概述
传统远程攻击者对目标网络的攻击手法相对固定。但随着企业向云端迁移,攻击方式正在发生剧变。本文将说明:当企业将资产迁移到云端时,攻击者很可能会将其作为主要攻击目标——他们很可能成功入侵,而您可能对此毫不知情。
云计算基础认知
可扩展存储、便捷的员工协作、节省数据中心成本都是企业选择云服务的理由。但关于云安全存在一个常见误解:人们认为"云端"是某种能自动保护数据的神秘存在。
云计算的正确定义:
通过互联网使用远程服务器网络来存储、管理和处理数据的实践,而非依赖本地服务器或个人计算机。这意味着您的数据只是从自己的系统转移到了他人系统中。
关键安全考量:
- 云服务商的网络安全尽职调查是否到位?
(即使如Google/Microsoft/Amazon等巨头也可能存在漏洞) - 数据物理安全是否保障?
(您的数据实际存储在云服务商的某块硬盘上) - 云服务商的数据处理伦理问题
(包括政府数据请求等敏感话题)
外部网络渗透测试新趋势
传统认为外部攻击只有两种途径:
- 利用外部系统的可远程利用漏洞
- 钓鱼攻击企业员工
但随着企业将数据系统、资产和通信架构迁移到云端,远程攻击者获得了新的攻击向量。通过我们之前研究的两种技术(员工密码重用和OWA密码喷洒),攻击者现在可能仅需有效凭证和浏览器就能访问企业敏感数据。
实战案例:攻破云端
在一次"黑盒外部网络评估"中,我们发现:
- 通过子域名爆破发现
autodiscover子域,该域重定向到Office 365登录门户(已获测试授权) - 通过密码喷洒攻击(使用"Spring2016"这类常见组合)获取首个有效凭证
- 关键突破点:Outlook的"通讯簿"功能暴露了所有员工的邮箱、用户名、电话号码等完整信息
- 扩大攻击面后,通过Sharepoint搜索功能发现VPN配置文档(包含连接地址和固定PIN码)
- 由于未启用双因素认证,最终通过VPN获得域管理员权限
防御建议
- 必须启用双因素认证:案例中若启用即可阻断攻击
- 第三方服务渗透测试前务必获取授权(文末提供微软Azure/亚马逊AWS/Google Cloud的测试授权表单链接)
渗透测试授权表单
- Microsoft Azure
- Amazon AWS
- Google Cloud Platform
(Google明确表示无需事先联系)
如果您喜欢本文,推荐参加作者的《突破云端防线》培训课程