空降危機:雲端攻防二三事

回首雲端時代來臨以前,企業在架設服務時,需經歷曠日廢時的流程,不僅降低了開發效率,更使得維護成本大幅增加。然而,在雲端時代中,過去瑣碎的步驟已被簡化到直接在網頁上完成,有效地提升了服務部署的速度,使得各大企業皆紛紛上雲。且近來,受到全球疫情的影響,遠距工作逐漸成為業界必備的標準,更令雲端需求呈現爆炸性的成長。雲端的普及可說是提供了人們便利的生活,但於此同時,其背後所隱藏的資安風險卻逐漸浮上檯面,常見的雲端資安隱患包含:

  1. 過於複雜的應用程式設定:為了符合多樣化的使用情境,雲端平台往往提供非常詳盡的應用程式設定,不過,這卻很可能令使用者在未完全掌握的狀況下誤用,進而成為雲端資安破口。
  2. 難以管理的身份與存取管理系統 (Identity and Access Management, IAM):雖然 IAM 可以對限制資源的非法存取,然而隨著組織規模的日漸擴張,IAM 的管理也會愈趨複雜,甚至造就難以察覺的 Shadow admin 的存在。
  3. 預設權限過高:有些雲端平台為了讓使用者擁有流暢的體驗,預設便提供了過高的權限(例如 GCP 的 Default service account),但權限過高的使用者帳號,若不幸遭到惡意人士利用,很可能會招致更嚴重的攻擊行動。
  4. 企業防禦邊界模糊化:因應愈來愈多企業採納內部部署與雲端應用程式的混合使用形式,許多雲端平台開始提供混合式身份識別,將雲端與地端的身份認證資訊進行同步,讓使用者得以透過單一登入方式享用企業內外部的所有資源。然而,如此一來企業的防禦邊界將變得更加模糊,甚至可能替攻擊者留下了一道進入地端的後門。
  5. 最佳實踐 (Best Practice) 過於抽象且主觀:為符合業務資安需求,雲端平台提供了最佳實踐讓企業及使用者參考,但是這些最佳實踐往往過於抽象、主觀,使用者很難以此來正確衡量是否合乎需求與原則。

本議程從紅隊的角度出發,探討雲端的資訊安全議題,並完整解析三大供應商--AWS、Azure 及 GCP 的安全配置、攻擊手法。首先,議程中將比較三個平台間 IAM 機制的異同之處,並進一步探討 IAM 機制的盲區,與容易產生 Shadow admin 的組合。緊接著,講師將透過近年來所發生過最嚴重的雲端攻擊與 APT 案例,帶聽眾了解完整的後滲透攻擊鏈與思路,包含提權、橫向擴張與資料偷取技巧等,並分享如何利用 MITRE ATT&CK 資安框架來進行攻擊手法的對應。

具紅隊背景的聽眾,可以從本議程中了解雲端與地端後滲透的差異,並且學習如何利用雲端提供的原生功能達到提權等目標;而具藍隊背景的聽眾,則可學習如何進行評估與設定,避免環境成為駭客滋長的溫床。議程的最後,講師也將會分享開源的評估工具,並呼應雲端平台所提出的最佳實踐,協助企業透過科學的方法,評估自身的雲端安全態勢。