Microsoft เตือนถึงการโจมตีที่เพิ่มขึ้นใน Azure Blob Storage กระตุ้นให้มีการรักษาความปลอดภัยที่เข้มงวดยิ่งขึ้น

Microsoft กำลังเตือนลูกค้าองค์กรเกี่ยวกับการโจมตีทางไซเบอร์ที่ทวีความรุนแรงขึ้นโดยมุ่งเป้าไปที่บริการ Azure Blob Storage

ในคำแนะนำโดยละเอียดที่เผยแพร่เมื่อวันที่ 20 ตุลาคม ทีมข่าวกรองภัยคุกคามของบริษัทได้สรุปว่าผู้แสดงภัยคุกคามใช้ประโยชน์จากการกำหนดค่าที่ไม่ถูกต้องทั่วไป ข้อมูลประจำตัวที่อ่อนแอ และการควบคุมการเข้าถึงที่ไม่ดีเพื่อขโมยข้อมูลสำคัญขององค์กรอย่างไร

การแจ้งเตือนที่ให้รายละเอียดเกี่ยวกับห่วงโซ่การโจมตีที่ซับซ้อน ตั้งแต่การลาดตระเวนครั้งแรกไปจนถึงการขโมยและการทำลายข้อมูลเต็มรูปแบบ ด้วยการอ้างถึงบทบาทที่สำคัญของ Blob Storage ในการจัดการปริมาณงานข้อมูลขนาดใหญ่สำหรับ AI และการวิเคราะห์ Microsoft จึงขอเรียกร้องให้ผู้ดูแลระบบใช้โปรโตคอลความปลอดภัยที่แข็งแกร่งขึ้นเพื่อลดความเสี่ยงที่เพิ่มขึ้น

เป้าหมายที่มีมูลค่าสูงพร้อมสำหรับการใช้ประโยชน์

Azure Blob Storage ได้กลายเป็นรากฐานสำคัญของโครงสร้างพื้นฐานระบบคลาวด์สมัยใหม่ที่ใช้ โดยองค์กรต่างๆ เพื่อจัดการกับข้อมูลที่ไม่มีโครงสร้างจำนวนมหาศาล

ความยืดหยุ่นทำให้เป็นสิ่งที่ขาดไม่ได้สำหรับฟังก์ชันที่สำคัญต่างๆ รวมถึงการจัดเก็บโมเดลการฝึกอบรม AI การรองรับการประมวลผลประสิทธิภาพสูง (HPC) การเรียกใช้การวิเคราะห์ขนาดใหญ่ การโฮสต์สื่อ และการจัดการการสำรองข้อมูลขององค์กร

น่าเสียดายที่บทบาทสำคัญนี้ยังทำให้เป็นเป้าหมายสำคัญสำหรับอาชญากรไซเบอร์ที่กำลังมองหา ข้อมูลที่มีผลกระทบสูง

ทีม Threat Intelligence ของ Microsoft อธิบายคุณค่าเชิงกลยุทธ์ของบริการนี้แก่ผู้โจมตี “Blob Storage ก็เหมือนกับบริการข้อมูลอ็อบเจ็กต์อื่นๆ ที่เป็นเป้าหมายที่มีมูลค่าสูงสำหรับผู้ก่อภัยคุกคาม เนื่องจากมีบทบาทสำคัญในการจัดเก็บและจัดการข้อมูลที่ไม่มีโครงสร้างจำนวนมหาศาลในวงกว้างทั่วทั้งปริมาณงานที่หลากหลาย”

ทีมงานยังตั้งข้อสังเกตอีกว่าผู้ก่อภัยคุกคามไม่เพียงแต่เป็นผู้ที่ฉวยโอกาสเท่านั้น แต่ยังค้นหาสภาพแวดล้อมที่มีช่องโหว่อย่างเป็นระบบอีกด้วย พวกเขากำลังมองหาวิธีประนีประนอมระบบที่โฮสต์เนื้อหาที่ดาวน์โหลดได้หรือทำหน้าที่เป็นที่เก็บข้อมูลขนาดใหญ่ ทำให้ Blob Storage เป็นเวคเตอร์อเนกประสงค์สำหรับการโจมตีที่หลากหลาย

