Microsoft varoittaa yritysasiakkaita kiihtyvästä kyberhyökkäysten aallosta, joka kohdistuu sen Azure Blob Storage-palveluun.
Yrityksen 20. lokakuuta julkaistussa Threat Intelligence-tiimi kertoi, kuinka uhkien toimijat käyttävät aktiivisesti hyväkseen yleisiä virheellisiä määrityksiä, heikkoja tunnistetietoja ja
huonoja
Hyödynnetty arvokas kohde
Azure Blob Storagesta on tullut modernin pilviinfrastruktuurin kulmakivi organisaatiot käyttävät valtavia määriä käsittelemätöntä dataa.
Sen joustavuus tekee siitä välttämättömän useissa kriittisissä toiminnoissa, kuten tekoälyn koulutusmallien tallentamisessa, korkean suorituskyvyn laskennan (HPC) tukemisessa, laajamittaisen analytiikan suorittamisessa, median ylläpidossa ja yritysten varmuuskopioiden hallinnassa.
Valitettavasti se on myös keskeinen rooli. kyberrikolliset etsivät suuren vaikutuksen dataa.
Microsoftin Threat Intelligence-tiimi selitti hyökkääjille tämän palvelun strategisen arvon.”Blob Storage, kuten mikä tahansa objektitietopalvelu, on arvokas kohde uhkatoimijoille, koska sillä on kriittinen rooli valtavien määrien strukturoimattoman datan tallentamisessa ja hallinnassa laajassa mittakaavassa erilaisissa työkuormissa.”
Tiimi totesi lisäksi, että uhkatoimijat eivät ole vain opportunistisia, vaan myös etsivät järjestelmällisesti haavoittuvia ympäristöjä. He pyrkivät vaarantamaan järjestelmiä, jotka joko isännöivät ladattavaa sisältöä tai toimivat laajamittaisena tietovarastona, mikä tekee Blob Storagesta monipuolisen vektorin monenlaisille hyökkäyksille.
Pilvihyökkäysketjun purkaminen
Polku ensimmäisestä tutkinnasta suureen tietomurtoon noudattaa heidän puolustajiensa hyvin määriteltyä kaavaa. Hyökkäys ei ole yksittäinen tapahtuma, vaan monivaiheinen prosessi, joka alkaa kauan ennen kuin mitään dataa varastetaan.
Hyökkääjät aloittavat usein laajalla tiedustelulla käyttämällä automaattisia työkaluja julkisesti saatavilla olevien päätepisteiden tai ennustettavien nimien tallennustilien etsimiseen. He voivat myös käyttää kielimalleja luomaan uskottavia säilön nimiä tehokkaampaa raa’aa pakottamista varten.
Kun mahdollinen kohde on tunnistettu, he etsivät yleisiä heikkouksia, kuten paljaita tallennustilien avaimia tai shared access target=”_blank”> allekirjoitus (SAS) tunnisteet löydetty julkisista koodivarastoista.
Kun on saatu käyttöoikeus, painopiste siirtyy pysyvyyden luomiseen. Hyökkääjä voi luoda uusia rooleja korotetuilla oikeuksilla, luoda pitkäikäisiä SAS-tunnuksia, jotka toimivat takaovina, tai jopa manipuloida säilötason käyttökäytäntöjä salliakseen anonyymin pääsyn.
Sieltä he voivat siirtyä sivusuunnassa, mikä saattaa käynnistää loppupään palvelut, kuten Azure Functions tai Logic Apps, laajentamaan oikeuksiaan entisestään. Viimeiset vaiheet voivat sisältää tietojen vioittumisen, poistamisen tai laajamittaisen suodattamisen. Usein käytetään luotettavia Azure-natiivityökaluja, kuten AzCopy. laillista verkkoliikennettä ja välttää havaitsemista.
Tällaisten virheellisten määritysten todelliset seuraukset voivat olla tuhoisia. Eräässä merkittävässä menneisyydessä rekrytointiohjelmistoyritys paljasti vahingossa lähes 26 miljoonaa tiedostoa, jotka sisälsivät ansioluetteloita, kun se jätti Azure Blob Storage-säilön väärin suojattuna, korkean profiilin korostava tapaus. riskit.
Tämäntyyppinen tietomurto osoittaa Microsoftin nyt puolustaman tietoturva-asennon kriittisen merkityksen.
Microsoftin puolustussuunnitelma: työkalut ja parhaat käytännöt
Näiden lisääntyvien uhkien torjumiseksi yritys korosti monitasoista puolustusstrategiaa, joka keskittyy ennakoivaan tietoturvaan ja valvontaan. perusteet.
Tämän strategian avainkomponentti on Microsoft Defender for Storage, pilvipohjainen ratkaisu, joka on suunniteltu tarjoamaan ylimääräinen tietoturvakerros.
Microsoftin mukaan”Defender for Storage tarjoaa ylimääräisen tietoturvakerroksen, joka havaitsee epätavalliset ja mahdollisesti haitalliset yritykset päästä käsiksi tai hyödyntää tallennustilejä, ja tarjoaa useita haittaohjelmia Storage-suojausta varten.”
skannaus, joka voidaan määrittää kahteen ensisijaiseen tilaan, virallisen dokumentaation mukaan.
Latauksen yhteydessä tapahtuva tarkistus tarjoaa lähes reaaliaikaisen uhan analyysin uusien tai muokattujen tiedostojen tarkastamiseksi automaattisesti. ne tulevat järjestelmään.
Syvempi ja ennakoiva tietoturva mahdollistaa järjestelmänvalvojien tarpeen vaativan tarkistuksen avulla skannata olemassa olevat tiedot, mikä on ratkaisevan tärkeää tapaturmien reagoinnissa ja tietoputkien turvaamisessa. W
Kun haittaohjelma havaitaan, automaattinen korjaus voidaan käynnistää haitallisen blobin karanteeniin tai soft-poistamiseksi, mikä estää pääsyn ja vähentää uhkaa.
Tiettyjen työkalujen käyttöönoton lisäksi yritys esitteli useita keskeisiä parhaita käytäntöjä kaikille yritysasiakkaille. Ensinnäkin organisaatioiden on tiukasti valvottava vähiten etuoikeuksien periaatetta käyttämällä Azuren roolipohjaista pääsynhallintaa (RBAC).
Tämä varmistaa, että jos tili vaarantuu, hyökkääjän kykyä aiheuttaa vahinkoa rajoitetaan voimakkaasti. Vain tarvittavien käyttöoikeuksien myöntäminen käyttäjille ja palveluille on perustavanlaatuinen askel hyökkäyspinnan vähentämisessä.
Toiseksi järjestelmänvalvojien tulisi välttää rajoittamattomien, pitkäikäisten SAS-tunnuksien käyttöä. Nämä tunnukset voivat tarjota pysyvän takaoven, jos ne vaarantuvat, ohittaen muut identiteettiin perustuvat hallintalaitteet.
Kattavat lokikirjaukset ja tarkastukset ovat myös ratkaisevan tärkeitä tapahtumien nopean havaitsemisen ja niihin reagoimisen kannalta.
Lopuksi Microsoft suosittelee vahvasti rajoittamaan julkisen verkon pääsyä tallennustileihin aina kun mahdollista ja valvomaan näiden tietojen tiukkoja siirtoa koskevia vaatimuksia. Hallitsemalla ja ylläpitämällä jatkuvaa valppautta organisaatiot voivat vähentää riskejä merkittävästi ja suojata kriittisiä pilvitietojaan paremmin kompromisseille.
