Sécurité Cloud : Comment les attaquants ciblent les services vulnérables
Examiner comment les attaquants exploitent les services cloud et leurs comportements de scan.
― 7 min lire
Table des matières
L'informatique en nuage a changé la façon dont les entreprises déploient leurs services. Cet article examine comment les attaquants trouvent et ciblent les services cloud, en comparant ces tactiques à celles des réseaux traditionnels. En étudiant divers systèmes cloud dans différents pays, on découvre comment des éléments comme la géographie et les choix de réseau affectent le scan et le ciblage des services.
Aperçu des résultats
Les Scanners qui ciblent les services en nuage sont prudents. Ils ont tendance à éviter les réseaux qui n'ont pas de services légitimes et sont sélectifs sur les zones géographiques qu'ils analysent. Les attaquants utilisent souvent des moteurs de recherche pour dénicher des services vulnérables. Fait intéressant, de nombreux attaquants évitent certains protocoles, ce qui peut amener les chercheurs à mal classer une partie du Trafic.
Importance de l'étude
Traditionnellement, les chercheurs se sont penchés sur le trafic non sollicité dans de grandes plages d'adresses IP inutilisées, connues sous le nom de télescopes réseau. Cependant, les découvertes récentes suggèrent que ce que nous apprenons des télescopes pourrait ne pas s'appliquer directement aux réseaux de production où de véritables services vulnérables existent. Cette étude se concentre sur le comportement des attaquants dans les Environnements Cloud, révélant des différences significatives dans le trafic malveillant comparé à d'autres types de réseaux.
Aspects uniques des environnements cloud
Les environnements cloud comme Amazon, Google et Alibaba sont nettement différents des autres réseaux. Beaucoup de services accessibles au public se trouvent dans ces environnements cloud, et ils partagent souvent des adresses IP. Le mélange de services de différents propriétaires peut entraîner une variété de posture de sécurité, rendant le paysage complexe pour les attaquants.
Méthodologie de recherche
En utilisant des honeypots interactifs à travers plusieurs fournisseurs de cloud et des réseaux éducatifs, nous avons analysé comment différents facteurs influencent le scan et le ciblage des services. Nous avons examiné des aspects comme le type de réseau, la localisation géographique et le choix des ports de service.
Analyse du comportement de scan
Notre analyse a révélé que les attaquants choisissent leurs cibles en fonction de divers facteurs. Par exemple, l'historique d'utilisation précédent d'une Adresse IP peut influencer sa probabilité d'attirer des attaquants. Les adresses IP utilisées pour des services légitimes attirent généralement plus l'attention des scanners.
Influence géographique sur le comportement des attaquants
Les attaquants montrent des différences significatives selon la localisation géographique. Ils adaptent leurs approches en fonction de la région qu'ils analysent, en particulier dans la région Asie-Pacifique. Par exemple, les noms d'utilisateur et mots de passe utilisés dans les attaques peuvent varier considérablement d'une région à l'autre.
L'impact de l'historique des adresses IP
Une découverte importante est que les adresses IP précédemment associées à des services peuvent être plus ciblées par les attaquants. Par exemple, les adresses indexées par des moteurs de recherche comme Shodan attirent plus d'activité de scan que celles qui ne le sont pas.
Recommandations pour les chercheurs et opérateurs
À partir de nos découvertes, nous avons plusieurs recommandations pour les chercheurs et les opérateurs de services :
- Les chercheurs ne devraient pas se fier uniquement aux télescopes pour comprendre le comportement du réseau, car ils pourraient manquer des patterns de scan importants propres aux environnements cloud.
- Les opérateurs devraient surveiller le trafic inattendu sur divers ports et garder un œil sur la réputation des adresses IP, en particulier celles signalées par les moteurs de recherche.
- Pour vraiment comprendre le comportement des attaquants, il est essentiel de collecter des données provenant de réseaux hébergeant de réels services, plutôt que de se fier à des données passives provenant de plages IP inutilisées.
Revue de la recherche connexe
De nombreuses études précédentes ont utilisé des télescopes réseau et des honeypots pour évaluer le comportement des attaquants. Bien que ces méthodes aient fourni des informations, il y a eu peu de concentration sur les comportements spécifiques aux réseaux cloud. Notre travail s'appuie sur des domaines connus comme les mesures de télescope, l'informatique en nuage et le scan Internet tout en identifiant les lacunes dans la recherche existante.
Télescopes et leurs limitations
Les télescopes réseau ont été utilisés pour comprendre divers phénomènes Internet tels que les patterns de scan Malveillants et les attaques par déni de service. Cependant, nous trouvons que les attaquants évitent complètement les télescopes lorsqu'ils ciblent les environnements cloud. Cela suggère que les résultats tirés des télescopes peuvent ne pas s'appliquer efficacement aux services cloud réels.
Études de honeypots dans le cloud
Plusieurs études ont mesuré l'activité Internet en utilisant des honeypots hébergés dans le cloud. Mais les recherches antérieures manquaient souvent de validation statistique robuste. De nombreuses conclusions tirées d'études précédentes peuvent ne pas être fiables, notamment lorsqu'on compare différentes régions et types de réseaux.
