雖然內部部署應用程式傳統上因為採用周邊防火牆而對外部攻擊者不可見,但軟體即服務(例如 Microsoft 365、Salesforce)、基礎設施即服務(例如 AWS、GCP)和其他雲端技術的採用並不像這樣天生就被鎖定。
在許多情況下,這些應用程式可以從任何地方存取,資料存取權限僅由某種形式的驗證來控制。
多因素驗證 (MFA) 大幅減少了憑證型攻擊,即攻擊者成功登入,就像他們是合法使用者一樣。不過,MFA 無法防禦更具針對性的憑證竊取攻擊。
這使得儲存在(私有)雲端中的資料和資源的可存取性完全取決於使用者驗證機制的效能,無論底層裝置或網路為何。
將資源從開放網際網路隱蔽
防止這些資料資源遭受攻擊的最佳方法是盡可能消除它們從開放網際網路的可發現性和可存取性。
這意味著攻擊者——即使擁有有效的員工 MFA 憑證,甚至知道他們想要利用的系統——也根本無法從他們未經授權的裝置存取這些系統。
對於 SaaS 應用程式,攻擊者將無法登入他們試圖到達的應用程式。
對於 IaaS 和私有雲,攻擊者甚至無法看到登入畫面,更別說讓單一封包到達目標服務,更不用說獲得回應。
這是透過為受信任的裝置啟用存取,接著限制匿名裝置的存取來實現的。
最終效果很簡單:只有經核准的裝置能夠「看到」敏感應用程式——對於其他所有人,該應用程式完全不可見。
隱蔽的好處
- 防止攻擊者發現可能會導致進一步攻擊升級和利用嘗試的應用程式或基礎設施。
- 防止成功執行憑證竊取攻擊的攻擊者能夠以遭入侵的使用者身分存取應用程式和資料。
- 為任何 SaaS 或 IaaS 應用程式啟用雲端應用程式存取活動的全面可視性、報告和匯出(例如透過 SIEM)。
- 減輕可能影響應用程式可用性的 DDoS 攻擊。