Wyzwania cyberbezpieczeństwa w roku 2020 według SOPHOS – część IV: Ochrona chmury – małe zaniedbania prowadzą do dużych niebezpieczeństw
Obecny okres sprzyja pracy zdalnej oraz owocuje w większą niż zazwyczaj ilość wolnego czasu po pracy, ze względu na przymusowe zamknięcie niemal wszystkich placówek rozrywkowych i sklepów innych niż spożywcze.
Zapraszam w takim razie na kolejną część raportu SOPHOS, opisującego wyzwania stojące przed administratorami IT w roku 2020. W dzisiejszym odcinku zajmiemy się kwestiami bezpieczeństwa chmury i danych w niej przechowywanych.
Poprzednie części można znaleźć tutaj, tutaj i tutaj.
W ostatniej dekadzie chmura stała się bardzo popularną platformą do przechowywania i przetwarzania dużych ilości danych. Niestety, wraz z rozwojem tej technologii firmy odkryły, że przekazanie wszystkich ich najcenniejszych informacji do zwirtualizowanego magazynu danych może doprowadzić lub już doprowadziło do nieumyślnego, często niekontrolowanego naruszenia tych danych, na gigantyczną i niespotykaną wcześniej skalę.
Misją firmy Sophos od zawsze była ochrona użytkowników przed atakami intruzów nastawionych miedzy innymi na zyski finansowe lub szpiegostwo. Ochrona danych przechowywanych w chmurze wymaga jednak zupełnie innego zestawu narzędzi, ponieważ model zagrożenia różni się znacznie od zagrożeń, które mogą dotknąć stacje robocze lub serwery.
To, co sprawia, że chmura jest świetną platformą do obliczeń i operacji biznesowych, stwarza również pole do potencjalnych naruszeń bezpieczeństwa. Tempo zmian zachodzących w platformach przetwarzania w chmurze jest coraz szybsze, przez co zapanowanie nad wszystkimi ustawieniami i poprawną konfiguracją takiej chmury staje się coraz trudniejsze.
Największym problemem jest chmura sama w sobie
Elastyczność to kluczowa zaleta w chmurowym przetwarzaniu danych. Przy bardzo małym wysiłku, właściwie przy pomocy kilku kliknięć można włączać i wyłączać zasoby – w zależności od aktualnego obciążenia i potrzeb. Ułatwia to firmom zwiększenie mocy obliczeniowej w celu dostosowania do potrzeb klientów.
Jeśli chodzi o zabezpieczanie chmury, cała ta elastyczność i łatwość, z jaką administrator centrum danych może udostępnić lub zmienić konfigurację całej infrastruktury, może obrócić się później przeciw niemu – jeden fałszywy krok może doprowadzić do przypadkowego otwarcia przez administratora całej bazy danych klientów na świat.
Ponadto, tempo zmian zachodzących w platformach przetwarzania w chmurze może samoistnie przyczyniać się do problemów, których administratorzy mogą nawet nie być świadomi. Gotowe narzędzia do zdalnego zarządzania i administracji, czasem nawet te dostarczane przez samych operatorów chmury, mogą zawierać luki w zabezpieczeniach, które mogą skutkować wyciekiem danych.
Pamiętajmy też o sytuacjach związanych pośrednio z bezpieczeństwem chmury, ale powiązanych dość ściśle z bezpieczeństwem na stacjach końcowych, szczególnie tych z uprawnieniami administracyjnymi. Jeśli komputer administratora zostanie zainfekowany złośliwym oprogramowaniem kradnącym dane uwierzytelniające, jest możliwe, że poświadczenia administracyjne lub dane uwierzytelniające do konta w chmurze zostaną skradzione i wykorzystane do przeprowadzenia kolejnych ataków – tym razem przy użyciu chmurowego konta administracyjnego.
