专家揭秘:谷歌云平台的数据渗透攻击盲点
💡
原文中文,约600字,阅读约需2分钟。
📝
内容提要
研究发现,攻击者可以利用谷歌云平台(GCP)的法医可见性不足,通过社会工程等方法获得对目标组织的身份和访问管理(IAM)实体的控制,渗出敏感数据。Sysdig发现了一个复杂的攻击活动SCARLETEEL,以容器环境为目标,对专有数据和软件进行渗透。谷歌提出了一些建议,以防止此类攻击。
🎯
关键要点
-
研究发现攻击者可以利用谷歌云平台(GCP)的法医可见性不足渗出敏感数据。
-
Mitiga报告指出GCP存储日志缺乏有效的法医调查可见性,导致企业对数据渗透攻击出现盲点。
-
攻击者通过社会工程等方法获得对目标组织的身份和访问管理(IAM)实体的控制,进入GCP环境。
-
GCP的存储访问日志对潜在的文件访问和读取事件透明度不足,将其分组为单个“对象获取”活动。
-
攻击事件包括读取文件、下载文件、复制文件到外部服务器及读取文件元数据。
-
攻击者能够在未被检测到的情况下获取敏感数据,因为无法区分恶意用户活动和合法用户活动。
-
假设攻击中,攻击者可使用谷歌命令行界面(gsutil)将数据从受害者存储桶转移到外部存储桶。
-
谷歌提供的建议包括使用虚拟私有云(VPC)服务控制和组织限制标题来限制云资源请求。
-
Sysdig发现了一个名为SCARLETEEL的复杂攻击活动,目标是容器环境中的专有数据和软件。
➡️
