避免雲端主機淪為跳板收到公有雲鉅額帳單
本文將以雲端主機最常發生的事件(被當成 DDoS 跳板機),探究其發生原因,以及如何透過了解雲端參數調教來防範此類攻擊。
隨著雲端運算的普及,企業將越來越多的業務遷移至雲端環境。然而,雲端環境並非萬無一失,仍存在著各種資安威脅,在雲端分享式安全責任中,雲端用戶應負的安全責任更是常被忽略的,導致雲端資安事件層出不窮。其中,雲端主機被駭客利用作為 DDoS 攻擊的跳板機,導致雲帳單刷爆,是常見且最有感的雲資安事件之一。
案例背景
在某企業的雲端主機上,因未能妥善配置安全設置,導致其主機被駭客利用,成為 DDoS 攻擊的跳板。攻擊者透過該主機發起大規模的流量攻擊,目標是其他企業的伺服器。此案例客戶的雲環境沒有定期檢視雲環境的配置,也沒有監控機制,在被利用成跳板的攻擊期間產生超額流量而不自知,而雲端是根據流量計費,此案例客戶在收到鉅額帳單時已經太遲了。
事件分析過程
通常每月初客戶都會定期收到雲端對帳單,卻發現帳單金額比平時超出甚多,檢視對帳單明細,發現流量費是主要超額帳單的原因,覺得不合理,立即與雲服務廠商聯繫,表達對帳單的疑慮並請求展開調查。 由於客戶環境並沒有啟用監控和日誌,雲資安架構師無從查找與分析,因此先從檢視雲環境的配置設定開始進行,檢視過程中發現網路存取規則有一條是對外可被公開存取(Public Accessible),且該異常網路存取規則是套用在資料庫主機上,初步判斷資料庫主機應不需要對外可被公開存取,同時也檢視客戶雲端環境即時流量,確認大量對外流量都是來至於該資料庫主機。至於為什麼會有這一條對外可被公開存取且套用在資料庫主機上,客戶表示可能是因為之前為了測試 PoC 所建立的。
在和客戶確認後,立即關閉這條存取規則,當下,對外大量流量立即大幅減少,為了找出根本原因,雲資安架構師進入資料庫主機了解其系統使用與設定,發現資料庫為了提升效能使用 Memcached(Memcached 是用於加速網站和網路的資料庫快取系統),但 Memcached 存在 UDP 協定漏洞,易遭惡意人士使用放大攻擊,使資料庫主機去對外部進行 UDP 洪水 DDoS 攻擊(Flood DDoS),產生傳送大量網際網路流量的行為,因此建議客戶如果不需要,請務必停用 UDP 端口。
DDoS攻擊原理
DDoS(Distributed Denial of Service)攻擊是一種透過大量流量癱瘓目標伺服器或網路的攻擊手法。攻擊者通常會控制大量的機器(如殭屍電腦)向目標發送大量請求,使其無法正常回應合法用戶的請求,進而導致服務中斷。
DDoS 攻擊可分為以下幾種類型:
- 流量型 DDoS 攻擊: 透過大量的流量淹沒目標,使其無法處理。
- 協議型 DDoS 攻擊: 利用協議漏洞發送畸形數據包,消耗目標的資源。
- 應用層 DDoS 攻擊: 針對特定應用程式發起攻擊,例如 HTTP Flood、SQL Injection 等。 此案例的 DDoS 攻擊類型屬於流量型 DDoS 攻擊,這類型攻擊通常會伴隨傳送大量流量,這對以流量計費的雲端帳單是很傷荷包的。
雲端主機成為 DDoS 跳板機的原因
雲端主機之所以容易成為 DDoS 攻擊的跳板機,主要有以下幾個原因:
- 配置不當:雲端主機的初始配置未加強安全性,例如開放不必要的端口、過於寬鬆的網路存取控制和使用弱密碼等,很容易被成為資安破口。
- 漏洞未修補: 雲端主機的操作系統、應用程式若存在漏洞,駭客可利用這些漏洞取得控制權。
- 缺乏監控: 若未對雲端環境進行持續監控,無法即時發現異常活動和威脅事件,事實上,很多資安威脅與資料外洩事件是無感。