Przyczyną większości naruszeń bezpieczeństwa jest zła konfiguracja
Naukowcy Sophos Labs uważają, że przyczyną znaczącej większości naruszeń bezpieczeństwa i wycieków danych z chmury jest jej zła konfiguracja. Najczęściej błędy w konfiguracji nie wynikają ze złej woli administratora. Platformy chmurowe są skomplikowane same w sobie i bardzo często trudno jest zrozumieć i wyobrazić sobie negatywne konsekwencje wprowadzenia konkretnego ustawienia, na przykład w bardzo popularnej usłudze Amazon Simple Storage Service (S3). Dodatkowo, bardzo często jedno ustawienie wpływa na cały szereg innych kontenerów danych i administrator może nie mieć świadomości, że jedna opcja zmieniona w konkretnym kontenerze danych może spowodować upublicznienie danych na innych kontenerach – również przez niego zarządzanych.
Duże wycieki danych, spowodowane złą konfiguracją chmury stają się coraz częstsze i niestety – będą coraz częstsze. Naruszenia integralności danych dotykają firmy z różnych sektorów gospodarki, od Netflixa po firmę Ford. W obu tych przypadkach naruszenie danych polegało na udostępnieniu dużej ilości wewnętrznych danych firmy, zwanych jeziorami danych, na zewnątrz, przez co dostęp do tych danych miała dowolna osoba spoza organizacji. Pod koniec 2019 roku badacze bezpieczeństwa odkryli znajdujące się na serwerach Amazona duże ilości danych, należące do dostawcy rozwiązań do archiwizacji. Dane te należały do klientów tej firmy i w założeniu nie powinny ujrzeć światła dziennego. Stało się jednak zupełnie inaczej – kompletne kopie zapasowe kont utworzonych w usłudze One Drive były widoczne w sieci. Konta, do których dostęp mógł mieć każdy, zawierały poufne dane firmowe, wrażliwe dane z działów HR oraz inne dokumenty dotyczące pracowników. Na domiar złego, znajdowały się one na serwerach Amazona od 2014 roku. Do dnia dzisiejszego nie udało się ustalić, czy dostęp do tych danych miał ktoś poza osobami rzeczywiście do tego upoważnionymi.
Mając wgląd i świadomość konsekwencji pozornie nieszkodliwych zmian w konfiguracji usługi chmurowej, a także mając możliwość monitorowania samej chmury pod kątem złośliwych lub podejrzanych działań lepiej zabezpieczamy się przed utratą, czy narażeniem na wypłynięcie wrażliwych danych do informacji publicznej.
Brak widoczności wykonywanych działań dodatkowo zaciemnia obraz sytuacji
Niestety, wielu użytkowników platform przetwarzania danych w chmurze nie ma możliwości dokładnego monitorowania tego, co robią ich maszyny w serwerowni znajdującej się nawet kilkaset kilometrów dalej. Przestępcy bardzo dobrze o tym wiedzą i właśnie z tego powodu atakują platformy chmurowe – mogą działać w instancjach chmurowych przez dłuższy czas, zanim właściciele tych instancji zorientują się, że coś w ogóle jest nie tak.
Jednym z najbardziej jaskrawych przykładów zagrożenia opisanego powyżej jest użycie Magecart, złośliwego kodu JavaScript, którego napastnicy używali w ciągu ostatniego roku bardzo intensywnie do infekowania stron przenoszących użytkowników do koszyków sprzedawców internetowych za pomocą kodu uwierzytelniającego lub karty płatniczej. Mechanizm ataku wyglądał zazwyczaj następująco: osoby rozprzestrzeniające kod Magecart wykorzystywały błędne konfiguracje w instancjach przetwarzania w chmurze w celu zmodyfikowania kodu JavaScript odpowiadającego za obsługę koszyka na zakupy, a następnie przesyłali ten zmodyfikowany kod z powrotem do instancji przetwarzania w chmurze. W ten sposób atak był uwierzytelniony, ponieważ wszystko zdawało się pochodzić od zaufanego właściciela sklepu internetowego.