การแยกโครงสร้างห่วงโซ่การโจมตีบนคลาวด์

เส้นทางตั้งแต่การสอบสวนเบื้องต้นไปจนถึงการละเมิดข้อมูลหลักเป็นไปตามรูปแบบที่กำหนดไว้อย่างดี ซึ่ง Microsoft ได้จัดทำแผนที่ไว้เพื่อช่วยให้ผู้ปกป้องเข้าใจฝ่ายตรงข้ามของพวกเขา การโจมตีไม่ใช่เหตุการณ์เดียว แต่เป็นกระบวนการหลายขั้นตอนที่เริ่มต้นก่อนที่ข้อมูลใดๆ จะถูกขโมย

ผู้โจมตีมักจะเริ่มต้นด้วยการลาดตระเวนในวงกว้าง โดยใช้เครื่องมืออัตโนมัติในการสแกนหาบัญชีที่จัดเก็บข้อมูลด้วยจุดสิ้นสุดที่สาธารณชนเข้าถึงได้หรือชื่อที่คาดเดาได้ พวกเขายังอาจใช้แบบจำลองภาษาเพื่อสร้างชื่อคอนเทนเนอร์ที่น่าเชื่อถือเพื่อการบังคับใช้แบบเดรัจฉานที่มีประสิทธิภาพมากขึ้น

เมื่อมีการระบุเป้าหมายที่เป็นไปได้ พวกเขาตรวจสอบจุดอ่อนทั่วไป เช่น คีย์บัญชีพื้นที่เก็บข้อมูลที่ถูกเปิดเผย หรือโทเค็นลายเซ็นการเข้าถึงแบบ hared (SAS) ที่พบในที่เก็บรหัสสาธารณะ

หลังจากได้รับการเข้าถึงครั้งแรก โฟกัสจะเปลี่ยนไปสู่การสร้างการคงอยู่ ผู้โจมตีอาจสร้างบทบาทใหม่ด้วยสิทธิ์ระดับสูง สร้างโทเค็น SAS ที่มีอายุการใช้งานยาวนานซึ่งทำหน้าที่เป็นประตูหลัง หรือแม้แต่จัดการนโยบายการเข้าถึงระดับคอนเทนเนอร์เพื่ออนุญาตการเข้าถึงแบบไม่ระบุชื่อ

จากนั้น พวกเขาสามารถย้ายไปในแนวขวาง ซึ่งอาจเรียกใช้บริการดาวน์สตรีม เช่น ฟังก์ชัน Azure หรือแอปลอจิก เพื่อขยายสิทธิ์ของตนต่อไป ขั้นตอนสุดท้ายอาจเกี่ยวข้องกับการเสียหายของข้อมูล การลบ หรือการกรองข้อมูลในวงกว้าง โดยมักจะใช้เครื่องมือ Azure ดั้งเดิมที่เชื่อถือได้ เช่น AzCopy เพื่อผสมผสาน ด้วยการรับส่งข้อมูลเครือข่ายที่ถูกต้องและหลบเลี่ยงการตรวจจับ

ผลที่ตามมาในโลกแห่งความเป็นจริงของการกำหนดค่าที่ไม่ถูกต้องดังกล่าวสามารถทำลายล้างได้ ในเหตุการณ์สำคัญครั้งหนึ่งในอดีต บริษัทซอฟต์แวร์จัดหางานได้เปิดเผยไฟล์เกือบ 26 ล้านไฟล์ที่มีเรซูเม่โดยไม่ได้ตั้งใจ เมื่อปล่อยให้คอนเทนเนอร์ Azure Blob Storage ได้รับการรักษาความปลอดภัยอย่างไม่เหมาะสม เหตุการณ์สำคัญที่เน้นย้ำถึง ความเสี่ยง

การละเมิดประเภทนี้แสดงให้เห็นถึงความสำคัญอย่างยิ่งยวดของมาตรการรักษาความปลอดภัยที่ Microsoft สนับสนุนอยู่ในขณะนี้

พิมพ์เขียวสำหรับการป้องกันของ Microsoft: เครื่องมือและแนวทางปฏิบัติที่ดีที่สุด

เพื่อตอบโต้ภัยคุกคามที่ทวีความรุนแรงขึ้นเหล่านี้ บริษัทได้เน้นย้ำกลยุทธ์การป้องกันแบบหลายชั้นโดยมีศูนย์กลางอยู่ที่การตรวจสอบเชิงรุกและการยึดมั่นในการรักษาความปลอดภัย พื้นฐาน

