日前,安全419注意到有业内媒体报道,上海市徐汇区人民检察院公布了一起网络安全案件。
2022年2月底至3月,上海某公司员工张某多次使用某云厂商压力测试服务对被害单位上海市群众艺术馆委托第三方开发的“wx.sh***.com”网页,同时大量访问开展压力测试,导致页面访问缓慢乃至于无法访问,造成增添服务器、购买防护服务等损失人民币 1.4 万余元。
最终法院认为,张某违反国家规定,对计算机信息系统功能进行干扰,造成计算机信息系统不能正常运行,后果严重,其行为已构成破坏计算机信息系统罪,依法应予处罚。因张某所在公司已代其赔偿并获得谅解,判处张某拘役六个月,缓刑六个月。
我们注意到这是一起颇值得研究的案例,这实际上是利用了云厂商提供的压力测试服务功能,对目标网站进行了DDoS攻击。这起案例也引起了我们的思考,从安全测试的角度,安全测试人员行为如何更可控地监督?如何避免未授权测试情况的发生?
从攻防的角度,这些云上资源是否已经成为当前攻击者的有力工具?围绕上述话题,我们邀请到了三位业内安全专家,分别从安全测试和攻防的视角为我们解读这一事件,分享自身的观察和理解。
保障安全服务过程中各方的合法权益 需探索建立更合理的合作机制、授权机制
众安天下创始人杨蔚告诉我们,安全行业中也曾经发生过许多因安全人员未授权测试而对目标单位业务造成损失,最终难逃牢狱之灾的案件,这也再次为安全人员敲响了警钟,要规范技术操作的流程,在得到充分授权的前提下,才能够开展相关测试工作,以规避法律层面的风险。
虽然当前安全行业内当前安全服务和安全测试的项目中也会用到一些类似的安全测试工具,但授权确认机制已经是一项必须履行的动作。在项目开展前,实施方会与被测试方一同就工作内容、边界和侧重点进行确认,即使存在可能涉及漏洞导致的资源耗损或滥用的测试内容,也都会明确要求安全人员点到为止,确认漏洞存在即可,避免对用户的业务造成实际的损失。
他表示,从行业常见案例来看,当前存在的行业现象主要有两大类:
其一是客户委托的测试工作内容虽然提前做了预案和严格的测试范围约定,但偶尔也会出现安全服务人员无意识超范围测试的情况。常见情况比如需要测试的域名归属于第三方,在被测试方不确定归属的情况下委托服务机构进行测试,尽管是得到了委托和授权,假设服务机构使用了一些攻击类测试操作,进而造成了一定的业务影响,那么最终就可能会因为超范围测试的争议而引起责任方的追究。这一类非恶意造成的未授权测试现象已经成为当前业内安全服务管理过程中的较为容易产生争议的“雷区”和盲区。
另一类则是“伪授权”测试,往往在互联网公司所属的安全应急响应中心和一些漏洞平台中较为常见。在近两年的一些类似案例中,一些年轻的白帽子为了在各大平台中“刷榜单积分”,可能会给一些官方的漏洞平台提交自己所在学校教务系统的漏洞,或是其他网站的漏洞,如果一旦对业务造成影响和一定业务损失,甚至可能会引起更大的纠纷,最终因为给责任方造成业务损失而被处分乃至被行政、刑事处罚的案例也已屡见不鲜,相关平台也需要考虑对安全研究员和白帽专家也需要有更好的特赦机制,另外作为安全研究者和白帽专家也需要考虑测试边界和安全红线,对自我行为上做好约束和自律。
杨蔚认为,出现此类“伪授权”测试的原因在于,安全人员或者白帽子与平台之间建立的合作机制仍然较为模糊,这也为安全人员后续的测试行为埋下了一定的隐患。因此,安全测试中的各方如何建立一个很好的合作机制、授权机制,去保证安全服务的合法性,保证安全服务过程中各方的合法权益,仍然是一个值得整个行业深入探讨的话题。
他向我们介绍,作为一家专业的实战化攻防解决方案提供商,众安天下在做安全服务的过程中已经逐步探索建立起了一套标准化的流程和机制。首先,在项目启动前,作为服务方众安天下会跟被测试方一起对工作内容、边界、侧重点进行确认,明确哪些方向的漏洞要重点关注,以及哪些方面是明令禁止不能做的,会进行约法三章,划出明确清单和要求。
其次,在项目管理实施过程当中也要去监测整个测试的实施过程不越界。如遇到边界不清晰的资产,还需要对这些资产进行深入的漏洞测试,引入报备的机制,在做任何可能超出约定范围的测试前都再次跟被测试方进行确认,在得到充分授权的前提下,再去深入地开展相关工作,保证整体安全测试的过程可控。
值得强调的是,众安天下还会将服务内容和责任边界落实到法律层面,形成三方的电子协议。在协议中也会明确提出,执行的过程当中一旦遇到突发情况,三方如何来协调处理,尽量避免出现法律层面的纠纷。
在网络安全行业领域提供实战服务,都会模拟实战攻击提供测试服务,没有任何一个团队能够完全保证不出问题,毕竟它是一个偏实战攻击类的测试,众安天下的做法是建立更合理的合作机制、授权机制,以及更有效的沟通渠道来保障执行人员在更合法,更合规地去开展相应的工作。
云上资源的滥用已成全新攻防趋势 不断提高攻击者成本是有效防御策略
从攻防的视角,云厂商提供压测功能本来是用来检测网站性能用的,比如带宽、并发访问量等等,那怎么会被用来做DDoS攻击呢?
