在诺贝尔奖之光下重新审视云影管理员

2021年11月3日 Asaf赫克特

最近检测到的一个涉及威胁演员Nobelium的攻击活动引起了正规博十大app排名的注意,因为正规博十大app排名的团队以前研究过一个攻击载体——云影管理员——对手可能已经寻求利用. 安全团队需要注意.

Background

微软发布 本周早些时候, 他们发现了一次由一个名为Nobelium的民族国家威胁行动者发起的攻击活动. 据微软, 威胁参与者试图获得对多个云服务提供商(CSP)客户的未经授权访问。, 受管理服务提供商(MSP)和其他IT服务组织. 作为他们角色的一部分, 这些服务提供者通常有访问客户环境的特权, 这让他们成为攻击者的主要目标,他们希望利用供应链,造成最大的损害.

据报道,攻击者使用了简单的攻击技术,如密码喷洒和网络钓鱼, 而不是经常复零或复1天. 但是,正如正规博十大app排名在许多公开的入侵中看到的,简单的攻击方法可以导致巨大的损失.

最重要的部分

有趣的部分是攻击者在目标组织中获得最初的立足点后做了什么. 微软观察到,Nobelium瞄准了服务提供商的特权账户,以便在云环境中横向移动, 利用受信任的关系来获得访问权. 这就是为什么保护您的特权帐户和定义良好且安全的特权访问过程至关重要的原因.

在这个故事中被忽视的威胁-云影管理员

微软 建议所有组织跟踪和检测高度特权用户的创建,并检测特权用户角色分配中的变化. 正规博十大app排名绝对同意这一建议. 此外, 他们披露的部分攻击强调了一个可能的主要威胁概念,正规博十大app排名研究和发布在过去:云阴影管理.

影子管理员是隐蔽的用户实体,具有特别敏感的权限,允许他们在云环境中升级特权. 这些实体, 哪些通常是由于配置错误或缺乏意识引起的, 会成为攻击者的目标吗, 将整个环境置于危险之中.

而组织可能熟悉他们的直接管理帐户列表, 影子管理员更难发现,因为在标准的云环境中存在数以千计的权限, 并且可以包括影子管理员用户, 角色和应用程序. (AWS和Azure都有数千个不同的权限.因此,有很多情况下可以创建影子管理员. 事实上, 到目前为止,正规博十大app排名已经在所有大型云环境中发现了几个影子管理实体.

尽管看起来权限有限, 一个只有一个权限的影子管理员有能力获得一个完全管理员的同等权力.

正规博十大app排名已经花了相当多的时间研究Azure中的影子管理员的威胁(链接从2020年),以AWS计算(链接从2018年)及on-prem网络(链接从2017年).

需要进行范式转换

攻击者可能会发现并滥用重要的、可能是“有限的”权限,以升级他们的特权,并成为完整的云管理员. 他们还可以很容易地使用这些权限来隐藏隐藏的影子实体,直到它们被用作允许访问网络的后门帐户.

在Nobelium的例子中,也是如此. 正规博十大app排名可以假设在这些服务提供者的攻击阶段可能使用了类似的技术. 影子管理员是潜在特权升级的地方,可以很容易地用作持久化方法.

因为这个云影管理员的威胁, 正规博十大app排名在CyberArk为正规博十大app排名的产品添加了专门的功能,以减轻这种攻击面. 不仅如此, 这就是为什么正规博十大app排名还开发并发布了一个名为“SkyArk”的免费开源工具,它帮助了世界各地的组织,并提高了整个企业的安全.

http://github.com/cyberark/SkyArk

每个公有云平台都可能有隐秘的云管理员, SkyArk帮助降低AWS和Azure云的风险. 正规博十大app排名建议在任何渗透测试业务和风险评估程序中, 解决这个威胁,并验证您的所有特权实体确实都得到了良好的保护, 包括隐藏的影子管理员.

相信你读到的研究工作 之前的例子

另一个例子是,正规博十大app排名在2017年研究并发布了一个特定的独特威胁 “黄金SAML”(link). 然后,三年后在美国,由于围绕太阳风的攻击活动,这个威胁变得超级有名. 只有当这种攻击技术被使用并被抓住的时候, 黄金SAML威胁引起了全世界的关注(和 参议院’s).

现在,同样的场景可能会再次上演!

最后请注意

攻击者越来越多地瞄准云环境, 影子管理员正成为他们获得立足点的主要途径, 升级特权,最终造成严重损害. So, 而保护管理用户是保护云环境的第一个关键元素, 如果不知道这些管理员的存在,就不可能保护他们 这就是影子管理的真正问题所在. CyberArk产品和开源软件 SkyArk工具 可以帮助你更轻松地找到和保护你最特权的用户(包括影子管理员)吗, 使您的云环境更加安全.

前一篇文章
为什么报告网络安全业务影响要从树看森林
为什么报告网络安全业务影响要从树看森林

你知道的,当你坐在一个亲戚旁边的时候,他总是没完没了地讲故事...

下一篇文章
揭露内部威胁和错误-重新获得安全控制
揭露内部威胁和错误-重新获得安全控制

员工在金融, 销售, HR, 市场营销和几乎所有其他业务部门都需要访问...

Gartner将CyberArk列为PAM 2021年魔术象限的领导者

立即下载