องค์ประกอบสำคัญของกลยุทธ์นี้คือ Microsoft Defender for Storage ซึ่งเป็นโซลูชันบนคลาวด์ที่ออกแบบมาเพื่อมอบข้อมูลอัจฉริยะด้านความปลอดภัยเพิ่มเติมอีกชั้นหนึ่ง

ตามข้อมูลของ Microsoft “Defender for Storage มอบข้อมูลอัจฉริยะด้านความปลอดภัยเพิ่มเติมอีกชั้นที่ตรวจจับความพยายามที่ผิดปกติและอาจเป็นอันตรายในการเข้าถึงหรือใช้ประโยชน์จากบัญชีที่เก็บข้อมูล”

Defender for Storage ให้การป้องกันหลายชั้น รวมถึงการสแกนมัลแวร์ ที่สามารถกำหนดค่าได้ในสองโหมดหลัก ตามเอกสารอย่างเป็นทางการ

การสแกนขณะอัปโหลดให้การวิเคราะห์ไฟล์ใหม่หรือไฟล์ที่แก้ไขแบบใกล้เคียงเรียลไทม์ โดยจะตรวจสอบภัยคุกคามโดยอัตโนมัติ พวกเขาเข้าสู่ระบบ

เพื่อความปลอดภัยเชิงรุกที่ลึกยิ่งขึ้น การสแกนตามความต้องการช่วยให้ผู้ดูแลระบบสามารถสแกนข้อมูลที่มีอยู่ ซึ่งเป็นสิ่งสำคัญสำหรับการตอบสนองต่อเหตุการณ์และการรักษาความปลอดภัยไปป์ไลน์ข้อมูล เมื่อตรวจพบมัลแวร์ การแก้ไขอัตโนมัติสามารถเรียกใช้เพื่อกักกันหรือลบ Blob ที่เป็นอันตราย บล็อกการเข้าถึงและบรรเทาภัยคุกคาม

นอกเหนือจากการปรับใช้เครื่องมือเฉพาะแล้ว บริษัทยังได้สรุปแนวทางปฏิบัติที่ดีที่สุดที่สำคัญหลายประการสำหรับลูกค้าองค์กรทั้งหมด ประการแรก องค์กรต้องบังคับใช้หลักการของสิทธิ์ขั้นต่ำอย่างเข้มงวดโดยใช้การควบคุมการเข้าถึงตามบทบาทของ Azure (RBAC)

สิ่งนี้ทำให้แน่ใจได้ว่าหากบัญชีถูกบุกรุก ความสามารถของผู้โจมตีในการสร้างความเสียหายจะถูกจำกัดอย่างรุนแรง การให้สิทธิ์ที่จำเป็นแก่ผู้ใช้และบริการเท่านั้นเป็นขั้นตอนพื้นฐานในการลดพื้นที่การโจมตี

ประการที่สอง ผู้ดูแลระบบควรหลีกเลี่ยงการใช้โทเค็น SAS ที่ไม่จำกัดและมีอายุการใช้งานยาวนาน โทเค็นเหล่านี้สามารถจัดให้มีแบ็คดอร์ถาวรได้หากถูกบุกรุก โดยข้ามการควบคุมตามข้อมูลประจำตัวอื่นๆ

การใช้การบันทึกและการตรวจสอบที่ครอบคลุมยังเป็นสิ่งสำคัญสำหรับการตรวจจับและการตอบสนองต่อเหตุการณ์อย่างรวดเร็ว

สุดท้ายนี้ Microsoft ขอแนะนำอย่างยิ่งให้จำกัดการเข้าถึงเครือข่ายสาธารณะไปยังบัญชีที่เก็บข้อมูลทุกครั้งที่เป็นไปได้ และบังคับใช้ข้อกำหนดการถ่ายโอนที่ปลอดภัยเพื่อปกป้องข้อมูลที่อยู่ระหว่างทาง

ด้วยการกระชับรากฐานเหล่านี้ให้แน่นขึ้น การควบคุมและการรักษาความระมัดระวังอย่างต่อเนื่อง องค์กรสามารถลดความเสี่ยงได้อย่างมาก และปกป้องข้อมูลระบบคลาวด์ที่สำคัญจากการถูกบุกรุกได้ดีขึ้น