Atak z użyciem kodu Magecart dotyczył bardzo wielu znanych firm, między innymi Ticketmaster, Pacific Airways, czy British Airways. Co istotne, firmy zorientowały się, że złośliwy kod znajduje się na stronach płatności za ich usługi dopiero w momencie, gdy zaczęli zgłaszać się do nich klienci, którzy użyli swoich kart kredytowych i danych bankowych i zaobserwowali nieautoryzowane transakcje.
Hipotetyczny przykład naruszenia bezpieczeństwa danych w chmurze
Bezpieczeństwo instancji w chmurze może zostać naruszone na wiele sposobów i z wielu różnych powodów.
Niektórzy przestępcy próbują rozprzestrzeniać złośliwe koparki kryptowalut na duże platformy chmurowe, pomimo malejącego zwrotu z inwestycji, jakie zapewniają takie programy – zasoby wymagane do kryptomingu nie należą do przestępcy:
W naszym hipotetycznym scenariuszu duża firma zatrudniająca kilkunastu programistów używa popularnej platformy zarządzania kodem źródłowym do przechowywania oprogramowania. Firma tworzy tylko jedno hasło do konta zarządzania całym kodem i udostępnia je wszystkim programistom.
Jeden z programistów używa komputera w domu, aby mógł pracować nad projektem biznesowym, ale nie zdaje sobie sprawy, że jego dziecko próbowało pobrać na ten sam komputer bezpłatną grę. Gra zawierała złośliwe oprogramowanie, a komputer jest od teraz zainfekowany oprogramowaniem kradnącym dane uwierzytelniające. Złośliwe oprogramowanie regularnie zbiera wszelkiego typu dane, wpisywane z klawiatury komputera, wysyłając je z do serwera przestępcy. Ten, obsługując i sprawdzając regularnie informacje od bota rozpoznaje w pewnym momencie dane do platformy zarządzania kodem źródłowym, a następnie loguje się jako administrator tego rozwiązania.
Korzystając z uprawnień administracyjnych i wykorzystując wykradzione dane uwierzytelniające, cyberprzestępca atakuje i infekuje kolejne komputery w sieci lokalnej, a wykorzystując otwarte API chmury – wysyła i instaluje oprogramowanie do kopania kryptowalut na komputerach współpracowników i obciąża bardzo mocno ich komputery, robiąc to przez kilka, maksymalnie kilkanaście dni.
Aby dopełnić obrazu nieszczęścia, pracownicy odkrywają problem pod koniec miesiąca, w momencie gdy platforma przetwarzania w chmurze informuje, że korzystają ze znacznie większej ilości zasobów niż dotychczas i muszą zapłacić za chmurę znacznie więcej niż do tej pory. Przestępca, orientując, się, że komputery są już spalone, inwestuje zarobione do tej pory pieniądze w zakup infrastruktury, bardziej wydajne kopanie i poszukiwanie nowych ofiar. W ten sposób cykl się zamyka i trwa nieprzerwanie.
Bezpieczeństwo chmury, operacji w niej wykonywanych i danych w niej umieszczonych staje się coraz ważniejsze – należy dbać o prawidłową konfigurację ustawień rozwiązań chmurowych tak samo, jak o bezpieczeństwo stacji roboczych na końcu sieci. Jak widać, nie zawsze domyślne ustawienia dostawcy chmury zapewniają wystarczające bezpieczeństwo, a chmura będzie coraz popularniejszym sposobem na przechowywanie danych, szczególnie teraz, w dobie pracy zdalnej.
Wychodząc naprzeciw oczekiwaniom użytkowników chmurowych SOPHOS ma w ofercie nowy produkt – Sophos Cloud Optics – narzędzie umożliwiające skanowanie ruchu wewnątrz chmury, stosowanie wybranych schematów administracyjnych i reagowanie na zagrożenia pojawiające się w chmurze. Po więcej szczegółów zapraszamy pod adresem: https://sophos.com.pl lub na naszą stronę internetową https://suncapital.pl
źródło: opracowanie własne oraz Sophos Threat Report 2020: https://www.sophos.com/en-us/medialibrary/PDFs/technical-papers/sophoslabs-uncut-2020-threat-report.pdf