- 帳號被盜用: 駭客可能透過釣魚攻擊等手法盜取用戶的帳號與憑證,而帳號認證又沒有 MFA(多重身份驗證),很容易被控制雲端主機。 此案例中,客戶雲端環境有兩個因素導致,一是配置不當,網路存取控制設定對外可被公開存取和沒有停用不必要 UDP 端口,二是缺乏監控,即使因配置不當被利用成為 DDoS 跳板機,如果有監控偵測機制,也能立即知道資料庫主機有傳送大量網際網路流量的行為,不用等到收到鉅額帳單才發現。
列舉幾個 AWS 常見配置錯誤(Misconfiguration)的具體設定
- AWS Securiyt Group 規則設定
來源位置為「0.0.0.0」存取你的 ssh 端口,這代表外部任何人都可以遠端登入你的雲端主機。(見圖一)
- S3 存取權為公有(Public Access)
S3 為雲端物件儲存(Object Storage)服務,其存取權常被設定成公有(Block all public access 為 off),表示外部任何人都可以存取 S3 的資料,是常見的雲端資料外洩原因。(見圖二)
- IAM 使用者權限過大
AWS IAM 權限政策(Permissions Policies)很細緻又很多,最佳實踐是讓雲端用戶僅被賦予必要的權限政策,但實際上是 IAM 使用者常被賦予管理者權限(AdministratorAccess)。(見圖三)
- EBS 儲存(Volume)未啟用加密
在建立 EBS 儲存過程中,直接採用預設值,導致存放在 EBS 的資料是沒有被加密保護的。(見圖四)
- IAM 帳號未啟用多重身份驗證(MFA)
建立 IAM 帳號過程中,忽略啟用多重身份驗證,只有單一密碼驗證保護,很容易遭遇到帳號被盜用。(見圖五)
CloudTrail 稽核日誌未啟用或是被停用 稽核日誌沒有啟用或被停用,表示雲端上的任何活動是沒有被記錄的,是無法發現雲端上異常活動和威脅事件。(見圖六)
雲端主機成為 DDoS 跳板機的防護措施
要如何避免雲端主機成為 DDoS 跳板機呢? 根據 Gartner 報告,到 2025 年 90% 以上的雲端安全事件都是人為的疏忽或錯誤導致。人為的疏忽或錯誤會導致配置不當,就是我們常聽到的 Misconfiguration,其實雲端和地端類似,要進行定期的安全配置檢查和持續性的監控,主要有以下幾個層面:
- 加強身份驗證: 採用多因素驗證(MFA)等強大的身份驗證機制,防止雲端帳號被盜用。
- 帳號權限訪問控制:根據最小權限原則,限制用戶對雲端資源的訪問權限。
- 網路存取控制原則:採最小原則,只允許合法使用者存取雲端服務,並禁止未經授權的訪問。
- 定期雲端資安健診:以最佳實務(CIS/Best Practices) 來檢測雲環境安全狀態。
- 持續雲端資安監控: 對雲端環境進行 24/7 SOC 資安監控,即時偵測發現風險與異常事件。
結語
雲端主機被當成 DDoS 跳板機是雲端資安最有感的資安事件,因為直接讓客戶的雲帳單爆量。攻擊者會利用雲端常見的配置錯誤來找出可被利用的雲端主機作為 DDoS 跳板機,企業應透過加強安全管控措施、定期檢視和持續性監控有效降低被攻擊的風險,保護自身的業務和客戶的信任,還有就是自己的荷包(費用)。
文章來源:CIO Taiwan , https://www.cio.com.tw/avoid-cloud-server-abuse-and-huge-bill/
其他動態


DevSecOps 革新:開創全面威脅檢測與快速響應的新時代
2024/12/23
果核數位將於 2025 台北國際電玩展 B2B 商務區展出
2024/12/23
避免雲端主機淪為跳板收到公有雲鉅額帳單
2024/12/23
果核數位再獲 2024 OpenText Outstanding Cybersecurity Growth Award 殊榮
