Organizacije se suočavaju sa nevjerovatnim porastom sigurnosnih prijetnji zasnovanih na cloud-u, s napadima skoro pet puta učestalijim krajem 2024. u odnosu na početak godine.
Najviše zabrinjava ciljani napad na tokene upravljanja identitetom i pristupom (IAM) , koji istraživači sigurnosti opisuju kao „držanje ključeva kraljevstva cloud-a“.
Sveobuhvatna analiza Jedinice 42 ističe ukupno povećanje od 388% u sigurnosnim upozorenjima u oblaku tokom 2024. godine, pri čemu su se upozorenja visokog stepena ozbiljnosti povećala za alarmantnih 235%.
Ove brojke predstavljaju značajnu eskalaciju u obimu i sofisticiranosti napada na okruženja u oblaku. „Identitet je odbrambeni perimetar oblak infrastrukture“, navodi se u izvještaju Jedinice 42 .
“Napadači ciljaju IAM tokene i kredencijale dok drže ključeve kraljevstva cloud-a, omogućavajući napadačima da se kreću bočno, eskaliraju svoje dozvole i izvode dodatne maliciozne operacije.”
Zaustavite napade prije nego što počnu, pokretani 97% precizne neuronske mreže za otkrivanje sajber napada
Upozorenja u oblaku visoke ozbiljnosti
Među najzabrinjavajućim trendovima koji su identifikovani bio je porast događaja u daljinskom pristupu na komandnoj liniji koji koriste IAM tokene i akreditive, koji se trostruko povećao u 2024.
Do decembra, prosječno okruženje u cloud-u imalo je preko 200 upozorenja za daljinsko korištenje IAM tokena bez serverske funkcije, u poređenju sa samo dva takva upozorenja u januaru.
Istraživanje je dokumentovalo nekoliko drugih obrazaca:
- Povećanje od 116% u upozorenjima o „nemogućem putovanju“ zasnovanim na IAM-u
- Povećanje od 60% u IAM API zahtjevima izvan ovlaštenih regija
- Povećanje izvoza snimaka u oblaku za 45%.
- 305% skok u sumnjivim preuzimanjima više objekata za pohranu u cloud-u
Istraživači sigurnosti su primijetili da su ovi napadi usklađeni s nalazima iz njihovog izvještaja o stanju Cloud-Native Security za 2024. godinu, u kojem je utvrđeno da je 71% organizacija koje pripisuju povećanu izloženost ranjivosti ubrzanim implementacijama, dok je 45% prijavilo porast napada naprednih persistentnih prijetnji (APT).
Posebno alarmantan primjer uključuje ransomware kampanju koja je prikupila preko 90.000 kredencijala sa 110.000 ciljanih domena, uključujući skoro 1.200 cloud IAM kredencijala.
Ove ukradene akreditive omogućile su uspješne napade iznude protiv više organizacija.
Koncentracija napada na funkcije bez servera je izazvala posebnu zabrinutost. Prema istraživanju, funkcije bez servera su dizajnirane da rade autonomno, a daljinsko korištenje IAM tokena funkcije bez servera ukazuje na kompromis i potencijalno bočno pomicanje unutar okruženja oblaka.
Stručnjaci preporučuju implementaciju alata Cloud Detection and Response (CDR) uz tradicionalna rješenja za upravljanje sigurnošću u oblaku (CSPM).
Dok se CSPM alati fokusiraju na ranjivosti konfiguracije, CDR pruža praćenje vremena izvršavanja za otkrivanje malicioznih aktivnosti kako se one pojave.
Preporuke za poboljšanu sigurnost u cloud-u
Ključne preporuke uključuju:
- Uvođenje CDR sigurnosti za sva okruženja u cloud-u.
- Osiguravanje agenata koji imaju omogućeno vrijeme rada na kritičnim krajnjim točkama u oblaku.
- Implementacija nadzora dnevnika revizije u oblaku od CSP provajdera.
- Ograničavanje CSP regiona u kojima računarske funkcije i funkcije bez servera mogu da rade.
- Provođenje arhitekture najmanjih privilegija za IAM kredencijale .
- Omogućavanje verzije i enkripcije pohrane u oblaku.
Izvor: CyberSecurityNews