文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

简析影子访问(Shadow Access)的产生、危害与防护

2024-11-30 08:07

关注

云服务的广泛使用和“以数据为中心”的应用增加导致了在大量的数据存储中包含了隐私信息。而在访问这些海量数据的时候,就会产生一个名为“影子访问”(Shadow Access)的新威胁。

从本质上说,影子访问就是对云数据、应用系统的不受监控、未经授权、不可见、不安全以及被过度许可的访问,最重要的是,它正随着云身份、应用程序和数据的增长而增长。影子访问增加了云上数据泄露的风险,并进一步引发访问合规、审计和治理方面的风险威胁。在企业组织中,任何形式的影子访问都不应该存在,其引发的后果往往会是灾难性的,并威胁到任何向云上转型发展的组织。

云身份发展的新特性

企业需要给云中运行的所有应用都赋予一个身份,这样才可以安全访问关键的云服务、供应链或数据。因此,云应用访问武器化是云计算应用发展的一个重要问题。据Verizon最新发布的《数据泄露调查报告(DBIR)》强调,80%的数据泄露与身份访问权限异常有关。数以兆计的数据被存储在云平台上,这推动了对这些数据访问的巨大需求,但是当企业组织自动创建了大量的身份访问权限时,有时却没有赋予任何治理措施。

开发人员和产品团队正在迅速将云服务与数据结合起来,以创建新的应用程序,如人工智能聊天机器人、客户数据平台、软件供应链和第三方SaaS。这就催生了不断扩大的云访问面,同时也创建了不可见和易受攻击的访问链,外部攻击者可以迅速将其武器化,以窃取敏感数据。

在很多传统企业中,普遍依赖IAM系统为身份认证提供授权和凭证,并且会和企业的HR系统进行关联。然而,随着业务上云、生态协作、多云混合等场景涌现,以及移动互联、IoT设备的普及,大量设备接入和上云让企业身份信任边界外延,传统IAM方案已经满足不了现代企业数字化发展中的身份和访问治理需求。

随着云应用日益突出,云IDP(Identity Provider,身份提供商)系统开始出现,云应用程序并不部署在企业内部。因此,企业需要将传统的本地IAM系统与新一代的云IDP(如Okta、Azure AD或Ping Identity)结合或协同运行。

云计算的出现还引入了“云IAM”的新概念,用于预置和控制对云上资源、应用程序和数据的访问和授权,并且会被部署在公共云生态系统中。云IAM和传统IAM有很大的不同,因为它主要是针对“云身份(Cloud Identities)”进行分类和检查。首先了解下“云身份”的一些关键特点:

影子访问的产生

云计算创造了一个“以身份为中心”的世界,围绕它们的差异性导致了影子访问的根本原因。影子访问产生的根本原因不仅源于拥有云身份,还源于云驱动的身份应用复杂性和管理流程的变化。

从复杂性的角度来看,主要包括:

而流程变化主要体现在:

由于云应用程序是分布式且不断发展的,因此一个元素的更改就可能会对整体暴露产生意想不到的后果。正是这种应用程序的高度复杂和不断发展的性质,以及围绕云身份创建和持续审查的流程中断,导致了影子访问和其他相关威胁的大规模暴露。

影子访问的主要类型

影子访问存在多种类型,具体是由身份(即第三方、开发人员、过期账户、机器身份)与访问类型的组合创建的,例如休眠访问、链式访问(或二次访问)、未经授权的访问(通过恶意系统或IP)等。

影子访问的危害

影子访问的存在会给企业造成很多灾难性后果,一个代表性的事例就是CircleCI漏洞。在此事件中,未经授权的恶意行为者于2022年12月22日泄露了客户信息,其中包括第三方系统的环境变量、密钥和令牌。更糟糕的是,当企业在进行事件处置时,无法准确掌握这些被盗的密钥是否已被用来攻击他们的云账户,因为CircleCI或当前任何安全工具都无法满足这个需求。

研究人员发现,现代企业中的很多部门或人员都受到了影子访问风险的影响,其危害具体包括:

影子访问的防护建议

为了有效应对影子访问的产生及风险,企业必须重点解决以下三个关键问题:

研究人员建议,企业应该立即建立以下举措来应对:

参考链接:

https://stackidentity.com/shadow-access-in-your-cloud/。

https://stackidentity.com/wp-content/uploads/2023/05/Stack_Identity_ShadowAccess_Ebook_Final.pdf。

来源:安全牛内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