Новое исследование, проведенное компанией Ermetic, занимающейся облачной безопасностью, показывает, что почти все компании имеют идентификационные данные, которые в случае взлома поместят не менее 90 процентов корзин S3 в свои учетные записи AWS в опасности.
Ermetic провела исследование, чтобы определить обстоятельства, при которых программы-вымогатели могут проникнуть в корзины Amazon S3. Исследование выявило очень высокий потенциал программ-вымогателей в среде организаций.
Amazon Simple Storage Service (Amazon S3) — это служба хранения объектов, которая предлагает масштабируемость, доступность данных, безопасность и производительность. По словам Amazon, клиенты любого размера и отрасли могут использовать его для хранения и защиты любого объема данных в различных сценариях использования. Эти варианты использования включают озера данных, веб-сайты, мобильные приложения, резервное копирование и восстановление, архивирование, корпоративные приложения, устройства Интернета вещей и аналитику больших данных.
Amazon S3 предоставляет простые в использовании функции управления, позволяющие подписчикам систематизировать данные и настраивать точно настроенные средства управления доступом в соответствии с конкретными бизнес-требованиями, организационными требованиями и нормативными требованиями. Amazon S3 рассчитан на 99,9% (11 9) надежности и хранит данные для миллионов приложений для компаний по всему миру, утверждает Amazon.
Ковши AWS S3 считаются очень надежными и используются с большой уверенностью. Но заинтересованные стороны в облачной безопасности не осознают, что корзины S3 подвергаются серьезному риску безопасности из-за неожиданного источника: идентификационных данных, написал Лиор Затлави, старший облачный архитектор в Ermetic, при обсуждении официального отчета компании «Новое исследование: угроза программ-вымогателей для сегментов S3». в своем октябрьском отчете.
«Скомпрометированная личность с токсичной комбинацией прав может легко запустить программу-вымогатель для данных организации», — писал он.
Содержание статьи
Основные результаты
Исследователи искали личности с разрешениями, которые обладали способностями и не имели эффективного смягчения и воздействия на фактор риска. Эти условия позволили злоумышленникам запустить программу-вымогатель как минимум на 90% сегментов S3 в учетной записи AWS.
Результаты показали высокий потенциал проникновения программ-вымогателей, если AWS не использует средства защиты от угроз. Были получены следующие результаты:
- В каждой выбранной среде был хотя бы один аккаунт AWS, учетная запись которого — а зачастую и более одного — соответствовала вышеуказанным критериям.
- Более чем в 70% сред экземпляры EC2 соответствовали указанным выше критериям, при этом фактором риска было общение с Интернетом.
Более того, разрешения, которые давали доступ к корзинам, были чрезмерными. Их можно было значительно уменьшить без ущерба для бизнес-операций, просто удалив ненужные разрешения.
- В более чем 45 процентах сред роли IAM (управление идентификацией и доступом) были доступны для использования третьими сторонами, которым было разрешено повысить свои привилегии до уровня администратора.
- Это открытие невероятно и ужасно с точки зрения безопасности облака, помимо программ-вымогателей. Это означает, что корзины S3 в среде были подвержены атакам программ-вымогателей.
- В более чем 95% сред пользователи IAM соответствовали указанным выше критериям, при этом фактором риска были ключи доступа, которые были активированы, но не менялись в течение 90 дней.
- Почти в 80% сред пользователи IAM соответствовали указанным выше критериям с фактором риска, когда ключи доступа были включены, но неактивны в течение более 180 дней.
- Почти в 60 процентах сред пользователи IAM, которые соответствовали вышеуказанным критериям, с фактором риска, являющимся консольным доступом, который был включен, но без требования использовать MFA при входе в систему.
Более 96 процентов сред имели неактивные роли IAM, и почти 80 процентов сред имели неактивных пользователей IAM, которые соответствовали вышеуказанным критериям.
