扩展的覆盖范围和新的攻击路径可视化帮助安全团队优先考虑云风险并了解爆炸半径

最后更新于2023年12月19日星期二16:00:00 GMT

云环境在许多方面与更传统的内部部署环境不同. 从巨大的规模和复合的复杂性到变化的速度, 云计算给安全团队带来了许多挑战，需要驾驭和应对. By definition, 在云中运行的任何东西都有可能公开可用, 直接或间接. 这些环境相互关联的本质是这样的，当一个帐户, resource, 或者服务受到损害, 对于坏人来说，在你的环境中横向移动和/或授予他们自己造成破坏的权限是相当容易的. 这些横向移动或特权升级的途径通常被称为攻击路径.

拥有一个能够清晰、动态地检测和描述这些攻击路径的解决方案对于帮助团队不仅了解其环境中存在的风险，而且更重要的是如何最有可能被利用，以及这对组织意味着什么——特别是在保护高价值资产方面.

使用InsightCloudSec检测和修复攻击路径

InsightCloudSec中的攻击路径分析使Rapid7客户能够从攻击者的角度查看他们的云环境. 它可视化了攻击者获得访问权限的各种方式, 在资源之间移动, 并危及云环境. 在我们的风险优先级模型中，攻击路径是高保真度的信号，专注于识别导致实际业务影响的有害组合.

因为Rapid7最初推出了攻击路径分析, 我们继续对该功能进行增量更新, 主要以扩展攻击路径覆盖每个主要云服务提供商(csp)的形式。. 在我们最新的InsightCloudSec发布(12.12.2023), 我们一直保持着这种势头, 宣布额外的攻击路径，以及一些令人兴奋的更新，关于我们如何可视化跨路径的风险和潜在的爆炸半径，如果在现有的攻击路径中的折衷资源被利用. In this post, 我们将深入研究我们最近为Microsoft Azure添加的攻击路径之一的示例，以及有关新风险可视化的更多细节. 好了，我们开始吧.

用新的攻击路径扩大覆盖范围

First, 在覆盖方面，我们在AWS和Azure的最新版本中增加了7条新路径. 我们的AWS覆盖范围扩展到支持所有AWS攻击路径的ECS, 我们还引入了3个新的Azure攻击路径. 为简洁起见, 我们不会一一介绍, 但我们确实有一个不断发展的支持攻击路径列表，您可以访问 在文档页面上. As an example, however, 让我们深入了解我们为Azure发布的新路径之一, 哪一种方法可以识别针对公开暴露实例的攻击路径，这些实例也具有附加的特权角色.

这种类型的攻击路径有几个原因值得关注:首先，也是最重要的, 攻击者可以使用公开暴露的实例作为进入云环境的入口，因为它是可公开访问的, 获取对资源本身的敏感数据的访问权限，或者访问相关资源间接访问的数据. Secondly, 因为附加的角色能够升级特权, 然后，攻击者可以利用该资源为自己分配管理权限，这反过来又可以用来打开新的攻击媒介.

因为如果它被利用，可能会产生广泛的影响, 我们已经将其列为紧急级别. 这意味着，只要这条路径出现在我们的云环境中，我们就需要尽快解决这个问题, 甚至可以自动化关闭公共访问或调整资源权限的过程，以限制横向移动或特权升级的可能性. 说到具有广泛影响的路径，如果它们被利用的话, 这让我想到了我们推出的攻击路径分析的其他一些令人兴奋的更新.

清晰可视化风险严重程度和潜在爆炸半径

正如我之前提到的, 随着覆盖面的扩大, 我们还更新了攻击路径分析，让用户更清楚地知道你最危险的资产在给定的攻击路径上，并清楚地显示利用的潜在爆炸半径.

使其更容易理解攻击路径的总体风险及其瓶颈在哪里, 我们添加了一个新的安全视图，可以可视化给定路径上每个资源的风险. 这种新视图使安全团队可以非常容易地立即了解哪些特定资源存在最高风险，以及他们应该在哪里集中补救工作，以阻止潜在的攻击者.

除了这个新的以安全为中心的观点, 我们还扩展了攻击路径分析，通过显示基于图形的拓扑地图来显示潜在的爆炸半径，这有助于清楚地勾勒出环境中资源(特别是攻击路径内的资源)相互连接的各种方式.

这个拓扑图不仅使安全团队更容易在调查过程中快速确定首先需要注意的内容, 但这也是坏人的下一个目标. Additionally, 这个视图可以帮助安全团队和领导者在整个组织中沟通风险, 特别是当与非技术涉众接触时，他们发现很难理解为什么受损的资源会给业务带来潜在的更大风险.

我们将在未来继续扩展我们现有的攻击路径分析功能, 因此，请务必密切关注未来几个月添加的其他路径，并继续努力使安全团队能够使用有效检测所需的上下文更快地分析云风险, communicate, prioritize, and respond.