2024/12/23
整合優勢資源,共同採購更高效
2024/12/23
【2025 AI 人工智慧資安論壇 會後報導】
2024/12/23
資安人講堂:2025必須關注的資安10大趨勢
2024/12/23
雲原生時代,華為雲 FinOps 解決方案協助提高企業價值
2024/12/23
跟著逐步說明,建立雲端策略的行動計畫
2024/12/23
華為雲 ServiceStage 整合 Sermant 實現應用程式的優雅上下線
2024/12/23
進軍中國遊戲市場的雲端解決方案
2024/12/23
AI 人工智慧資安論壇
2024/12/23
2025 必須關注的資安10大趨勢
2024/12/23
果核數位攜手 OpenText 力推軟體開發安全
2024/12/23
雲端安全——執行長必須關注的五大重點
2024/12/23
別讓企業App成為品牌不定時炸彈!App安全風險大解析
2024/12/23
果核數位藉由第三方 CNAPP,加速實現跨雲與混合式資安管理
2024/12/23
雲端技術如何驅動金融科技創新?阿里雲的五大關鍵方案
2024/12/23
加速數位轉型:借助 GCP Gemini 和 Colab Enterprise 打造高效開發團隊
2024/12/23
優化用量、削減費用:掌握雲端流量管理的關鍵技巧
2024/12/23
利用 Database Migration Service 無縫升級 Cloud SQL MySQL 和 PostgreSQL 資料庫
2024/12/23
企業上雲,果核數位為企業打造雲端資安防護,實現雙贏安全與效能
2024/12/23
騰訊雲媒體傳輸如何實現毫秒級跨洲延遲,助力大型賽事直播
2024/12/23
【Okta | Akamai | 果核 | 奧登 _ 企業資安升級 從零信任架構到API防護 】活動報名
2024/12/23
果核積極拓展經銷通路,共創 SPKITA 社交工程演練生態系
2024/12/23
【DevSecOps實戰:從地端到雲端,全面提升軟體開發安全性】 說明會報名
2024/12/23
果核分享實用方案,助力打造通暢無礙的軟體安全開發流程
2024/12/23
iThome Cloud Summit - 實現快速安全現代化 - 跨雲和混合式安全管理
2024/12/23
2024 年度雲端盛會 Google Cloud Summit 即將登場!
2024/12/23
Hacker Talk 論壇報名 - 點破常見的資安迷思,再帶您一次導覽亞洲新型詐騙趨勢!
2024/12/23
CYBERSEC 2024 臺灣資安大會 - 果核數位攤位編C233 ,填問券送好禮!
2024/12/23
HyperG持續深化appGuard防禦力,捍衛企業機構App安全
2024/12/23
【軟體安全開發 X 資安佈署】說明會報名
2024/12/23
無人機資安風險與企業資安人力部署的困境
2024/12/23
ESG 3D數位分身 智慧戰情監控平台將於 2024 智慧城市展展出
2024/12/23
AI 2.0智勝新局 - 2024 IBM Solutions Day
2024/12/23
如何確保做好企業資訊安全?這4大DDOS防護方法,推薦學起來!
2024/12/23
果核數位將於 2024 台北國際電玩展B2B商務區展出
2024/12/23
全面導入AWS以培訓提升員工技能,並使遊戲上市時間加速 70%
2024/12/23
果核數位力推 DevOps 開發流程安全思維
2024/12/23
果核數位舉辦原碼檢測工作坊,引領企業實踐安全軟體開發之路
2024/12/23
2023年最後一場駭客論壇,精彩議程搶先看!!
