Η Microsoft προειδοποιεί τους εταιρικούς πελάτες για ένα κλιμακούμενο κύμα επιθέσεων στον κυβερνοχώρο που στοχεύει την υπηρεσία αποθήκευσης Azure Blob.
Σε μια λεπτομερή συμβουλευτική που δημοσιεύθηκε στις 20 Οκτωβρίου, η ομάδα Threat Intelligence της εταιρείας περιέγραψε τον τρόπο με τον οποίο οι φορείς απειλών εκμεταλλεύονται ενεργά κοινές εσφαλμένες διαμορφώσεις, αδύναμα διαπιστευτήρια πρόσβασης σε εταιρικούς χρήστες.
Το ειδοποίηση περιγράφει λεπτομερώς μια εξελιγμένη αλυσίδα επίθεσης, από την πλήρη αναγνώριση δεδομένων και την ανάλυση της κλίμακας. Επικαλούμενη τον κρίσιμο ρόλο που παίζει το Blob Storage στη διαχείριση τεράστιου φόρτου εργασίας δεδομένων για τεχνητή νοημοσύνη και αναλυτικά στοιχεία, η Microsoft προτρέπει τους διαχειριστές να εφαρμόσουν ισχυρότερα πρωτόκολλα ασφαλείας για να μετριάσουν τον αυξανόμενο κίνδυνο.
A High-Value Target Ripe for Exploitation
Το Azure Blob Stone έχει γίνει μια σύγχρονη υποδομή του cloud Stone από οργανισμούς για να χειρίζονται τεράστιους όγκους μη δομημένων δεδομένων.
Η ευελιξία του το καθιστά απαραίτητο για μια σειρά κρίσιμων λειτουργιών, όπως η αποθήκευση μοντέλων εκπαίδευσης τεχνητής νοημοσύνης, η υποστήριξη υπολογιστών υψηλής απόδοσης (HPC), η εκτέλεση αναλυτικών στοιχείων μεγάλης κλίμακας, η φιλοξενία μέσων και η διαχείριση των αντιγράφων ασφαλείας της επιχείρησης.
μεγάλης επίδρασης δεδομένα.
Η ομάδα Threat Intelligence της Microsoft εξήγησε τη στρατηγική αξία αυτής της υπηρεσίας στους εισβολείς.”Το Blob Storage, όπως κάθε υπηρεσία δεδομένων αντικειμένων, είναι ένας στόχος υψηλής αξίας για τους παράγοντες απειλών λόγω του κρίσιμου ρόλου του στην αποθήκευση και διαχείριση τεράστιων ποσοτήτων αδόμητων δεδομένων σε κλίμακα σε διάφορους φόρτους εργασίας.”
Η ομάδα σημείωσε περαιτέρω ότι οι παράγοντες απειλών δεν είναι απλώς καιροσκοπικοί, αλλά αναζητούν συστηματικά ευάλωτα περιβάλλοντα. Επιδιώκουν να υπονομεύσουν συστήματα που είτε φιλοξενούν περιεχόμενο με δυνατότητα λήψης είτε χρησιμεύουν ως αποθετήρια δεδομένων μεγάλης κλίμακας, καθιστώντας το Blob Storage ένα ευέλικτο διάνυσμα για μια ευρεία γκάμα επιθέσεων.
Αποδόμηση της αλυσίδας επιθέσεων στο Cloud
Η διαδρομή από την αρχική έρευνα έως τη σημαντική παραβίαση δεδομένων έχει κατανοήσει καλά τη Microsoft για να υπερασπιστεί το μοτίβο. αντιπάλους. Η επίθεση δεν είναι ένα μεμονωμένο γεγονός αλλά μια διαδικασία πολλαπλών σταδίων που ξεκινά πολύ πριν από την κλοπή δεδομένων.
Οι εισβολείς συχνά ξεκινούν με ευρεία αναγνώριση, χρησιμοποιώντας αυτοματοποιημένα εργαλεία για σάρωση για λογαριασμούς αποθήκευσης με δημόσια προσβάσιμα τελικά σημεία ή προβλέψιμα ονόματα. Μπορούν επίσης να χρησιμοποιήσουν μοντέλα γλώσσας για τη δημιουργία εύλογων ονομάτων κοντέινερ για πιο αποτελεσματική ωμή εξαναγκασμό.
Μόλις εντοπιστεί ένας πιθανός στόχος, διερευνούν κοινές αδυναμίες, όπως εκτεθειμένα κλειδιά λογαριασμού αποθήκευσης ή s που ανακαλύφθηκαν σε δημόσια αποθετήρια κώδικα.
Μετά την απόκτηση αρχικής πρόσβασης, η εστίαση μετατοπίζεται στη δημιουργία εμμονής. Ένας εισβολέας μπορεί να δημιουργήσει νέους ρόλους με αυξημένα προνόμια, να δημιουργήσει διακριτικά SAS μακράς διάρκειας που λειτουργούν ως κερκόπορτες ή ακόμη και να χειραγωγήσει πολιτικές πρόσβασης σε επίπεδο κοντέινερ για να επιτρέψει την ανώνυμη πρόσβαση.
