研究人员发现攻击云基础设施的新方法：云API( 二 )_互联网上随处可访问的云API为黑客开启

两位研究人员在接受媒体采访时表示：该方法中缺失的一环是，这些机制通常在本质上是防御性的，不是预测性的。传统防御措施主要针对网络、应用和操作系统防护。

云提供商的应用程序编程接口 (API) 中存在新的攻击途径：这些 API 可通过互联网访问，给恶意黑客留下了利用并获取云端关键资产高访问特权的机会。负责管理云资源的人通常是 DevOps、开发和 IT 团队成员，这些人使用不同软件开发包和专用命令行工具访问 API 。

研究人员称：一旦这些账户凭证被盗，获得高价值资源访问权并不困难。即便公司划分了不对互联网开放的私有子网，云 API 仍可以利用正确的 API 密钥从互联网轻松访问。云提供商工具，比如命令行接口工具 (CLI) ，将用户凭证保存在一个文件中，通常本地存储在个人工作站上。

今年的欧洲黑帽大会上， Gofman 和 Shani 计划在题为《由内而外——云从未如此接近》的演讲中展示一种攻击云基础设施的新方法。他们的方法学涉及使用图形显示不同实体之间的权限关系，揭示需处理和清除的危险阻塞点。两位研究人员称，该图的结果可为红队和蓝队所用，更深入了解云环境中的权限关系。他们还将在阐述了其间联系之后演示攻击者可如何滥用各种功能以获取权限。