AWS 云安全性：检测 SSH 暴力攻击

由于开源、低成本、可靠性和灵活性等优势，云基础设施主要由基于linux的机器主导，然而，它们也不能幸免于黑客的攻击，从而影响云的安全性。攻击Linux机器最流行的方法之一是通过SSH通道。

什么是 SSH

安全外壳协议（Secure Shell，简称SSH），旨在取代未加密的协议（如 Telnet 和 RSH）和未受保护的文件传输协议（如 FTP 和 RCP），在两个设备之间提供安全的加密连接。

安全外壳（SSH）是一种网络协议，用户可以通过该协议在未受保护的网络上与目标资源建立安全的远程连接，管理员主要使用 SSH 协议远程登录并访问其网络中的计算机、执行文件传输、执行命令和管理应用程序。

SSH 主要用于连接到 Linux/Unix 设备，因为 SSH 通常作为大多数 Linux 发行版上易于安装的软件包提供，并且只需几个命令即可安装。

SSH 在 AWS 云安全中的作用

Amazon Web Services（AWS）提出的共享安全模型允许管理员通过 SSH 保护对托管 Linux 实例的远程访问，启动 EC2 实例时，可以选择分配密钥对。AWS 使用用户名以及与密钥对关联的 PEM 文件向服务器进行身份验证并打开 SSH 会话。

针对AWS的SSH暴力攻击

让 SSH 服务暴露是一种常见的错误配置，会增加 Linux 系统的漏洞，暴力破解 SSH 通道是获取云访问权限的一种流行方式。攻击者部署称为暴力破解程序的机器人来执行这些攻击，一项实验表明，具有公开 SSH 服务的 AWS EC2 实例很可能在部署后受到第一个暴力破解机器人的攻击。

一旦他们破坏了 SSH 服务，他们就可以用加密矿工感染 AWS Linux 主机，用恶意可执行文件替换合法可执行文件，执行数据泄露等。

为了掩盖踪迹，他们可以关闭操作系统的审计功能，他们还可能通过创建后门来建立持久性。一种方法是将攻击者拥有的 SSH 公钥插入服务器上的授权密钥文件，以确保与服务器的远程连接不被发现。攻击者还使用类似蠕虫的僵尸网络发起横向移动，在云中移动，甚至最终移动到本地IT环境。

如何检测和防御AWS中的SSH暴力破解攻击

日志有助于彻底跟踪和分析网络中的事件。部署支持分析云平台上发生的事件的安全信息和事件管理（SIEM）解决方案可以帮助管理员检测和缓解 Linux AWS 上的 SSH 攻击。

在异常短的时间内监控 AWS Linux 实例是否存在多次登录失败，可以帮助管理员检测潜在的暴力攻击，一旦识别出暴力攻击，管理员可以记下攻击者的 IP 地址并阻止它。SIEM解决方案提供有关 AWS 中最近登录失败活动的详细报告，这些活动可以指示潜在的暴力攻击企图。

除了暴力破解之外，攻击者还可以从源代码管理、公共存储库或开放存储桶中收集 SSH 密钥和凭据，还可以从在并行或不相关的活动中受到损害的机器中窃取它们，甚至可以在远程访问市场上购买它们，并将它们作为服务出售。分析 AWS 中最近的密钥对活动可以帮助管理员识别修改 SSH 密钥的可疑尝试。使用SIEM解决方案中的 EC2 报告监控与 Linux EC2 实例相关的活动，提供有关 EC2 密钥对活动的详细报告。

为了降低SSH攻击的风险，要确保Linux主机上的SSH服务都没有暴露，添加额外的安全层（例如双因素身份验证）还可以降低 Linux 主机对暴力攻击的影响，并确保 AWS 云平台的安全性。

增强云安全性

Log360 是一个全面的SIEM解决方案，支持云平台，如亚马逊网络服务，谷歌云平台，Salesforce 和 Microsoft Azure以及本地安全监控，使管理员能够保护云基础设施，并通过高级威胁检测、实时关联、警报生成、UEBA驱动的异常检测和主动事件响应机制，帮助加强云安全态势。