推荐阅读:
云攻防课程系列(一):云计算基础与整体安全 云攻防课程系列(二):云上攻击路径
一、概述
近日,绿盟科技星云实验室与北京豪密科技有限公司联合推出了一项云攻防技术培训课程。该课程旨在根据客户需求,为客户提供专题培训,帮助客户熟悉常见的云安全架构,并提供云攻防技术理解,同时结合模拟攻击实验提升攻防能力。该课程参与学员涵盖了特殊行业的单位、国企等十多家单位。课程共分为六个章节,分别就云计算基础、云上攻击路径、云上资产发现与信息收集、云服务安全攻防、云原生安全攻防以及虚拟化安全攻防进行了详细介绍。
本系列文章旨在以科普为目的面向各位读者推出,本文是该系列的第三篇云上资产发现与信息收集,涵盖了云上基础设施介绍、云上资产发现与收集技术、靶场实验实操三个部分。
文章首先从云上基础设施入手,了解云上的基础设施的架构,常见服务模型,以及云原生的的基础设施的介绍。然后,从资产发现与信息收集两个方面讲述了云上的一些常见的信息收集的手段与工具。最后,通过实验以实战化的方式验证云上环境的信息收集手段。
二、云基础设施组件介绍
2.1 云基础设施组件
要对云上资产进行资产发现与信息收集,首先我们需要了解云上的基础设施组件是什么样子。了解云上的基础设施组件非常重要,因为这些组件构成了整个云计算基础架构的基础,并且直接影响着资产发现和信息收集的过程。
在云计算基础架构中,基础设施组件通常包括计算、存储、网络和安全等方面的资源。例如,计算资源可以是虚拟机、容器或无服务器计算引擎;存储资源可以是对象存储或块存储;网络资源可以是虚拟网络或负载均衡器;安全资源可以是身份验证和访问控制机制。
通过了解云上的基础设施组件,我们可以更好地了解我们正在处理的资产的类型和特征,以及它们的与其他组件之间的关系。这样,在进行资产发现和信息收集时,我们可以更加精确地确定搜索范围,并且能够识别出可能存在的漏洞和风险。此外,了解基础设施组件还可以帮助我们优化资源配置和管理,并提高整体的安全性和可靠性。
在了解云计算的基础架构之前,我们首先了解下传统IT“烟囱”模式基础架构。在这种架构中,新的应用系统上线的时候需要分析该应用系统的资源需求,确定基础架构所需的计算、存储、网络等设备规格和数量。这种部署模式,造成了每套硬件与所承载应用系统的“专机专用”,多套硬件和应用系统构成了“烟囱式’部署架构,使得整体资源利用率不高,占用过多的机房空间和能源,随着应用系统的增多,门资源的效率、扩展性、可管理性都面临很大的挑战。
因此,云计算融合模式部署架构就是为了解决这些痛点而演化出来的。云基础设施在传统基础架构计算、存储、网络硬件层的基础上,增加了虚拟化层、云层:
1)虚拟化层:大多数云基础设施都广泛采用虛拟化技术,包括计算虚拟化、存储虚拟化、网络虛拟化等。通过虛拟化层,屏蔽了硬件层自身的差异和复杂度,向上呈现为标准化、可灵活扩展和收缩、弹性的虚拟化资源池;
2)云层:对资源池进行调配、组合,根据应用系统的需要自动生成、扩展所需的硬件资源,将更多的应用系统通过流程化、自动化部署和管理,提升效率。
相对于传统基础架构,云基础设施通过虚拟化整合与自动化,应用系统共享基础架构资源池,实现高利用率、高可用性、低成本、低能耗。并且通过云平台层的自动化管理,实现快速部署、易于扩展、智能管理,帮助用户构建更加高效的业务模式。
图1 传统基础架构与云基础架构对比
2.2 云原生
云计算已经成为信息化、数字化发展的重要基础设施,而云原生作为近几年云计算领域最火热的技术架构,呈现愈演愈烈的趋势,并推动企业在数字化浪潮中不断创新发展。云原生已经不是少数几个大企业的专属技术,越来越多的企业正在拥抱它,享受由它带来的技术红利。
云原生(cloud native)是一种基于云的基础之上的软件架构思想,以及基于分布部署和统一运管的分布式云,以容器、微服务、DevOps等技术为基础建立的一套云技术产品体系。云原生从字面意思上来看可以分成云和原生两个部分。云是和本地相对的,传统的应用必须跑在本地服务器上,现在流行的应用都跑在云端,云包含了IaaS,、PaaS和SaaS。原生就是土生土长的意思,我们在开始设计应用的时候就考虑到应用将来是运行云环境里面的,要充分利用云资源的优点,比如云服务的弹性和分布式优势。
云原生不是一个产品,而是一套技术体系和一套方法论。云原生即包含技术(微服务,容器等基础设施),也包含管理(DevOps,持续交付,重组等)。云原生也可以说是一系列云技术、企业管理方法的集合。云原生目前主要的技术包括:容器化,DevOps,CI/CD,微服务。
图2. 云原生架构
三、云上信息收集技术
在前一节中,我们讨论了云环境基础设施与传统环境之间的区别,这也导致了在云上进行信息收集时需要关注不同的方面。相比于传统环境,资产发现和信息收集在云环境中存在着以下不同之处:
首先,在云环境中,资产和信息主要存储在云基础设施、云组件以及使用API密钥(AK/SK)进行访问的云服务中,而在传统环境中,这些资产和信息通常存储在企业自己的服务器和应用程序中。因此,需要使用特定的技术手段来识别和管理这些云资源。
