如何通过云蜜罐揭示网络攻击者的策略

云安全服务提供商Orca Security公司日前表示 ，何通网络攻击者通常能够在两分钟内发现暴露的过云攻击“秘密”，即允许访问受害者云计算环境的蜜罐敏感信息，在许多情况下 ，揭示网络攻击者几乎立即开始利用这些秘密 ，网络这凸显了对全面云安全的策略迫切需求。

该公司的何通这项研究是在2023年1月至5月期间进行的，首先在9个不同的过云攻击云计算环境中创建“蜜罐” ，模拟云中错误配置的蜜罐资源，亿华云以吸引网络攻击者。揭示

云蜜罐

Orca Security公司创建的网络每个云蜜罐都包含一个AWS密钥
，然后对它们进行监控 ，策略测试网络攻击者是何通否以及何时会上钩，以了解哪些云计算服务最常被攻击，过云攻击网络攻击者访问公共资源或容易访问的蜜罐资源需要多长时间，以及网络攻击者发现和使用泄露的秘密需要多长时间。

Orca Security公司云计算威胁研究团队负责人Bar Kaduri表示：“虽然这一策略因资源而异，但我们的研究表明 ，如果一个秘密被曝光 ，它就会被利用。服务器租用”

Kaduri继续说道，“我们的研究表明，网络攻击者发现暴露的秘密的速度非常快 ，而且不需要很长时间就能将其武器化。在这种环境下，企业必须确保他们的数据资产不会被公开获取，除非绝对必要，并确保秘密得到妥善管理 。”

虽然Orca Security公司预计网络攻击者会很快找到蜜罐，但研究小组仍然对一些蜜罐被发现和利用的速度感到惊讶。

蜜罐的源码下载发现和利用

(1)易受攻击的资产几乎立即被发现

错误配置和易受攻击的资产可以在几分钟内被发现  。GitHub 、HTTP和SSH上暴露的秘密都在五分钟内被发现，在不到一个小时的时间内发现了AWS S3存储桶 。

(2)密钥使用时间因数据资产类型而异

Orca Security公司在两分钟内观察到GitHub上的密钥使用情况，这意味着暴露的密钥几乎立即被泄露 。对于其他资产 ，这个过程要慢一些
。对于S3存储桶
，密钥泄露大约需要8个小时，建站模板而对于Elastic Container Registry，这个过程需要将近4个月。

(3)并非所有数据资产都会一视同仁

数据资产越受欢迎，访问越容易
，包含敏感信息的可能性越大，网络攻击者就越倾向于进行侦察。某些数据资产(如SSH)是恶意软件和加密挖掘的高度目标。

(4)防御者不应该依赖于自动密钥保护

除了GitHub之外 ，暴露的AWS密钥权限立即被锁定
，Orca Security公司没有检测到任何对其他测试资源的自动保护
。

(5)没有哪个地方是高防服务器安全的

尽管所有观察到的暴露的AWS密钥使用中有50%发生在美国，但几乎所有国家和地区都有使用 ，包括加拿大、亚太地区、欧洲和南美地区。

Orca Security公司研究技术主管托Tohar Braun表示 ：“网络攻击者根据资源的不同采取不同的策略 ，说明防御者需要针对每种情况采用量身定制的防御措施
。”

他总结道 ：“这份研究报告对攻击技术进行了细分 ，并提出了降低泄密风险的最佳实践建议。云计算”