Okruženja bez servera, koristeći usluge kao što je AWS Lambda, nude nevjerovatne prednosti u smislu skalabilnosti, efikasnosti i smanjenih operativnih troškova. Međutim, obezbjeđivanje ovih okruženja je izuzetno izazovno. Srž trenutnih sigurnosnih praksi bez servera često se vrti oko dvije ključne komponente: log monitoring i statička analiza koda ili konfiguracije sistema. Ali evo problema s tim:
1.Logovi govore samo dio priče
Logovi mogu pratiti eksterne aktivnosti, ali ne pružaju uvid u unutrašnje izvršavanje funkcija. Na primjer, ako napadač ubaci maliciozni kod u funkciju bez servera koja ne stupa u interakciju s vanjskim resursima (npr. vanjski API-ji ili baze podataka), tradicionalni alati zasnovani na zapisnicima neće otkriti ovaj upad. Napadač može izvršavati neovlaštene procese, manipolovati datotekama ili eskalirati privilegije – sve bez pokretanja događaja logs-a.
2. Otkrivanje statičke pogrešne konfiguracije je nepotpuno
Statički alati koji provjeravaju pogrešne konfiguracije su odlični za otkrivanje problema kao što su pretjerano dopuštene IAM uloge ili osjetljive varijable okruženja izložene pogrešnim stranama. Međutim, ovi alati ne mogu uzeti u obzir ono što se dešava u realnom vremenu, otkriti eksploatacije kako se dešavaju ili otkriti odstupanja od očekivanog ponašanja.
Realne implikacije ograničene sigurnosti u cloud-u dostupne za okruženja bez servera
Primjer 1: Injekcija malicioznog koda u Lambda funkciji
Napadač uspješno ubacuje maliciozni kod u Lambda funkciju, pokušavajući pokrenuti neovlašteni podproces ili uspostaviti vezu s vanjskom IP adresom.
- Problem : Tradicionalni sigurnosni alati koji se oslanjaju na praćenje logova vjerovatno će propustiti ovaj napad. Logovi obično prate vanjske događaje kao što su API pozivi ili mrežne veze, ali neće bilježiti interne radnje, kao što je izvršavanje koda unutar same funkcije. Kao rezultat toga, akcije napadača – bilo da manipuliše datotekama, eskaliraju privilegije ili izvršavaju neovlaštene procese – ostaju nevidljive osim ako ne pokrenu vanjski događaj kao što je odlazni API poziv.
- Rešenje : Da bi efikasno otkrili i sprečili ovaj napad, timovima za bezbjednost su potrebni alati koji pružaju uvid u unutrašnje operacije funkcije u realnom vremenu. Aktivnost praćenja senzora tokom rada može indenfikovatii prekinuti lažne procese prije nego što eskaliraju, nudeći proaktivnu zaštitu u realnom vremenu.
Primjer 2: Iskorišćavanje ranjivih biblioteka otvorenog koda
Lambda funkcija se oslanja na biblioteku otvorenog koda sa poznatom ranjivošću, koju napadač može iskoristiti za izvršavanje udaljenog koda.
- Problem : Dok alati za statičku analizu mogu označiti poznate ranjivosti u samoj biblioteci, oni nemaju vidljivost u tome kako se biblioteka koristi u okruženju izvršavanja. To znači da čak i ako se ranjivost indefikuje u skeniranju koda, eksploatacija te ranjivosti u realnom vremenu može ostati neotkrivena ako ne uključuje vanjski događaj (kao što je mrežni zahtjev ili API poziv).
- Rješenje : Senzor dizajniran za nadgledanje internih operacija funkcije može otkriti kada se biblioteka zloupotrebljava ili aktivno iskorištava u vrijeme izvođenja. Kontinuiranom analizom ponašanja funkcije, senzor može identificirati anomalne radnje i blokirati eksploataciju prije nego što kompromituje sistem.
Promjena koji treba da se dogodi za 2025
Sigurnost u cloud-u se brzo širi, pružajući organizacijama povećanu zaštitu i mjere otkrivanja i odgovora na sofisticirane napade u cloud-u. Okruženjima bez servera potrebna je ista vrsta zaštite jer su izgrađena na cloud-u.
Prelaskom sa reaktivnih sigurnosnih mjera zasnovanih na dnevniku na proaktivnu zaštitu usmjerenu na vrijeme rada, sigurnosni timovi mogu početi implementirati moderne sigurnosne prakse u cloud-u u svoja okruženja bez servera.
Predstavljamo Sweetov AWS Lambda senzor bez servera
Prepoznajući ograničenja tradicionalnih sigurnosnih alata, Sweet Security je razvio revolucionarni senzor za okruženja bez servera koja koriste AWS Lambda. Ovaj senzor rješava mrtve tačke svojstvene metodama statičke analize zasnovane na logu, nudeći duboko praćenje Lambda funkcija u realnom vremenu.
Praćenje vremena rada i vidljivost
Sweetov senzor prati radnu aktivnost funkcija bez servera. Posmatrajući sistemske pozive, ponašanje internih funkcija i interakcije unutar Lambda okruženja, senzor pruža potpunu vidljivost kako se funkcija ponaša u bilo kojem trenutku.
Blokiranje malicioznog ponašanja u realnom vremenu
Sweet identificira sumnjive aktivnosti, poput pokretanja neovlaštenih procesa ili povezivanja na vanjske IP adrese, i blokira ih prije nego što se nanese šteta.
Otkrivanje anomalija u ponašanju funkcije
Sweet’s Lambda senzor prati interne operacije funkcije u realnom vremenu, otkriva svaku zloupotrebu biblioteke i blokira eksploataciju prije nego što može ugroziti sistem.
U doba u kojem računarstvo bez servera postaje okosnica arhitektura koje su izvorne u cloud-u, mogućnost obezbjeđenja ovih okruženja u realnom vremenu je od najveće važnosti. Tradicionalni i statički sigurnosni alati zasnovani na logovima više nisu dovoljni za zaštitu od sofisticiranih, dinamičkih napada. Sa inovativnim senzorom Sweet Security, organizacije sada imaju mogućnost proaktivnog praćenja, otkrivanja i sprečavanja prijetnji u realnom vremenu – dajući im samopouzdanje da prihvate računarstvo bez servera, dok istovremeno čuvaju svoje okruženje sigurnim.
Izvor:The Hacker News