Il panorama delle minacce di sicurezza informatica è ampio, e spesso ci troviamo di fronte a nuove modalità di attacco e nuove superfici in pericolo.
Man mano che le aziende continuano a passare all'archiviazione dei dati e all'offerta di servizi tramite il cloud, continueremo a vedere un aumento delle minacce relative a tutte le forme di tecnologia cloud.
In questo articolo, SentinelOne ha descritto i metodi di attacco cloud più pericolosi osservati fino ad oggi.
#1 - Servizi Vulnerabili
Uno degli attacchi più comunemente osservati nelle reti cloud è la compromissione tramite servizi vulnerabili. Di conseguenza, la criticità dell'esecuzione di sistemi aggiornati non può essere sopravvalutata.
Ciò che lo rende particolarmente importante per i servizi cloud sono le azioni post-compromissione spesso disponibili per il criminale informatico, come lo spostamento laterale verso i principali sistemi aziendali e le risorse ospitate in una rete cloud, e la sfida che le vittime devono affrontare per rispondere in modo efficace e tempestivo.
Un noto esempio di questo tipo di attacco è stato lo sfruttamento immediato della vulnerabilità di Apache Log4J. Quando è stata scoperta, Apache aveva un'unica vulnerabilità con un impatto enorme in tutto il mondo, ma ci sono anche molti altri servizi comuni pronti per tali attacchi.
Le organizzazioni vittime che si affidavano a scanner di vulnerabilità per identificare e difendersi da Log4j sono state esposte a un rischio maggiore attraverso le loro reti poiché la vulnerabilità è stata sfruttata una settimana prima che fosse divulgata.
Log4J, come molte altre vulnerabilità n-day, è stato rapidamente abusato dagli aggressori. In questo caso, sia gli aggressori opportunisti che quelli mirati hanno sfruttato la vulnerabilità per raggiungere i propri obiettivi. La maggior parte degli attacchi osservati erano opportunistici; tuttavia, in alcuni rari casi, anche APT con risorse adeguate hanno sfruttato la vulnerabilità, comprese quelle attribuite a Cina e Iran.
La gravità degli attacchi che si sono verificati a causa di una vulnerabilità come questa mostra quanto sia fondamentale per le aziende essere in grado di rilevare attività dannose prima che un servizio sia noto per essere vulnerabile.
#2 - Errori di Configurazione del Cloud
La supervisione della configurazione è la causa più comune della stragrande maggioranza delle perdite di dati di archiviazione cloud. Le organizzazioni che lasciano erroneamente i dati dei clienti pubblicamente accessibili, o facilmente accessibili agli aggressori, hanno portato a un aumento delle fughe di dati nel corso degli anni. Ancora una volta, questo non è esclusivo del cloud. È sempre più comune a causa della facilità e della complessità nascosta delle configurazioni di archiviazione cloud.
Inoltre, la supervisione della configurazione non si limita a causare perdite di dati. In molti casi, abbiamo osservato che gli host cloud sono stati infettati da malware o da un ulteriore accesso alla rete a causa della capacità di un utente malintenzionato di apportare modifiche a un sistema.
La gamma di applicazioni comuni alle reti cloud che possono essere sfruttate in modo improprio se configurate in modo errato è troppo ampia per poterle approfondire in questo articolo. Tuttavia, il punto è che una supervisione della configurazione non solo consente l'abuso delle commodity, ma un vettore di intrusione estremamente semplice per un attore di minacce più capace.
#3 - Attacchi alla Supply Chain
Gli attacchi alla supply chain sono tra i preferiti dei criminali informatici. Mentre le intrusioni nella supply chain sono state ampiamente segnalate da Solarwinds, che è stato attribuito a un APT russo, ce ne sono altri che sono isolati dalle reti e dai servizi cloud.
Un metodo di attacco alla supply chain sempre più comune è la compromissione delle immagini Docker Hub. Il TeamTNT ha e continua a compromettere le immagini Docker Hub, causando l'infezione di chiunque installi e aggiorni quelle immagini attendibili.
Nel loro caso, gli obiettivi primari includono funzionalità botnet più generiche e l'uso di miner. Gli amministratori Docker dovrebbero prestare attenzione quando acquisiscono nuove immagini, in modo simile all'installazione di software esterno nella rete.
Una corretta telemetria dell'endpoint dagli host che eseguono tali immagini è il modo ideale per garantire che non si attivi nulla di dannoso dopo un ritardo in questi tipi di distribuzioni.
In termini di software supply chain, ci troviamo spesso di fronte a una serie sempre crescente di opportunità per gli aggressori. Come è stato osservato nel Unploader Bash Codecov 2021, un software può essere compromesso in modo semplice ma efficace.
Uno strumento comunemente utilizzato nel ciclo di vita dello sviluppo del software è stato modificato tramite un aggiornamento per includere una singola riga di codice che è rimasta sconosciuta per mesi. Il codice ha consentito all'aggressore di raccogliere informazioni importanti sull’ambiente.
Tali attacchi continueranno a essere più comuni, in particolare attraverso software open source utilizzati a livello globale.
#4 - Accesso a Piattaforme di Cloud Management
Esempi come quelli precedenti possono insegnarci una lezione importante: gran parte del panorama delle minacce cloud è incentrato sul desiderio di accedere alla piattaforma di gestione del cloud, in particolare agli account cloud privilegiati.
È fondamentale difendersi dalle minacce cloud perché offrono all'aggressore l'opportunità di rompere la barriera di accesso alle informazioni o di controllare un servizio potente e normalmente affidabile.
Un utente malintenzionato con accesso privilegiato alla piattaforma di gestione di un servizio cloud, sia esso AWS GCP o Azure, può farsi strada in molti ambienti difficili da identificare. Grazie all'uso di strumenti open source come Purple Panda, un utente malintenzionato che si è impossessato delle credenziali può automatizzare l'escalation dei privilegi del cloud e identificare le opportunità di spostamento laterale.
Le modalità in cui gli aggressori cercano tale accesso sono, ancora una volta, piuttosto vasti. Ad esempio, sappiamo che gli aggressori opportunisti scansionano il codice online e i repository di immagini (Github, Docker Hub) alla ricerca di chiavi trapelate per errore.
Ciò ha consentito loro di dare il via agli attacchi alla supply chain e al furto generale di dati in blocco. Inoltre, anche aggressori mirati altamente capaci e con risorse adeguate come APT29 fanno uno sforzo deliberato per cercare tale accesso per le missioni sponsorizzate dallo stato.
Nel complesso, questo è un livello di accesso altamente desiderabile di cui godrebbe qualsiasi aggressore, quindi dovrebbe essere della massima importanza per i difensori tenere traccia.
In Conclusione
Gli attacchi incentrati sul cloud sono un'area di interesse in rapida crescita sia per gli aggressori opportunisti che mirati. Sebbene le tecniche utilizzate in tali attacchi siano vaste e varie, in genere fanno molto affidamento sul fatto che le reti cloud sono grandi, complesse e onerose da gestire.
Ciò rende le soluzioni di sicurezza di agent e container fondamentali per la difesa di qualsiasi organizzazione da tutte le piattaforme cloud.
Se vuoi scoprire di più sulle soluzioni SentinelOne per la protezione della tua organizzazione da attacchi informatici invia una mail a cio@florence-consulting.it o chiama lo (055) 538-3250.
In alternativa, puoi compilare il form sottostante con la tua domanda.