2024/12/23
ISO 27001:2022 轉版重點及技術措施解析
2024/12/23
果核攜手Check Point,提出業界最完整的雲端資安攻略
2024/12/23
【Source Code Analysis Workshop】活動報名
2024/12/23
【強化DevOps開發流程安全】 說明會報名
2024/12/23
阿里雲 x 果核數位 每月199雲端乖乖包,保護您的業務順暢運營
2024/12/23
DevOpsDays Taipei 2023_DevOps系統委外開發案實務案例分享
2024/12/23
【ISO 27001改版 - 企業資安轉版重點解析】 說明會報名
2024/12/23
惡意後門與自駕車載資安層出不窮,我們邀請資深資安講師分享個人獨到見解
2024/12/23
果核數位匯聚SOC與CNAPP能量,有效打造跨雲安全管理服務
2024/12/23
【Alibaba Cloud x Digicentre】未來產業趨勢論壇 迎接下一波網路革命
2024/12/23
2023 年 臺灣雲端大會-企業轉型上雲安全實作分享
2024/12/23
核智安全從開發端切入,完整保護 App 安全,以 appGuard 融入 DevOps 開發維運流程,展現一條龍服務及在地專業團隊優勢
2024/12/23
直播點播加密:安心享受視頻內容,防範未經授權的觀眾亂入我的平臺
2024/12/23
新一代安全直播解決方案:快直播抵擋駭客盜用鏈結
2024/12/23
AI FOR ALL,四大趨勢觀點引領你探索最新趨勢變化
2024/12/23
AWS AppStream 2.0 快速上手
2024/12/23
善用抵稅制度強化企業資安防禦力
2024/12/23
果核數位攜手 OpenText 完美演繹如何破解程式漏洞危機
2024/12/23
調查局與企業資安顧問微妙融合,即將掀起驚滔"駭"浪的資安秘辛,您還不來報名嗎?
2024/12/23
CYBERSEC 2023 臺灣資安大會 - 企業安全開發流程升級之路
2024/12/23
【資安投資抵稅 快速通關說明會】 報名
2024/12/23
【落實資安防護,杜絕漏洞風險】 活動報名
2024/12/23
3D數位分身,智慧城市整合監控平台將於2023智慧城市展展出
2024/12/23
2023年首發論壇,快來手刀報名,來聽專業的怎麼說!
2024/12/23
安全防護:Anti-DDoS 設定教學
2024/12/23
十倍速遊戲開發效率SGC研習會
2024/12/23
果核數位將於2023台北國際電玩展B2B商務區展出
2024/12/23
一文概覽阿里雲 DDoS 防護六項優勢、四種方案抵禦 DDoS 攻擊手段!
2024/12/23
以資安治理角度理解 OWASP Top 10 2021
2024/12/23
製造業如何運用雲端技術進行創新轉型
2024/12/23
電腦軟體共同供應契約採購【資通安全服務暨資訊服務】-果核數位
2024/12/23
以資安治理角度理解OWASP Top 10 2021
2024/12/23
公司企業活用CNAPP自動化工具,公有雲安全保護您的資安!
2024/12/23
HACKER TALK - 企業資安要做到多安全才是足夠? IoT浪潮下如何面對排山倒海的漏洞? 精彩議程您不能錯過!!
2024/12/23
果核基於深厚實務歷練,揭露雲端資安進階防護心法
2024/12/23
從資安治理角度理解 OWASP Top 10 2021 - iThome臺灣資安大會邀請你一同參與
2024/12/23
【強化應變 建立韌性 發展永續金融】金融資安發展論壇 - 加密軟體及金鑰管理應用
2024/12/23
企業放心的資訊安全管理系統,結合Security Scorecard與Tenable!
2024/12/23
【改變一應萬變】政府資安發展論壇 - 數據整合戰情中心可視化的重要性
2024/12/23
服務上雲不需要擔心資安問題,兩全其美解決方案到底關鍵是甚麼!? 快報名iThome 台灣雲端大會,千萬不能錯過!
2024/12/23
【智慧戰情室】企業3D資料視覺化,WeMB方案完美整合數據
2024/12/23
蓋亞資訊攜手果核數位打造手機App資安全面防護網
2024/12/23
伊雲谷、果核數位共推雲端資安解決方案appGuard
2024/12/23
科技視覺,釋放數據新價值,創造高效關鍵決策 - 2022 智慧城市與物聯網 南港展覽館
2024/12/23
HACKER TALK - 關鍵基礎設施一點也不安全?! XP 時代的惡意程式盛行又該如何應對?