Тревожные результаты
Эти результаты сосредоточены на операциях «разбей и захвати» с участием одной скомпрометированной личности. По словам Затлави, они раскрывают серьезную ситуацию.
РЕКЛАМА
«В целевых кампаниях, «злоумышленники могут двигаться в боковом направлении, чтобы скомпрометировать несколько идентификаторов и использовать свои комбинированные разрешения, что значительно улучшит их способность запускать программы-вымогатели», — пояснил он.
Короче говоря, согласно исследованным образцам, миллионы предприятий, которые в настоящее время используют S3 в качестве надежного хранилища данных, подвергаются опасности атак программ-вымогателей. Он предупредил, что высокая вероятность заражения даже простыми операциями с программами-вымогателями является явным призывом к действию для заинтересованных сторон, занимающихся безопасностью облачных вычислений.
AWS S3 давно стал стандартом для хранения данных файловых объектов. Несмотря на многочисленные усилия по обеспечению безопасности S3, мониторинг безопасности продолжает обнаруживать данные в частных корзинах, раскрываемых или используемых новыми способами, — сказал Эрканг Чжэн, основатель и генеральный директор JupiterOne.
«Сколькими способами я могу споткнуться о собственные ведра и рассыпать данные? Короткий ответ — слишком много », — сказал он TechNewsWorld.
Сегодня облачные сервисы почти полностью построены на сторонних инструментах. Подумайте о ролях CI / CD, инструментах мониторинга, сервисах платформы для хранилищ данных, лямбдах и машинном обучении. «Все они тонко отражают особенности бизнеса», — добавил Мохит Тивари, соучредитель и генеральный директор Symmetry Systems.
«Эти идентификаторы могут записывать данные и, следовательно, также, очевидно, могут вымогать данные. Один этот факт, вероятно, объясняет количество рискованно звучащих личностей в отчете », — сказал он TechNewsWorld.
Смешанный набор угроз для ведра
Эксперты по безопасности в последнее время заметили значительный рост числа случаев взлома открытых корзин S3 просто из-за неправильной конфигурации. «Если пользователи не могут даже создать базовое безопасное облачное хранилище с надлежащим шифрованием, авторизацией и аутентификацией, мы будем еще хуже защищать реальные уязвимости в самих системах хранения данных», — заметил Чжэн.
«Хотя AWS негласно защищает инфраструктуру, они также делают ее очень гибкой для настройки ресурсов и доступа к ним. Вы несете ответственность за понимание этой гибкости и правильное применение средств управления. Однако такая гибкость иногда может мешать и усложнять ситуацию. Вот почему я долгое время был сторонником использования графической модели данных и автоматизированного анализа данных, — сказал он
.
Знать, какие киберактивы существуют в данный момент времени, сложно из-за эфемерности облачной инфраструктуры, добавил он. Организации нуждаются в постоянном мониторинге своих киберактивов, чтобы проявлять бдительность, необходимую для предотвращения подобных случайных разглашений в будущем.
По словам Затлави из Ermetic, сегменты S3, к которым имели доступ идентификаторы, не были защищены эффективными готовыми функциями AWS для смягчения воздействия.
Третьи стороны сами по себе не опасны. Собственные удостоверения могут быть подвергнуты фишингу или эксплуатации, что сопряжено с риском. По словам Тивари, числа, вероятно, покажут, что атаки OWASP (Open Web Application Security Project) и фишинговые идентификационные данные представляют собой чрезвычайно надежные угрозы.
«Наконец, отчеты, вызывающие опасения, неуверенность и сомнения в отношении облачной IAM, опровергают тот факт, что, предоставляя открытый программируемый интерфейс для разрешений, облако позволяет использовать лучшие инструменты безопасности для масштабирования в масштабах всей организации. Организации, которые внедряют автоматизацию безопасности — и начинают с того, что важно, своих данных — обнаружат, что облако намного безопаснее, чем надежные локальные среды », — предположил он.