其次,由于云环境中的资产和信息分散在多个云平台和服务中,因此在进行资产发现和信息收集时需要考虑跨平台和跨服务的问题,并且需要使用适当的API和协议来获取和处理数据。
另外,云环境的动态性也是一个重要的区别。由于云环境中的资源可以随时动态变化,因此需要采用实时监控和自动化管理的方法来保证资产发现和信息收集的准确性和完整性。
云环境的资产发现与信息收集与传统环境相比,需要更加全面地考虑云基础设施、云组件、AK/SK等云服务相关的技术和问题,以实现高效、准确、全面的资产管理和安全管理。
图3. 云环境的资产发现与信息收集
从攻击者的角度出发,通常情况下,攻击者不像防守者(尤其是入侵检测系统、EDR 等)那样拥有近乎上帝视角下的信息收集能力。因此,攻击者需要、且有必要去挖掘纵深渗透过程中接触到的每一个信息的可利用性。基于这些观察,我们将云原生环境中处于不同层次上的集群、主机、容器、进程及文件都定义为资产,并提出以下两个观点:
1、发现更多未知资产等同于提高信息收集的“广度”,挖掘已知资产的属性等同于提高信息收集的“深度”。
2、上层资产的属性 = 下层资产 + 上层资产自身的元数据。
从防守方的角度出发,可以基于云平台提供的API,动态监测云上各种类型资产的信息,云厂商一般提供资产中心解决方案,第三方厂商一般通过资产适配器将资产引入资产安全管理平台。除了云平台提供的API和资产中心解决方案,防守方还可以借助网络安全工具对云上资产进行监测和管理。这些工具可以扫描云上资产的漏洞、弱点等安全问题,并提供实时的告警和应急响应措施。此外,防守方可以采用资产发现工具和配置管理工具,帮助识别和跟踪云上资产,确保其符合公司的安全标准和政策要求。另外,防守方也可以通过安全评估服务,例如云原生的入侵攻击与模拟平台,对云上资产进行全面的安全评估,以便及时发现并解决潜在的安全风险。
同时,也可以使用测绘的手段,通过扫描网络空间上的资产,如服务器、路由器、交换机等设备,获取它们的详细信息,例如IP地址、操作系统、服务端口等。这些信息可以被用来建立资产指纹,即对每个资产进行独特的标识,以便后续跟踪和管理。结合资产测绘搜索引擎,可以实现对网络空间中所有可见资产的准确定位和分类,并持续监控其状态变化,及时发现并解决安全问题。
绿盟科技网空测绘引擎ferret,覆盖国内3000+万存活资产服务,支持设备类型、版本、脆弱性、漏洞等12个标签维度,覆盖公有云、物联网、安全设备等领域。图4展示了ferret针对特定域名资产的测绘分布情况。
图4. 绿盟网空测绘平台ferret
通过对云上的资产发现与信息收集,建立一套持续性动态监测云上资产技术,可以对云上资产的外部的攻击面进行动态、持续、有效的发现。同时对于发现的问题,制定明确的响应和修复机制,确保安全事故能够得到及时的处理。此外,还应该加强员工的安全意识培训,提高整个组织的安全素养和应对能力。通过这些措施,可以形成一个治理的闭环,为云上资产的安全提供全方位的保障。
绿盟外部攻击面管理服务( EASM )[1]是一款集暴露面识别、风险分析、风险预警为一体,为客户提供外部攻击面管理的SaaS服务。服务以攻击者视角发现客户、分子单位、供应链暴露在互联网侧的资产、系统及其关联的脆弱性,分析可能被攻击者利用的风险及攻击路径,并及时进行风险预警,辅助客户完成风险处置闭环。
图5. 绿盟外部攻击面管理服务( EASM )
四、实验
本次课程同时提供了实验部分,以实战化的方式模拟云原生环境的信息收集技术。实验内容从资产测绘出发,分析常见的云原生的服务的指纹特征,利用网空资产测绘引擎发现发现在云上暴露的脆弱性域名资产,通过信息收集手段,不断挖掘泄露的源代码、数据库、存储桶等敏感信息,并最终获取云原生集群的控制权限。
图6:实验流程图
五、总结
本文作者根据课程内容,首先简要介绍了云上基础设施组件,对比了云上基础设施与传统架构的区别。其次,介绍了云上环境的资产发现与信息收集的一些方法,对比云上环境与传统环境的差异,以及如何借助利用信息收集,网空测绘引擎,公有云解决方案等做好企业的外部攻击面的管理。
最后笔者推荐由星云实验室牵头对外发布的一些参考资料,希望可以给各位读者带来帮助。
图7. 推荐阅读
参考文献
[1] https://mp.weixin.qq.com/s?__biz=MjM5ODYyMTM4MA==&chksm=bec9238889beaa9e2eeaa0ade9b2d757b6978fc092dc7943fb01270e11e895733a2839e3685a&idx=1&mid=2650438179&sn=9e9c5f75d7be5f3895e4cbcd4c34b113
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。