建擴充性、跨地區服務、成本管理容易等等。幾乎每家主要雲端服務供應商 (CSP) 都提供了某種型態的無伺服器服務,而目前最受歡迎的兩大服務是 Amazon Web Services (AWS) Lambda 和 Azure Functions。
我們可以將無伺服器應用程式想像成在雲端基礎架構內執行的一段程式碼。這段程式碼可透過多種不同方式來觸發執行,例如經由一個 HTTP API 端點或事件。從資安的角度,我們可以將被執行的程式碼本身的安全性與其執行環境的安全性分開來看。雖然 CSP 沒辦法掌控被執行的程式碼,因為那是由使用者所負責,但 CSP 卻能掌控程式碼的執行環境。
我們先前就曾撰文探討過風險管理不當可能帶來什麼危險,而同樣的風險也適用於 CSP 和他們所提供的服務。以下我們將介紹一種許多開發人員在移轉到雲端環境之後常犯的資安錯誤。
繼續閱讀
近年來,容器與無伺服器技術的需求大增。根據市場研究顧問機構指出,全球容器市場規模預計將從 2018 年的 12 億美元成長至 2023 年的 49.8 億美元,而無伺服器架構也將 從 2020 年的 76 億美元成長至 2025 年的 211 億美元。企業對容器與無伺服器技術的需求之所以成長,原因在於它們能為企業提供開發和部署應用程式時所需的擴充性、效率及成本效益。
然而,如同任何其他新興技術一樣,容器與無伺服器技術對於資安威脅和風險也同樣無法倖免。駭客為了增加受害者,隨時都在擴大攻擊範圍,因此遲早會針對這些技術開發出各式各樣的攻擊手法,並增加攻擊頻率。在這樣的情況下,企業該如何強化這類應用程式的安全以防範潛在的攻擊?
本文將探討開發人員必須知道的一些資安考量,以及如何利用所謂的執行時期應用程式自我防護 (RASP) 將資安整合至執行時期的應用程式,為容器與無伺服器應用程式提供最佳的防護。
繼續閱讀後端基礎架構是企業應細心守護的一項企業關鍵資產,因為一旦遭到入侵,很可能將引發供應鏈攻擊。
資安是每家企業在 採用與移轉至雲端技術時都必須考量的重要一環。企業必須優先保護的資源包括:網路、端點及應用程式。此外,還有一項企業應該細心守護的關鍵資產就是後端基礎架構,因為一旦遭到入侵,很可能將引發供應鏈攻擊。
企業通常都會採用端點防護與網路防護產品來保護後端環境的伺服器以及負責儲存與處理大量寶貴資料的內部系統。為了盡可能節省成本,有些企業會將後端基礎架構移轉至雲端,或者採用雲端式解決方案在企業內架設私有雲。
不過這樣的作法要非常小心謹慎,才不會讓企業暴露在駭客攻擊的風險中,例如之前發生的多起導致營運中斷、財務損失及商譽損失的供應鏈攻擊。在「雲端運算時代的供應鏈攻擊:風險、如何防範,以及確保後端基礎架構安全的重要」(Supply Chain Attacks in the Age of Cloud Computing: Risks, Mitigations, and the Importance of Securing Back Ends) 一文當中,我們列舉了各種我們分析過的資安風險,並提出幾項防範技巧給 DevOps 參考,尤其是關於 Jenkins、Docker、Kubernetes 以及 AWS Cloud9 與 Visual Studio Codespaces 等雲端整合開發環境 (IDE)的問題。
後端系統的預設組態設定,即使是在認證啟用的狀況下,還是會帶來相當大的資安風險。軟體開發團隊經常用到的開放原始碼自動化伺服器 Jenkins 就被發現有這樣的風險。
來自Aqua Security的資安研究人員報告了利用Kinsing惡意軟體攻擊設定不當Docker服務API端口的惡意活動。該活動會攻擊端口來運行一個Ubuntu容器。
研究人員指出,Kinsing惡意軟體內的字串顯示出它是用Golang開發的Linux代理程式。研究人員執行了惡意軟體來檢查其行為,發現它在進行惡意行為前會跟以下IP地址建立連線:
下載來的spre.sh腳本用來進行跨容器網路的橫向移動以散播惡意軟體。Shell腳本會從/.ssh/config、.bash_history、/.ssh/known_hosts和其他類似位置收集資料。接著會用SSH對各主機輸入帳號密碼組合來嘗試建立連線。如果連線成功,就會在該主機下載上述shell腳本,並在網路內的其他主機或容器上執行惡意軟體。在spre.sh攻擊之後,惡意軟體會執行kdevtmpfsi虛擬貨幣挖礦病毒。
[相關文章:容器安全:檢查容器環境的潛在威脅]
為了躲避偵測和維持持續性,該惡意軟體會用腳本d.sh進行下列動作:
不斷成長的組織需求讓更多企業使用容器技術來滿足自己延伸性的需求。隨著越來越多公司使用容器技術,也會吸引更多的網路犯罪分子將其視為可以獲利的目標。根據趨勢科技研究人員的發現,設定不當的容器長期以來都是虛擬貨幣挖礦病毒和殭屍網路攻擊的對象,同時也讓網路犯罪分子取得進入企業網路的後門。為了保護容器抵禦此類威脅,建議企業採用以下建議:
Hybrid Cloud Security(混合雲防護) 是雲端安全防護自動化且單一整合的解決方案。趨勢科技Cloud One能夠保護工作負載(虛擬、實體、雲端和容器)及掃描容器映像。趨勢科技Cloud One – Container Security透過自動化容器映像和登錄掃描來保護雲端原生應用程式。而在安全軟體方面:趨勢科技Deep Security(工作負載和容器安全防護)和趨勢科技Deep Security Smart Check(容器映像安全防護)會掃描容器映像是否存在惡意軟體和漏洞。
@原文出處:Misconfigured Docker Daemon API Ports Attacked for Kinsing Malware Campaign
訂閱資安趨勢電子報
根據 Security Discovery研究員Jeremy Fowler 的報告,使用英國鐵路網車站內免費無線網路的火車通勤者資料會因為防護不當的亞馬遜網路服務(AWS)雲端儲存而在無意間被外洩。
這波外洩的資料被認為包括了通勤者的旅行習慣以及電子郵件地址和生日等聯絡資訊。約有一萬名使用者受到影響。受影響的車站包括了倫敦橋、切爾姆斯福德、科爾切斯特、哈洛米爾、威克福德和沃爾瑟姆十字車站。
[相關文章:設定不當的AWS S3儲存貯體外洩了36,000筆犯人資料 ]
研究人員在網路上找到該資料庫並發現它沒有設定密碼保護,並指出沒有防護的資料庫可能成為惡意軟體感染的另一個進入點。這起資料外洩已經引起無線網路服務商C3UK的注意,C3UK原本以為儲存服務只能由他們自己和資安團隊進行存取,並不知道資料已經對外暴露。
該公司已經加強了該暴露資料庫的防護,並聲稱該資料庫是實際資料庫的備份副本。他們還透露並不會通知英國維護資訊權的非政府公共機構資訊專員辦公室(ICO),因為暴露的資料沒有被任何團體竊取或存取。