2024/12/23
2022 資安365年會-OWASP Top 10 2021企業指南
2024/12/23
未來的CDN服務主流:複合式CDN平台的管理與效用
2024/12/23
駭客首要攻擊目標Active Directory(AD)!該如何保障AD安全並阻斷攻擊?! 馬上報名【InfoSec Taiwan國際資安大會】將為您現場說明
2024/12/23
什麼是多重內容傳遞網路 (Multi CDN)?網站停機有哪些原因?
2024/12/23
果核推出資安評級服務,協助企業檢測網路駭客病毒的威脅!
2024/12/23
複合式內容傳遞網路(CDN)平台,打造內外兼具的客製化資安解決方案!
2024/12/23
地表最強的駭客論壇,5分鐘快速分析ML與區塊鏈安全!
2024/12/23
果核數位兩大資安方案助企業保護App安全
2024/12/23
地表最強 駭客講堂 - 開春首發,不聽會後悔的重量級課程
2024/12/23
2021/1/28-1/29 Taipei Game Show台北國際電玩展-B2B ZONE 商務區攤位活動
2024/12/23
果核 2020 聖誕駭樂論壇,剖析 WoW64 惡意利用、進階網路機器人攻擊
2024/12/23
果核數位榮獲BSI 雲端資安獎,擁本地優勢+國際合作,免除 AIoT 時代資安疑慮
2024/12/23
遭到網路駭客DDoS攻擊怎麼辦?要如何重新建立資安防護?
2024/12/23
駭客資安論壇 - 2020/12/5(六) 聖誕駭樂
2024/12/23
防駭之心不可無 – 建立防護化解危險,勢在必行
2024/12/23
鞏固防禦堡壘,拒絕再當受駭者
2024/12/23
果核聲明
2024/12/23
果核「駭客資安論壇」,揭示特權帳號管理、App 風控的精進之道
2024/12/23
~~線上~~駭客資安論壇將於6/11準時上線
2024/12/23
物聯網隱藏資安風險 果核數位推AI SOC服務
2024/12/23
HyperG 強打 Amazing Thor VDI 方案,為企業提出安全靈活的防疫辦公利器
2024/12/23
在家上班4隱憂!釣魚信件、驗證機制、連線存取恐成為資安破口!
2024/12/23
HyperG 推 Smart Sensing,藉由動態偵測與防禦機制,強力守護 App 安全
2024/12/23
果核數位與 Reblaze 聯手出擊,強力守護企業網站與 App 安全
2024/12/23
2020年資安人亞太資訊安全論壇 - 區塊鏈技術與醫療應用
2024/12/23
2020/2/6-2/7 Taipei Game Show台北國際電玩展攤位活動
2024/12/23
果核數位「聖誕駭樂」資安社群論壇,探索 IR、生物辨識、API 風險三大議題
2024/12/23
【iThome專訪】果核鎖定 OWASP 十大 API 風險,完整佈局檢測、監控與顧問服務
2024/12/23
AISOC服務 - 第一時間為客戶揪出可疑的行為,確保內部網路的安全
2024/12/23
果核結盟 I.X,力推實體金鑰加密、杜絕企業機密外洩
2024/12/23
【數位時代專訪】- 做好「隨時被駭」準備,App資安先驅果核數位:滴水不漏的資安保護過時了
2024/12/23
12/14 資安社群論壇【聖誕駭樂- 駭客退散耶誕禮物】
2024/12/23
果核數位通過108年經濟部工業局資安服務能量登錄
2024/12/23
果核數位資安社群論壇會後報導 - 洞察駭客戰術、增強防禦能力
2024/12/23
VMware攜手AWS 助企業加快數位轉型 - 果核數位為首波在地合作夥伴,共同提供完整的VMware Cloud on AWS技術服務
2024/12/23
5/25(六) 今年首場資安社群論壇 - 駭客過招,實戰分享
2024/12/23
2019年果核數位【共同供應契約採購項目總覽】更新
2024/12/23
【雙平台下被刻板印象所忽略的手機app漏洞】- 2019 亞太資訊安全論壇,您不能不知道的平台漏洞
2024/12/23
果核數位與BaaSid攜手,實現史上最便捷的安全區塊鏈認證應用
2024/12/23
在iOS系統架構下,你的app真的無堅不摧? iThome臺灣資安大會將分享iOS攻擊手法與攻破實戰分享,快上網報名議程!