Από εκεί, μπορούν να μετακινηθούν πλευρικά, ενεργοποιώντας ενδεχομένως υπηρεσίες μεταγενέστερης ροής όπως το Azure Functions ή οι Λογικές Εφαρμογές για περαιτέρω κλιμάκωση των δικαιωμάτων τους. Τα τελικά στάδια μπορεί να περιλαμβάνουν καταστροφή δεδομένων, διαγραφή ή εκχύλιση μεγάλης κλίμακας, χρησιμοποιώντας συχνά αξιόπιστα εργαλεία του Azure, όπως Az νόμιμη κυκλοφορία δικτύου και αποφυγή εντοπισμού.
Οι συνέπειες τέτοιων εσφαλμένων διαμορφώσεων στον πραγματικό κόσμο μπορεί να είναι καταστροφικές. Σε ένα αξιοσημείωτο προηγούμενο περιστατικό, μια εταιρεία λογισμικού στρατολόγησης εξέθεσε κατά λάθος σχεδόν 26 εκατομμύρια αρχεία που περιείχαν βιογραφικά, όταν άφησε ένα κοντέινερ αποθήκευσης Azure Blob με ακατάλληλη ασφάλεια, highlight=”_pronkfile”κινδύνους.
Αυτός ο τύπος παραβίασης δείχνει την κρίσιμη σημασία της στάσης ασφαλείας που υποστηρίζει τώρα η Microsoft.
Το προσχέδιο της Microsoft για την άμυνα: Εργαλεία και βέλτιστες πρακτικές
Για να αντιμετωπίσει αυτές τις κλιμακούμενες απειλές, η εταιρεία έδωσε έμφαση σε μια στρατηγική άμυνας πολλαπλών επιπέδων και προληπτικής παρακολούθησης για την προστασία της Microsoft. βασικά στοιχεία.
Ένα βασικό συστατικό αυτής της στρατηγικής είναι το Microsoft Defender for Storage, μια εγγενής λύση στο cloud που έχει σχεδιαστεί για να παρέχει ένα πρόσθετο επίπεδο ευφυΐας ασφαλείας.
Σύμφωνα με τη Microsoft,”Το Defender for Storage παρέχει ένα πρόσθετο επίπεδο ευφυΐας ασφαλείας που ανιχνεύει ασυνήθιστες και δυνητικά επιβλαβείς προσπάθειες πρόσβασης ή εκμετάλλευσης λογαριασμών αποθήκευσης, συμπεριλαμβανομένων των προσφορών προστασίας πολλαπλών επιπέδων κακόβουλου λογισμικού S,
D”.
D. που μπορεί να ρυθμιστεί σε δύο κύριες λειτουργίες, σύμφωνα με την επίσημη τεκμηρίωση.
Η σάρωση κατά τη μεταφόρτωση παρέχει αυτόματα νέα ή τροποποιημένα αρχεία για ανάλυση απειλών σχεδόν σε πραγματικό χρόνο, καθώς και έλεγχος των αρχείων σχεδόν σε πραγματικό χρόνο. εισέρχονται στο σύστημα.
Για βαθύτερη, προληπτική ασφάλεια, η σάρωση κατ’απαίτηση επιτρέπει στους διαχειριστές να σαρώνουν υπάρχοντα δεδομένα, κάτι που είναι ζωτικής σημασίας για την απόκριση περιστατικών και την ασφάλεια των σωληνώσεων δεδομένων. Με την ανίχνευση κακόβουλου λογισμικού, μπορεί να ενεργοποιηθεί η αυτοματοποιημένη αποκατάσταση για να τεθεί σε καραντίνα ή να διαγραφεί ομαλά το κακόβουλο blob, να αποκλειστεί η πρόσβαση και να μετριαστεί η απειλή.
Πέρα από την ανάπτυξη συγκεκριμένων εργαλείων, η εταιρεία περιέγραψε αρκετές βασικές βέλτιστες πρακτικές για όλους τους εταιρικούς πελάτες. Πρώτον, οι οργανισμοί πρέπει να επιβάλλουν αυστηρά την αρχή του ελάχιστου προνομίου χρησιμοποιώντας τον έλεγχο πρόσβασης βάσει ρόλων (RBAC) του Azure.
Αυτό διασφαλίζει ότι εάν ένας λογαριασμός παραβιαστεί, η ικανότητα του εισβολέα να προκαλέσει ζημιά περιορίζεται σημαντικά. Η παραχώρηση μόνο των απαραίτητων αδειών σε χρήστες και υπηρεσίες είναι ένα θεμελιώδες βήμα για τη μείωση της επιφάνειας επίθεσης.
Δεύτερον, οι διαχειριστές θα πρέπει να αποφεύγουν τη χρήση απεριόριστων, μακράς διαρκείας διακριτικών SAS. Αυτά τα διακριτικά μπορούν να παρέχουν μια μόνιμη κερκόπορτα σε περίπτωση παραβίασης, παρακάμπτοντας άλλους ελέγχους που βασίζονται σε ταυτότητα.
Η εφαρμογή ολοκληρωμένης καταγραφής και ελέγχου είναι επίσης ζωτικής σημασίας για τον εντοπισμό και την ταχεία απόκριση σε περιστατικά.
Τέλος, η Microsoft συμβουλεύει σθεναρά τον περιορισμό της πρόσβασης του δημόσιου δικτύου σε λογαριασμούς αποθήκευσης όποτε είναι δυνατόν και την επιβολή των απαιτήσεων ασφαλούς μεταφοράς
