Microsoft memperingatkan pelanggan perusahaan tentang meningkatnya gelombang serangan siber yang menargetkan layanan Azure Blob Storage miliknya.
Dalam saran terperinci yang diterbitkan pada tanggal 20 Oktober, tim Threat Intelligence perusahaan menguraikan bagaimana pelaku ancaman secara aktif mengeksploitasi kesalahan konfigurasi umum, kredensial yang lemah, dan kontrol akses yang buruk untuk mencuri data sensitif perusahaan.
alert merinci rantai serangan yang canggih, mulai dari pengintaian awal hingga eksfiltrasi dan penghancuran data skala penuh. Mengingat pentingnya peran Blob Storage dalam mengelola beban kerja data yang sangat besar untuk AI dan analisis, Microsoft mendesak administrator untuk menerapkan protokol keamanan yang lebih kuat guna memitigasi risiko yang semakin besar.
Target Bernilai Tinggi yang Siap untuk Eksploitasi
Azure Blob Storage telah menjadi landasan infrastruktur cloud modern, digunakan oleh organisasi untuk menangani data tidak terstruktur dalam jumlah besar.
Fleksibilitasnya membuatnya sangat diperlukan untuk berbagai fungsi penting, termasuk menyimpan model pelatihan AI, mendukung komputasi kinerja tinggi (HPC), menjalankan analisis skala besar, menghosting media, dan mengelola cadangan perusahaan.
Sayangnya, peran sentral ini juga menjadikannya target utama bagi penjahat dunia maya yang mencari dampak besar data.
Tim Threat Intelligence Microsoft menjelaskan nilai strategis layanan ini bagi penyerang. “Blob Storage, seperti layanan data objek lainnya, merupakan target bernilai tinggi bagi pelaku ancaman karena perannya yang penting dalam menyimpan dan mengelola sejumlah besar data tidak terstruktur dalam skala besar di berbagai beban kerja.”
Tim tersebut lebih lanjut mencatat bahwa pelaku ancaman tidak hanya bersifat oportunis tetapi juga secara sistematis mencari lingkungan yang rentan. Mereka ingin menyusupi sistem yang menghosting konten yang dapat diunduh atau berfungsi sebagai repositori data berskala besar, sehingga menjadikan Blob Storage sebagai vektor serbaguna untuk beragam serangan.
Mendekonstruksi Rantai Serangan Cloud
Jalur dari penyelidikan awal hingga pelanggaran data besar mengikuti pola yang jelas, yang telah dipetakan oleh Microsoft untuk membantu para pembela HAM memahami musuh mereka. Serangan ini bukan merupakan peristiwa tunggal namun merupakan proses multi-tahap yang dimulai jauh sebelum data apa pun dicuri.
Penyerang sering kali memulai dengan pengintaian luas, menggunakan alat otomatis untuk memindai akun penyimpanan dengan titik akhir yang dapat diakses publik atau nama yang dapat diprediksi. Mereka juga dapat menggunakan model bahasa untuk menghasilkan nama kontainer yang masuk akal untuk melakukan brute-forcing yang lebih efektif.
Setelah target potensial diidentifikasi, mereka menyelidiki kelemahan umum, seperti kunci akun penyimpanan yang terbuka atautoken tanda tangan akses hared (SAS) ditemukan di repositori kode publik.
Setelah mendapatkan akses awal, fokus beralih ke membangun persistensi. Penyerang mungkin membuat peran baru dengan hak istimewa yang lebih tinggi, menghasilkan token SAS yang berumur panjang yang berfungsi sebagai pintu belakang, atau bahkan memanipulasi kebijakan akses tingkat kontainer untuk mengizinkan akses anonim.
Dari sana, mereka dapat bergerak ke samping, sehingga berpotensi memicu layanan hilir seperti Azure Functions atau Logic Apps untuk meningkatkan hak istimewa mereka lebih lanjut. Tahap terakhir dapat melibatkan kerusakan data, penghapusan, atau eksfiltrasi skala besar, sering kali menggunakan alat asli Azure yang tepercaya seperti AzCopy untuk menyatu dengan lalu lintas jaringan yang sah dan menghindari deteksi.
Konsekuensi nyata dari kesalahan konfigurasi tersebut dapat sangat merugikan. Dalam satu insiden penting di masa lalu, sebuah perusahaan perangkat lunak perekrutan secara tidak sengaja mengungkap hampir 26 juta file yang berisi resume ketika kontainer Azure Blob Storage dibiarkan tidak diamankan dengan benar, sebuah insiden penting yang menyoroti risikonya.
Jenis pelanggaran ini menunjukkan betapa pentingnya postur keamanan yang kini dianjurkan oleh Microsoft.
Cetak Biru Microsoft untuk Pertahanan: Alat dan Praktik Terbaik
Untuk melawan ancaman yang semakin meningkat ini, perusahaan menekankan strategi pertahanan berlapis yang berpusat pada pemantauan proaktif dan kepatuhan terhadap dasar-dasar keamanan.
Komponen utama adalah komponen utama keamanan. salah satu strategi ini adalah Microsoft Defender for Storage, solusi cloud-native yang dirancang untuk memberikan lapisan intelijen keamanan tambahan.
Menurut Microsoft, “Defender for Storage memberikan lapisan intelijen keamanan tambahan yang mendeteksi upaya yang tidak biasa dan berpotensi membahayakan untuk mengakses atau mengeksploitasi akun penyimpanan.”
Defender for Storage menawarkan perlindungan berlapis, termasuk pemindaian malware yang dapat dikonfigurasi dalam dua mode utama, menurut dokumentasi resmi.
Pemindaian saat diunggah memberikan analisis hampir real-time terhadap file baru atau yang diubah, secara otomatis memeriksa ancaman saat file tersebut memasuki sistem.
Untuk keamanan yang lebih dalam dan proaktif, pemindaian sesuai permintaan memungkinkan administrator memindai data yang ada, yang sangat penting untuk respons insiden dan mengamankan jalur data. Saat malware terdeteksi, remediasi otomatis dapat dipicu untuk mengkarantina atau menghapus sementara blob berbahaya, memblokir akses, dan memitigasi ancaman.
Selain menerapkan alat khusus, perusahaan menguraikan beberapa praktik terbaik yang penting untuk semua pelanggan perusahaan. Pertama, organisasi harus secara ketat menerapkan prinsip hak istimewa terendah menggunakan kontrol akses berbasis peran (RBAC) Azure.
Hal ini memastikan bahwa jika akun disusupi, kemampuan penyerang untuk menyebabkan kerusakan sangat terbatas. Memberikan izin yang diperlukan saja kepada pengguna dan layanan merupakan langkah mendasar dalam mengurangi permukaan serangan.
Kedua, administrator harus menghindari penggunaan token SAS yang tidak dibatasi dan berumur panjang. Token ini dapat memberikan pintu belakang permanen jika disusupi, melewati kontrol berbasis identitas lainnya.
Menerapkan pencatatan log dan audit yang komprehensif juga penting untuk mendeteksi dan merespons insiden dengan cepat.
Terakhir, Microsoft sangat menyarankan untuk membatasi akses jaringan publik ke akun penyimpanan bila memungkinkan dan menerapkan persyaratan transfer yang aman untuk melindungi data saat transit.
Dengan memperketat persyaratan dasar ini. mengendalikan dan menjaga kewaspadaan terus-menerus, organisasi dapat mengurangi risiko secara signifikan dan melindungi data cloud penting mereka dengan lebih baik dari gangguan.