2024/12/23
TAF國家級認證的實驗室-電檢中心認證appGuard四大功能
2024/12/23
2019/1/24-1/25 Taipei Game Show 台北國際電玩展 - 世貿三館商務區正式登場
2024/12/23
從防堵手遊外掛起家,果核數位攻進金融App資安市場
2024/12/23
iThome專訪: 結合國際視野與戰略思維,將資安能量推向至高境界
2024/12/23
9/20 國際資安威脅與戰略攻防要素- 資安社群論壇
2024/12/23
用AI從Big Data 挖寶掘金! 研討會即日起熱烈報名中
2024/12/23
【案號:1070201】appGuard加入共同供應契約採購囉!
2024/12/23
果核數位力推appGuard,助保險業牢牢守護App安全
2024/12/23
Radware全系列產品舊換新 : Server Load Balance(Alteon)、IPS Defensepro和Link Load Balance(Linkproof),即日起開跑!
2024/12/23
果核與全球一級DDOS清洗商Radware攜手合作,提供企業資安完整防護,並提供台灣在地化的第一線服務
2024/12/23
果核數位 SOC 結合 AI 聯防,能加速斬斷駭客攻擊,以子之矛、攻子之盾,反制敵方的 AI 攻擊
2024/12/23
2018 資安社群論壇報名開跑,精采內容你絕對不能錯過阿!
2024/12/23
【橘妹愛玩 TECH專訪】App 上線前的最強把關者:果核貓網讓開發者在雲端完成一切 App 相容性測試!
2024/12/23
賀!106年資安服務廠商評鑑 - 果核數位SOC監控服務獲得特優
2024/12/23
iThome報導【頂尖駭客攻防交流,培養多元防護新觀點】
2024/12/23
Merry Hackmass - 2017年最後一場資安社群論壇,趕快來報名!
2024/12/23
企業有API漏洞怎麼辦?資安團隊靠滲透測試,模擬駭客找到問題!
2024/12/23
資安社群論壇 - 駭客思維 滲透測試,帶您進入駭客的世界
2024/12/23
2017/09/20 (三)「當AI遇到Big Data商機在哪裡?」研討會,席次有限,額滿為止!
2024/12/23
果核資安社群論壇 - 報名開始 將邀請專業講師,探討時下關注的資安議題
2024/12/23
【專訪】善用果核數位appGuard 搶進商機無限行動支付市場
2024/12/23
果核數位:appGuard 要為遊戲、銀行、支付 App 穿上最強悍的資安鋼鐵衣!
2024/12/23
你在明,駭客在暗,防駭時代先行自保,刻不容緩!
2024/12/23
【專訪】資安人-appGuard保護App安全 果核數位協助業者搶攻行動商機
2024/12/23
「網管人」雜誌專訪刊載價格與實際收費狀況有所出入說明
2024/12/23
【專訪】網管人 - 檢測行動應用安全 幫App套金鐘罩鐵布
2024/12/23
【合作客戶】台灣之光-四合願,選用appGuard做為最佳防駭服務<br><br>
2024/12/23
【活動訊息】【突破虛擬+現實的數位商戰】 ~驊宏資通帶您 ~ 翱翔雲端 倘佯數據海!~
2024/12/23
【專訪】保護App安全 果核數位推出appGuard
2024/12/23
【活動訊息】2015/01/15(四)13:30~17:00 2015-HP資安趨勢論壇
2024/12/23
【活動訊息】2015/02/06 (五) HP Fortify 源碼檢測體驗營
2024/12/23