Microsoft po paralajmëron klientët e ndërmarrjeve për një valë të përshkallëzuar sulmesh kibernetike që synojnë shërbimin e tij Azure Blob Storage.
Në një këshillim të detajuar të publikuar më 20 tetor, ekipi i Inteligjencës së Kërcënimeve të kompanisë nënvizoi se si aktorët e kërcënimit po shfrytëzojnë në mënyrë aktive konfigurime të gabuara të zakonshme, kontrolle të dobëta kredenciale
për korporata dhe burime.
alert detajon një zinxhir të sofistikuar sulmi, nga zbulimi i plotë dhe rikonstruksioni fillestar i të dhënave në shkallë të plotë. Duke përmendur rolin kritik që luan Blob Storage në menaxhimin e ngarkesave masive të të dhënave për AI dhe analitikë, Microsoft po u kërkon administratorëve të zbatojnë protokolle më të forta sigurie për të zbutur rrezikun në rritje.
Një objektiv me vlerë të lartë, i pjekur për shfrytëzim
Azure Blob Stor është bërë një infrastrukturë moderne e përdorur në Cloud. nga organizatat për të trajtuar vëllime të mëdha të dhënash të pastrukturuara.
Fleksibiliteti i tij e bën atë të domosdoshëm për një sërë funksionesh kritike, duke përfshirë ruajtjen e modeleve të trajnimit të AI, mbështetjen e kompjuterave me performancë të lartë (HPC), ekzekutimin e analitikëve në shkallë të gjerë, pritjen e mediave dhe menaxhimin e kopjeve rezervë të ndërmarrjes.
të dhëna me ndikim të lartë.
Ekipi i Inteligjencave të Kërcënimeve të Microsoft u shpjegoi sulmuesve vlerën strategjike të këtij shërbimi.”Blob Storage, si çdo shërbim i të dhënave të objekteve, është një objektiv me vlerë të lartë për aktorët e kërcënimit për shkak të rolit të tij kritik në ruajtjen dhe menaxhimin e sasive masive të të dhënave të pastrukturuara në shkallë në ngarkesa të ndryshme pune.”
Ekipi më tej vuri në dukje se aktorët e kërcënimit nuk janë vetëm oportunistë, por janë duke kërkuar sistematikisht për mjedise të cenueshme. Ata po kërkojnë të kompromentojnë sistemet që përmbajnë përmbajtje të shkarkueshme ose shërbejnë si depo të dhënash në shkallë të gjerë, duke e bërë Blob Storage një vektor të gjithanshëm për një gamë të gjerë sulmesh.
Dekonstruktimi i zinxhirit të sulmit në renë kompjuterike
Rruga nga hetimi fillestar deri te shkelja e madhe e të dhënave ka kuptuar mirë se Microsoft-i ka ndihmuar në mbrojtjen e tyre. kundërshtarët. Sulmi nuk është një ngjarje e vetme, por një proces me shumë faza që fillon shumë kohë përpara se të vidhet ndonjë e dhënë.
Sulmuesit shpesh fillojnë me një zbulim të gjerë, duke përdorur mjete të automatizuara për të skanuar për llogaritë e ruajtjes me pika përfundimtare të aksesueshme publikisht ose emra të parashikueshëm. Ata mund të përdorin gjithashtu modele gjuhësore për të gjeneruar emra të besueshëm të kontejnerëve për një detyrim më efektiv.
Pasi të identifikohet një objektiv i mundshëm, ata hetojnë për dobësi të zakonshme, si p.sh. nënshkrimet e aksesit (SAS) të zbuluara në depot publike të kodit.
Pas fitimit të aksesit fillestar, fokusi zhvendoset në vendosjen e qëndrueshmërisë. Një sulmues mund të krijojë role të reja me privilegje të ngritura, të gjenerojë shenja SAS jetëgjata që funksionojnë si dyer të pasme, ose madje të manipulojë politikat e qasjes në nivel kontejneri për të lejuar hyrjen anonime.
