攻击者希望消耗受害者的云计算资源 - 及其银行帐户
近年来,随着组织继续实现这种易于扩展的基于云的基础架构模型的好处,无服务器计算的普及爆炸了。
实际上,一项研究估计到2021年,无服务器客户的数量将超过70亿。
然而,随着这种趋势,带来了额外的风险网络攻击专门针对基于云的基础架构。
在这一日益增长的利用清单中,拒绝收入的攻击是一种鲜为人知但易于执行的技术,可能会使受害者在财务上受到严重损害。
什么是拒绝货物的攻击?
拒绝毛线(DOW)的利用类似于传统的拒绝服务(DOS)攻击,因为两者都以造成破坏的目的进行。
但是,尽管DOS攻击旨在迫使有针对性的服务离线,但DOW试图造成受害者的财务损失。
此外,传统基于网络的分布beplay体育能用吗拒绝服务(DDOS)攻击将服务器淹没了流量,直到它崩溃为止,DOW攻击专门针对无服务器用户。
相反,其名称“无服务器”并不意味着用户没有连接到服务器,而是他们为对第三方维护的服务器的访问付费。
拒绝使用货物的攻击利用了一个事实,即无服务器供应商会根据应用程序消费的资源数量向用户收取用户的费用,这意味着,如果攻击者淹没了流量的网站,则可以将网站所有者带来巨大的账单。beplay体育能用吗
攻击者不会像通过其他漏洞利用方式那样从道琼斯指数攻击中获利 - 当然,除了造成目标财务困扰之外。
“当您在数据中心有服务器,而攻击者只想给您带来伤害时,他们可以DDOS您和您的网站下降。” Summit路线的AWS安全顾问Scott Piper解释说。
“当您在云中奔跑时攻击者可以做的事情使您的网站可能会熬夜,但您会破产。”
下雨:拒绝毛线攻击可能会给无服务器用户造成巨大的财务损失
什么是无服务器计算?
无服务器计算是在“使用”基础上提供后端服务时。该公司支付无服务器供应商以提供基础架构并维护服务器。
流行的无服务器品牌包括Amazon Web Services(AWS),Microbeplay体育能用吗soft Azure和谷歌云平台(GCP),共同计算了数百万用户。
无服务器专业人士
使用无服务器模式有明显的好处,这是它使较小的组织能够在无需投资硬件的情况下实现其服务。
另一个积极的是,由于该服务是按照您的付费提供的,因此用户没有为他们不使用的任何带宽或资源收取费用。
你可能还喜欢长矛捕捞指南 - 如何防止有针对性的攻击
“无服务器计算是无状态应用程序的无状态体系结构”,无服务器供应商IOPIPE的创始人Erica Windish告诉每日swbeplay2018官网ig。“我认为这种架构具有不变性,因此对这种架构有安全的利益。”
由于无服务器的环境不断更新,因此恶意软件或邪恶应用程序难以在基础架构内保持休眠时间太长。
无服务器缺点
但是,使用无服务器计算确实会带来风险。例如,Windish Notes,有时可能会阻碍进行深入的基础架构分析的机会。
“无服务器还围绕安全可观察性造成了一些挑战,例如,如果折衷的容器每五分钟到八个小时被折磨的容器被销毁,您如何做验尸?没有工具可以冻结或保存这些环境进行分析。”她说。
无服务器模型还会导致用户依靠供应商的安全实践。如果服务器不安全,则拒绝钱包并不是管理员应担心的唯一网络攻击。
您如何发现拒绝货物的攻击?
当他们的账单高于预期时,受害者可能会注意到某些事情正在增加。但是,有多种方法可以停止拒绝货物攻击,然后再变得太成本。
首先,Piper建议设置一个计费警报。如果用户超过预定义的支出限制,这将通知他们。
用户还应采用限制来减轻任何失控的代码,尤其是可以触发无限循环方案的行。
Piper说:“许多人都有有关AWS中无限循环的故事,导致一遍又一遍地创造资源,或者是触发引起自己再次触发的lambda的故事。”
“这是一个足够普遍的问题,即CloudWatch事件规则文档甚至对此有警告。”
他补充说:“如果没有这些限制,攻击者可能会尝试旋转一百万的EC2,但是由于这些限制,攻击者可能只旋转了几十个EC2。”
无服务器用户应设置限制以触发计费警报
该术语来自哪里?
派珀告诉每日swbeplay2018官网ig,当它被称为“可持续性的经济否认”博客文章通过理性安全。
派珀(Piper)建议“拒绝钱包”一词首先使用在2013年,指向一个名为 @Gepeto42的Twitter用户。
您如何防止拒绝拒绝收入的攻击?
没有实际的防弹防护防止拒绝造成的犯罪攻击。取而代之的是,无服务器用户应在上述限制中设置以触发警报,以触发警报。
这OWASP十大无服务器威胁(PDF)描述了DOW的风险:
为了“防止”此类攻击,AWS允许为调用或预算配置限制。但是,如果攻击者能够达到这一限制,他可能会导致DOS到帐户的可用性。
没有实际的保护不会导致DOS。在传统体系结构中,攻击并不像无服务器那样简单。因此,风险应该很高。
还应采取措施来确保与无服务器帐户相关的凭据。
Piper said that if an attacker is able to make costly API calls to a victim’s AWS account, “they likely also have the ability to delete all your files in S3, terminate all your instances, and cause other mayhem that has the potential to cause worse business impact”.
他建议通过实施最小特权服务,对所有用户执行多因素身份验证并实施来缓解这种情况服务控制政策。