网宿科技副总裁吕士表在采访中告诉我们,因为超过服务器承接能力的非正常访问会形成事实上的DDoS攻击,所以云压测的大规模并发能力是具备发起类似DDoS攻击能力的。从事件分析来看,一方面是遭受攻击的系统网站设计的负载能力或许不能负载超大规模并发访问,另一方面,背后原因也可能是云压测工具被错误操作而给业务造成了实际的损失。
他表示,网宿CDN和安全平台也曾检测到客户遭受类似的攻击,但从过往案例中可以看到,控制利用物联网设备仍然是发起DDoS的主要攻击方式,但此类云压测服务在一定程度上的确会降低攻击者发起DDoS的成本,作为一个超大规模分布式访问的典型应用场景,压测服务对验证和提升应用系统高并发能力很有帮助,但也需防范此类云上资源滥用引发的安全风险。因此他也建议,提供压测服务的第三方平台应该给出明确的安全使用原则和法律提示,尽到平台方的责任。
另一位安全专家,网星安全技术合伙人兼安全负责人李帅臻从攻防趋势的视角为我们进行了解读。他表示,在目前看来,在安全攻防中对公有云的服务滥用已经是一个比较常见的现象。在一些实战案例中,许多攻击者都会购买云上的一些公开服务,比如云函数,以及云上的一些存在漏洞组件的数据库来做一些对外的匿名攻击。
从防御者视角来说,云上资源是一块非常庞大且复杂的大型基础设施,对攻击者而言也同样极具价值,因此对于云服务的滥用是比较常见的。云厂商提供了非常繁多的云服务类目,从最底层的操作系统到应用层面,从代码层面到函数层面,云厂商都提供了非常丰富的组件。那一旦某一个组件出现一点小问题,就会被攻击者敏锐地发现,并放大他的利用价值。
李帅臻谈到,此前也曾发生过某个数据库被曝存在反射放大漏洞,发现许多攻击者都曾通过这一漏洞利用云厂商提供的云服务来对外发起DDoS攻击的案例。因此对于云服务功能的滥用不是第一次,肯定也不是最后一次。
在他看来,之所以能够发生这样的攻击事件,或许也是因为云厂商设置的压测条件不够严谨所导致。他表示,在攻防的视角出发,近年来许多攻击者都会尝试通过域前置的方式去隐藏自己的远控软件,这也是利用了云厂商没有对域名做归属权的验证,所以可以允许攻击者伪造自己的身份对目标发起远控。
事实上,通过一些互联网公开的代理软件,去注册一个账号后通过代理出口去进行访问的攻击行为,以及利用SaaS化的基础设施对终端进行远程控制,都已经是攻击者的惯用手段。这些都是通过滥用公开服务而造成的攻击。
李帅臻最后表示,由于云技术表现出的服务成本低、便捷性高、扩展性好等特点,SaaS化服务也不断成熟,云上提供的服务种类愈发丰富。但在为用户提供更多层次服务的同时,也带来了更多可利用的攻击面。攻击者的攻击成本和技术门槛正在变得越来越低。因此作为云厂商来说,在做好鉴权的同时也需要对用户的使用目的进行监督。
他建议,作为云上基础设施提供商,云厂也可以参考如微信、支付宝去设计更强的实名校验,从更多层面去增加攻击者的成本,才能够相应地提高犯罪难度,更大范围地去降低安全风险。