Prej andej, ata mund të lëvizin anash, duke shkaktuar potencialisht shërbime në rrjedhën e poshtme si Azure Functions ose Logic Apps për të përshkallëzuar më tej privilegjet e tyre. Fazat e fundit mund të përfshijnë korrupsionin, fshirjen e të dhënave ose ekfiltrimin në shkallë të gjerë, shpesh duke përdorur mjete të besuara vendase të Azure si Az trafiku legjitim i rrjetit dhe evitimi i zbulimit.
Pasojat në botën reale të konfigurimeve të tilla të gabuara mund të jenë shkatërruese. Në një incident të dukshëm të kaluar, një firmë softuerësh rekrutimi ekspozoi pa dashje afro 26 milionë skedarë që përmbanin rezyme kur la një kontejner Azure Blob Storage të siguruar në mënyrë jo të duhur, .
Ky lloj shkeljeje tregon rëndësinë kritike të qëndrimit të sigurisë që Microsoft tani mbron.
Plani i Microsoft për mbrojtjen: Mjetet dhe praktikat më të mira
Për t’iu kundërvënë këtyre kërcënimeve në përshkallëzim, kompania theksoi një strategji shumështresore të mbrojtjes të përqendruar në një element kyç proaktiv të monitorimit të sigurisë
. kjo strategji është Microsoft Defender for Storage, një zgjidhje e bazuar në renë kompjuterike, e krijuar për të ofruar një shtresë shtesë të inteligjencës së sigurisë.
Sipas Microsoft,”Defender for Storage ofron një shtresë shtesë të inteligjencës së sigurisë që zbulon përpjekjet e pazakonta dhe potencialisht të dëmshme për të hyrë ose shfrytëzuar llogaritë e ruajtjes.”
Mbrojtësi për hapësirën ruajtëse ofron nivele të shumta të mbrojtjes në modalitet të keq, duke përfshirë dy nivele të konfigurimit të softuerit të shumëfishtë. href=”https://learn.microsoft.com/en-us/azure/defender-for-cloud/introduction-malware-scanning”target=”_blank”>sipas dokumentacionit zyrtar.
Skanimi në ngarkim ofron analiza pothuajse në kohë reale të skedarëve të rinj ose të modifikuar, duke i kontrolluar automatikisht ato
për kërcënime.
Siguria më e thellë, proaktive, skanimi sipas kërkesës i lejon administratorët të skanojnë të dhënat ekzistuese, gjë që është thelbësore për reagimin ndaj incidentit dhe sigurimin e tubacioneve të të dhënave. Me zbulimin e malware, mund të aktivizohet korrigjimi i automatizuar për të karantinuar ose fshirë butësisht blobin keqdashës, duke bllokuar aksesin dhe duke zbutur kërcënimin.
Përtej vendosjes së mjeteve specifike, kompania përshkroi disa praktika më të mira thelbësore për të gjithë klientët e ndërmarrjeve. Së pari, organizatat duhet të zbatojnë me rigorozitet parimin e privilegjit më të vogël duke përdorur kontrollin e aksesit të bazuar në role të Azure (RBAC).
Kjo siguron që nëse një llogari rrezikohet, aftësia e sulmuesit për të shkaktuar dëme është jashtëzakonisht e kufizuar. Dhënia vetëm e lejeve të nevojshme për përdoruesit dhe shërbimet është një hap themelor në reduktimin e sipërfaqes së sulmit.
Së dyti, administratorët duhet të shmangin përdorimin e shenjave SAS të pakufizuara dhe jetëgjata. Këto argumente mund të ofrojnë një derë të pasme të përhershme nëse komprometohen, duke anashkaluar kontrolle të tjera të bazuara në identitet.
Zbatimi i regjistrimit dhe auditimit gjithëpërfshirës është gjithashtu thelbësor për zbulimin dhe reagimin e shpejtë ndaj incidenteve.
Më në fund, Microsoft këshillon fuqimisht kufizimin e aksesit të rrjetit publik në llogaritë e ruajtjes sa herë që është e mundur dhe zbatimin e kërkesave të transferimit të sigurtë
për të mbrojtur këto
kontrollet themelore dhe duke mbajtur vigjilencë të vazhdueshme, organizatat mund të zvogëlojnë ndjeshëm rrezikun e tyre dhe të mbrojnë më mirë të dhënat e tyre kritike të resë kompjuterike nga kompromisi.
