Microsoft advarer bedriftskunder om en eskalerende bølge av nettangrep rettet mot Azure Blob Storage-tjenesten.
I en detaljert råd publisert 20. oktober, skisserte selskapets Threat Intelligence-team hvordan trusselaktører aktivt utnytter vanlige feilkonfigurasjoner, svake legitimasjonskontroller for bedriftsdata og dårlige sensitivitetskontroller til
. alert beskriver en sofistikert angrepskjede, fra innledende rekognosering til fullskala dataeksfiltrering og destruksjon. Med henvisning til den kritiske rollen Blob Storage spiller i håndtering av massive dataarbeidsmengder for AI og analyse, oppfordrer Microsoft administratorer til å implementere sterkere sikkerhetsprotokoller for å redusere den økende risikoen.
A High Value Target Ripe for Exploitation
Azure Blob Storage har blitt en hjørnestein i moderne sky-infrastruktur. organisasjoner for å håndtere enorme mengder ustrukturerte data.
Dens fleksibilitet gjør den uunnværlig for en rekke kritiske funksjoner, inkludert lagring av AI-opplæringsmodeller, støtte for høyytelses databehandling (HPC), kjøring av storskala analyser, hosting av media og administrasjon av sikkerhetskopiering av bedrifter.
Dessverre gjør denne hovedrollen også et hovedmål for denne sentrale rollen. data med høy effekt.
Microsofts Threat Intelligence-team forklarte den strategiske verdien av denne tjenesten til angripere.”Blob Storage, som enhver objektdatatjeneste, er et verdifullt mål for trusselaktører på grunn av dens kritiske rolle i å lagre og administrere enorme mengder ustrukturert data i stor skala på tvers av ulike arbeidsbelastninger.”
Teamet bemerket videre at trusselaktører ikke bare er opportunistiske, men søker systematisk etter sårbare miljøer. De er ute etter å kompromittere systemer som enten er vert for nedlastbart innhold eller fungerer som datalager i stor skala, noe som gjør Blob Storage til en allsidig vektor for et bredt spekter av angrep.
Dekonstruerer skyangrepskjeden
Veien fra innledende undersøkelse til større datainnbrudd følger et veldefinert mønster, som Microsofts forsvarere har kartlagt til hjelpere. Angrepet er ikke en enkelt hendelse, men en flertrinnsprosess som begynner lenge før noen data blir stjålet.
Angripere begynner ofte med bred rekognosering, ved å bruke automatiserte verktøy for å skanne etter lagringskontoer med offentlig tilgjengelige endepunkter eller forutsigbare navn. De kan også bruke språkmodeller for å generere plausible beholdernavn for mer effektiv brute-forcing.
Når et potensielt mål er identifisert, leter de etter vanlige svakheter, som eksponerte lagringskontonøkler eller shared access-signatur (SAS)-tokens oppdaget i offentlige kodelagre.
Etter å ha fått innledende tilgang, skifter fokuset til å etablere utholdenhet. En angriper kan opprette nye roller med forhøyede privilegier, generere SAS-tokens med lang levetid som fungerer som bakdører, eller til og med manipulere tilgangspolicyer på containernivå for å tillate anonym tilgang.
Derfra kan de bevege seg sideveis, og potensielt utløse nedstrømstjenester som Azure Functions eller Logic Apps for å eskalere privilegiene sine ytterligere. De siste stadiene kan involvere datakorrupsjon, sletting eller storskala eksfiltrering, ofte ved å bruke pålitelige Azure-native verktøy som AzCopy for å blandes inn med legitim nettverkstrafikk og unngå gjenkjenning.
Konsekvensene av slike feilkonfigurasjoner kan være ødeleggende. I en bemerkelsesverdig tidligere hendelse avslørte et rekrutteringsprogramvarefirma ved et uhell nesten 26 millioner filer som inneholder CV-er da det etterlot en Azure Blob Storage-beholder feilsikret, en høyprofilert hendelse som fremhever hendelsen risikoer.
Denne typen brudd viser den kritiske betydningen av sikkerhetsstillingen Microsoft nå tar til orde for.
Microsofts Blueprint for Defense: Tools and Best Practices
For å motvirke disse eskalerende truslene, la selskapet vekt på en flerlags-til-overvåkingssikkerhetsstrategi med fokus på overvåking av forsvar. grunnleggende.
En nøkkelkomponent i denne strategien er Microsoft Defender for Storage, en skybasert løsning designet for å gi et ekstra lag med sikkerhetsintelligens.
Ifølge Microsoft,”Defender for Storage tilbyr et ekstra lag med sikkerhetsintelligens som oppdager uvanlige og potensielt skadelige forsøk på å få tilgang til eller utnytte beskyttelseslag for flere lagerkontoer,
for Storp>.”inkludert skadelig programvare som skanner det kan konfigureres i to primære moduser, i henhold til offisiell dokumentasjon.
Skanning under opplasting gir nesten sanntidsanalyse av nye eller modifiserte filer, automatisk sjekking av dem for filer trusler når de kommer inn i systemet.
For dypere, proaktiv sikkerhet, lar on-demand skanning administratorer skanne eksisterende data, noe som er avgjørende for hendelsesrespons og sikring av datapipelines. N
når skadelig programvare oppdages, kan automatisert utbedring utløses for å sette i karantene eller myke sletting av den ondsinnede blokken, blokkere tilgang og redusere trusselen.
I tillegg til å distribuere spesifikke verktøy, skisserte selskapet flere viktige beste fremgangsmåter for alle bedriftskunder. For det første må organisasjoner strengt håndheve prinsippet om minste privilegium ved å bruke Azures rollebaserte tilgangskontroll (RBAC).
Dette sikrer at hvis en konto blir kompromittert, er angriperens evne til å forårsake skade sterkt begrenset. Å gi bare de nødvendige tillatelsene til brukere og tjenester er et grunnleggende skritt for å redusere angrepsoverflaten.
For det andre bør administratorer unngå å bruke ubegrensede, langvarige SAS-tokens. Disse tokenene kan gi en permanent bakdør hvis de kompromitteres, og omgå andre identitetsbaserte kontroller.
Implementering av omfattende logging og revisjon er også avgjørende for å oppdage og svare på hendelser raskt.
Til slutt anbefaler Microsoft på det sterkeste å begrense offentlig nettverkstilgang til lagringskontoer når det er mulig og for å håndheve sikre dataoverføringskrav.
stramme disse grunnleggende kontroller og opprettholde konstant årvåkenhet, kan organisasjoner redusere risikoen betraktelig og bedre beskytte sine kritiske skydata mot kompromisser.
