谷歌云平臺工作負載攻擊方法分析,谷歌云服務器免費搭建教程

谷歌云平臺工作負載攻擊方法分析

從最初入侵到安裝運行，大部分加密貨幣挖礦攻擊不到22秒。

在今年11月23日發布的第一期《威脅前沿報告》(Threat Frontier report)中，谷歌云聲稱，自動化掃描、改進的攻擊工具以及新的攻擊實現方式，使得云工作負載和服務器實例成為主要的攻擊目標。

這些攻擊方式并不新鮮，但它們證明了攻擊者總能像魔法一樣高。谷歌的報告發現，入侵者主要針對錯誤配置、不當的客戶安全做法和脆弱的第三方軟件，并捕獲了75%的案例。上述數據來自谷歌云對其谷歌云平臺(GCP)上最近被入侵的50個實例的分析。在這些情況下，48%的用戶沒有密碼或只有弱密碼。26%存在第三方軟件漏洞；12%是配置錯誤。

谷歌首席信息安全官辦公室主任鮑勃·麥克勒(Bob Mechler)在博客中寫道，所有這些威脅都是眾所周知的，但由于人為錯誤，仍然存在入侵系統的有效路徑。

谷歌《云安全》的編輯塞思·羅森布拉特(Seth Rosenblatt)與梅奇勒(Mechler)合寫道:“盡管云客戶一直面臨著應用程序和基礎設施的各種威脅，但由于保護不力和缺乏基本的控制措施，許多攻擊都是成功的。考慮到這些具體案例和廣泛存在的威脅，只要企業重視安全實現、監控和持續保障，就能更成功地減輕此類威脅，或至少減輕整體影響。”

錯誤配置的云實例疊加了自動化攻擊，這意味著云工作負載所有者幾乎沒有時間來保護自己。在40%的情況下，攻擊在不到8小時內完成；至少有一個案子只用了30分鐘。

攻擊者通常使用加密貨幣挖掘軟件和勒索軟件來實現現金，并通過釣魚攻擊來收集登錄憑據，以擴大對被黑計算機和服務的控制。最常見的利用谷歌云平臺上被黑實例的方式是安裝加密貨幣挖掘軟件，86%的實例被黑后會安裝這種惡意軟件。

而且，攻擊者很快就植入了加密貨幣挖掘軟件。報告顯示，超過一半的被入侵案例在不到30秒的時間內安裝了加密貨幣挖礦軟件。

谷歌在報告中寫道:“這表明最初的攻擊和隨后的下載安裝都是通過腳本自動執行的，無需人工干預。在這種情況下，我們幾乎不可能實施人工干預來防止剝削。最好的防御策略是不部署脆弱的系統或采用自動響應機制。”

此外，在10%的情況下，攻擊者使用入侵案例來掃描互聯網，并獲得其他易受攻擊的目標。

該報告由谷歌網絡安全行動小組(GCAT)編寫，總結了谷歌威脅分析小組(TAG)、谷歌云安全和信任中心的大量數據和見解，并記錄了谷歌云威脅情報、信任和安全以及其他內部團隊的情況。

這些威脅情報和安全團隊還發現了由俄羅斯政府支持的Fantasy Bear(也稱為APT28)發起的攻擊:使用12000個Gmail帳戶進行釣魚攻擊，試圖收集目標用戶谷歌帳戶的登錄憑據。由于組織利用主流提供商，這些釣魚電子郵件已經通過了反垃圾郵件安全檢查機制發件人策略框架(SPF)。

APT28的主要目標是美國、英國和印度，但它也針對其他國家，如巴西、加拿大、大多數歐盟國家和俄羅斯。

建議Google企業加強部署軟件和工作負載的安全性。除了常見的安全措施(如雙因素身份驗證和定期自動掃描Web應用程序)，企業還需要有適當的工具來防止在發布代碼時意外泄露密碼、密鑰和證書。應用程序中使用的任何第三方代碼都應該經過審查和哈希處理，以確保其完整性。報告指出，企業應該清醒地認識到，云是一把雙刃劍，好處和風險并存。

谷歌在報告中表示:“盡管公眾越來越關注網絡安全，但魚叉式網絡釣魚和社會工程戰術總是能成功。至于其他形式的IT安全，因為訪問無處不在，所以我們需要強大的多層防御措施來保護云資源。”

谷歌網絡安全行動小組云威脅情報，2021年11月，第1期，威脅前沿；

https://services . Google . com/FH/files/misc/gcat threathorizons full nov2021 . pdf

特別聲明：以上文章內容僅代表作者本人觀點，不代表ESG跨境電商觀點或立場。如有關于作品內容、版權或其它問題請于作品發表后的30日內與ESG跨境電商聯系。