除了主要使用的云环境中的IDP之外,还有第二个IDP。
你可能没有充分解决的SaaS安全问题。
SaaS安全漏洞是狡猾且隐蔽的,它们悄无声息地增加了巨大的风险,而许多安全运营中心(SOC)的员工却没有注意到。
Gartner分析师Charlie Winckless表示:“SaaS供应商的风险差异很大。SaaS应用程序在对组织构成的风险程度上存在根本性的差异。最大的一些供应商非常出色。接下来的几个层级的供应商也可以使用,但还有大量的SaaS应用程序很难评估。”
“这一问题因许多CISO过度关注三大超大规模云服务商而忽视了SaaS而变得更加复杂,”他补充道,“代码库通常托管在SaaS上,可能是开放的,或者远比你预期的要不安全。”
悬空的DNS指针可能带来大问题
Gartner的Winckless表示,DNS是另一个看似无害但在云环境中可能变得非常棘手的问题。
“在云环境的动态性质中,DNS暴露的风险很高。例如,你的团队在Azure上设置了一个带有*** DNS的网站,并为自己创建了一个CNAME并指向该网站,”他解释道。“如果你删除了该网站(这是常见的操作),但没有删除CNAME,那么攻击者可以利用你的悬空DNS进行伪装,这并不是云独有的问题,但云的动态性使得意外留下悬空DNS指针的可能性大大增加。”
当某人在云中配置资源时,它会被赋予一个名称,“但没有人会记住那个名称,”Winckless说,所以它被扔进了DNS中。“攻击者可以注册那个底层域名,并在上面放置他们想要的任何内容,看起来非常像一个合法的企业文件。”
API访问是潜在的安全事故
API可能是云结构的核心,但它们也为攻击者提供了许多切入点。
“应用程序中的本地API密钥是一个令人惊讶的常见但被忽视的云安全漏洞。举个例子,一名员工被解雇了,你禁用了该用户的单点登录(SSO),”身份治理公司ConductorOne的CTO Paul Querna说。“在许多情况下,本地API密钥在SSO被禁用后仍然可以继续工作,这是因为本地API密钥独立于用户的SSO状态运行,当SSO关闭时不会自动撤销,这意味着该用户可能仍然能够访问某些系统或数据,这构成了严重的安全风险。”
ISG的Saylors同意这一观点,强调了访问API的自定义代码的安全问题。他举了一个在所有主要云平台上都有业务存在的企业的例子。
“假设有人正在使用这些提供商,他们可能有一个通用的身份平台,比如SailPoint。如果SailPoint将数据流传输到AWS、Microsoft及其他平台,它可能允许在这些超大规模云环境中的所有客户信息的访问,它可能允许在云中有限的数据访问。现在假设攻击者正在针对那个AWS API。如果该客户在这些云平台上使用相同的凭据,”这可能会提供广泛的访问权限,他说。
IMDSv2:你不知道的可能会毁掉你的云
2024年3月,Amazon悄悄地更新了AWS平台的一个关键部分:实例元数据服务(IMDS)。Pluralsight的Firment表示,一些安全运营中心(SOC)“可能甚至没有意识到他们在使用[IMDS]”,因此他们的操作面临与元数据暴露相关的严重“安全威胁”。
“AWS使用IMDS存储其他应用程序和服务使用的安全凭据,并通过REST API提供这些信息。攻击者可以利用服务器端请求伪造(SSRF)从IMDS窃取凭据,从而以实例角色的身份进行横向移动或数据盗窃,”Firment解释道,“AWS推出了IMDS的新版本,即版本2,以提高对未授权元数据的安全性,尽管许多组织仍将原始的IMDSv1作为默认设置。为了帮助CISO们堵住这一潜在的安全漏洞,AWS最近宣布,可以将所有新启动的Amazon EC2实例默认设置为更安全的IMDSv2。”
Firment指出,IMDSv2“于2019年11月由AWS推出,但直到2024年3月才引入将默认设置为新版本的功能。因此,许多组织仍继续使用原本存在漏洞的IMDSv1。值得注意的是,默认设置只适用于新启动的实例,因此使用IMDSv1的现有实例仍需要重新配置。”
“对于大多数组织来说,这构成了相当大的威胁。可能没有足够的意识到需要将所有人切换到新版本,”他说,并补充道,风险在于攻击者“可能会窃取凭据,并在你的组织内横向移动。”
发表评论 取消回复