现代攻击者不再只是入侵,而是融入系统伪装成合法工作负载。尽管可观测性是防御关键,但攻击者已适应以正常行为隐藏。文章强调权限而非入口是目标,并指出共享底层架构的权衡,提出应明确限制默认权限以应对新型威胁。
译自:The New Threats: Attackers Don't Just Break In, They Blend In
作者:Kavi Daula
如今,恶意行为者不再通过破坏系统来得手,而是通过融入其中。入侵者越来越像一个合法的负载。警报不会响起,直到为时已晚。
以最近发现的与 Muddy Water 高级持续性威胁相关的 RustyWater 植入程序为例。RustyWater 进入系统后,会悄无声息地持续存在。它避免了明显的威胁升级路径,并将其交互保持在最低限度,以便不被检测到。它不会产生明显的副作用,因此监控软件无法轻易捕捉到它。从系统的角度来看,一切照常。
系统入侵越来越频繁地以这种方式发生。随着基础设施变得更具可观测性,攻击者也随之进行了调整。保持可见的正常行为已成为主要策略。
当可见性成为默认响应时
随着系统扩展、动态变化并跨越组织边界,端到端推理变得不切实际。业界通过深入投资于所有可用表面的可见性来应对。日志管道、指标系统、追踪框架、仪表盘、检测器和事件重建工具成为标准。
随着时间的推移,详细解释事件的能力成为衡量运营成熟度的标志。当团队能够自信地描述时间线、触发器和序列时,他们感受到了进步——即使导致事件发生的条件保持不变。
可见性开始充当遏制的替代品,而不是其补充。理解事件越来越被认为是足够的,部分原因是可见性可以持续改进而无需进行结构性改变。
权限而非入侵才是目标
在当代基础设施中,执行本身不再是不寻常或难以获取的。代码不断跨服务、管道、控制器和长期运行的代理运行。更重要的问题是,一旦允许执行,系统会做出何种假设。允许执行隐式地在系统的信任模型内授予了合法性。当执行发生在更接近协调层(这些协调层塑造全局状态)时,这种影响力会增加。
一旦代码成功执行,攻击者的挑战性质就会改变。初始访问侧重于在环境中某处实现执行。长期影响取决于该执行能够随着时间推移影响什么。现代系统模糊了这种区别,因为权限通常是继承而非刻意分配的。
在构建基础设施中运行的代码可以影响工件的创建和分发路径。破坏 CI 环境不需要打破隔离就能造成广泛影响。构建管道决定了哪些软件被生产、信任并下游部署。对依赖项解析或工件处理的微小更改可以广泛传播。权限来自于管道在系统中的位置,而非代码的复杂性。
云身份泄露通常根本不涉及恶意软件。拥有凭据或权限过高的角色允许基础设施的创建和修改。从系统的角度来看,这些操作是合法且经过授权的。
控制平面操纵遵循相同的逻辑。编排系统旨在使现实与声明的预期状态趋于一致。影响这种声明的状态允许平台代表攻击者执行有害操作。当系统本身执行这些更改时,无需进行逃逸。
在这些场景中,初始入侵是次要的。在受信任的系统角色中获得位置决定了权限的积累。影响是通过在信任模型内操作而不是公然违反它而产生的。
共享底层架构的权衡
现代环境部署了准入控制、运行时强制执行、分段、身份系统和签名机制。这些控制措施显著降低了风险,并彻底阻止了许多攻击类别。它们的共同点是位于执行底层架构之上。它们假设在评估行为之前已允许执行。在授予权限之后,操作才受到限制、监控和响应。
共享内核、共享控制平面和共享基础设施是经过深思熟虑的选择。它们在规模上提高了效率、性能和操作简便性。资源利用变得可控,调度开销也减少了。
权衡在于隐式和共享的权限。在共享内核环境中,调度、内存压力和文件系统语义趋于一致。命名空间和 cgroup 限制了行为,但内核仍然是全局受信任的。因此,遏制依赖于早期检测和快速响应——当攻击嘈杂且受时间限制时,这一假设更为可靠。当攻击者有耐心并符合预期行为时,它就不可靠了。
明确权限
一些架构方法通过限制默认权限而不是改善可观测性来应对。它们假设最终会被攻破,并专注于限制传播。在权限可以扩展之前,必须跨越额外的边界。像 Edera 这样的系统遵循这一理念,尽管具体的实现是次要的。核心思想是将遏制视为主要的设计目标而非副作用。
这一切并不意味着早期的架构决策是错误的。可见性解决了当时最紧迫的问题,即不确定性。它使复杂的系统变得可理解和可操作。但现在改变的是攻击者在这些系统中的行为方式。理解事件本身并不能限制执行允许传播的范围。随着系统增长和权限集中,解释与遏制之间的差距变得越来越难以忽视。