Analyse du trafic de scan
Pour comprendre comment les attaquants se comportent à travers différents réseaux, nous avons rassemblé des données sur le trafic de scan provenant des services cloud et des réseaux éducatifs. Nous avons utilisé diverses techniques pour identifier la source du trafic entrant et différencier les scans malveillants des non-malveillants.
Identification du trafic malveillant
Nous avons découvert que toutes les activités de scan ne sont pas malveillantes. Différentes motivations existent derrière les scans réseau non sollicités. Nous avons développé des critères pour distinguer les scans bénins des scans malveillants, en nous concentrant sur leur intention et la nature de leurs actions.
Stabilité temporelle du comportement des attaquants
Notre recherche a confirmé que les préférences des attaquants restent généralement stables dans le temps. Bien que certains patterns puissent varier d'année en année, notamment lors d'événements spécifiques, les tendances globales du comportement de scan se montrent cohérentes.
Structure d'adresse et patterns de scan
Nous avons exploré comment la structure d'adresse affecte le comportement de scan. Les scanners ont tendance à éviter certains types d'adresses et montrent des préférences pour des patterns spécifiques. Cette préférence crée une interaction complexe entre la structure du réseau et l'activité de scan.
Moteurs de recherche de services Internet et leur rôle
Nos résultats indiquent que les attaquants utilisent des moteurs de recherche comme Censys et Shodan pour identifier les services vulnérables. Cette implication impacte considérablement les services ciblés, avec des augmentations substantielles du trafic pour les services précédemment indexés.
Résumé des principaux enseignements
La vulnérabilité des services cloud est influencée par plusieurs éléments, y compris l'attribution des adresses IP, les facteurs géographiques et l'historique de l'adresse. Cette combinaison crée un environnement riche pour les attaquants que les chercheurs doivent prendre en compte lors de l'analyse de la sécurité des réseaux.
Conclusion
Le paysage de la sécurité cloud est nuancé, avec différents éléments influençant les patterns de scan et d'attaque. À mesure que le cloud continue d'évoluer, les méthodes des attaquants évoluent également. Il est donc essentiel pour les chercheurs et les opérateurs d'adapter leurs méthodologies et outils pour lutter efficacement contre ces menaces changeantes.
En comprenant les nuances du comportement de scan dans le cloud, nous pouvons mieux protéger les services contre le trafic malveillant et, en fin de compte, améliorer la sécurité des ressources hébergées dans le cloud.
Titre: Cloud Watching: Understanding Attacks Against Cloud-Hosted Services
Résumé: Cloud computing has dramatically changed service deployment patterns. In this work, we analyze how attackers identify and target cloud services in contrast to traditional enterprise networks and network telescopes. Using a diverse set of cloud honeypots in 5~providers and 23~countries as well as 2~educational networks and 1~network telescope, we analyze how IP address assignment, geography, network, and service-port selection, influence what services are targeted in the cloud. We find that scanners that target cloud compute are selective: they avoid scanning networks without legitimate services and they discriminate between geographic regions. Further, attackers mine Internet-service search engines to find exploitable services and, in some cases, they avoid targeting IANA-assigned protocols, causing researchers to misclassify at least 15\% of traffic on select ports. Based on our results, we derive recommendations for researchers and operators.
Auteurs: Liz Izhikevich, Manda Tran, Michalis Kallitsis, Aurore Fass, Zakir Durumeric
Dernière mise à jour: 2023-09-28 00:00:00
Langue: English
Source URL: https://arxiv.org/abs/2309.13471
Source PDF: https://arxiv.org/pdf/2309.13471
Licence: https://creativecommons.org/licenses/by/4.0/
Changements: Ce résumé a été créé avec l'aide de l'IA et peut contenir des inexactitudes. Pour obtenir des informations précises, veuillez vous référer aux documents sources originaux dont les liens figurent ici.
Merci à arxiv pour l'utilisation de son interopérabilité en libre accès.
Liens de référence
- https://en.wikipedia.org/wiki/Network_telescope
- https://link.springer.com/chapter/10.1007/978-981-33-4922-3_15
- https://doi.org/10.1145/3618257.3624818
- https://therecord.media/attackers-dont-bother-brute-forcing-long-passwords-microsoft-engineer-says/
- https://labs.ripe.net/author/stephane_bortzmeyer/all-ip-addresses-are-equal-dot-zero-addresses-are-less-equal/
- https://scans.io/study/cloud_watching
- https://pastebin.com/eqGtVvdX
- https://github.com/Cisco-Talos/Re2Pcap
- https://talosintelligence.com/re2pcap
- https://doc.emergingthreats.net/bin/view/Main/AllRulesets
- https://romisatriawahono.net/wp-content/uploads/2013/01/Liao-Intrusion-detection-system-A-comprehensive-review-2013-.pdf
- https://www.spiedigitallibrary.org/conference-proceedings-of-spie/8757/875704/Quantitative-analysis-of-intrusion-detection-systems-Snort-and-Suricata/10.1117/12.2015616.full
- https://www.researchgate.net/profile/David-Day-13/publication/241701294_A_Performance_Analysis_of_Snort_and_Suricata_Network_Intrusion_Detection_and_Prevention_Engines/links/0046351cab8b2bb28d000000/A-Performance-Analysis-of-Snort-and-Suricata-Network-Intrusion-Detection-and-Prevention-Engines.pdf