Vulnerabilități și riscuri de securitate comune Cloud explicate

Vulnerabilitățile Cloud sunt puncte oarbe de securitate sau puncte de intrare care pot fi exploatate de actori rău intenționați.

Spre deosebire de mediile tradiționale, în care vulnerabilitățile pot fi găsite cel mai adesea la nivelul perimetrului (cum ar fi firewall-urile), vulnerabilitățile cloud pot proveni din mai multe spații, cum ar fi configurațiile greșite, controlul accesului, un model nedefinit de responsabilitate partajată, Shadow IT etc.

Un mediu cloud este interconectat în mod inerent cu mai mulți utilizatori, parteneri, aplicații și furnizori.

O suprafață de atac atât de largă înseamnă că activele cloud sunt expuse la amenințări care provin din deturnări de cont, persoane din interior rău intenționate, deturnări de cont, gestionarea deficitară a identității și a acreditărilor și API nesigure.

O diferență evidentă între amenințări și vulnerabilități constă în urgența acestora.

Dacă o vulnerabilitate reprezintă o slăbiciune care există în liman, așteptând să fie exploatată, atunci amenințarea este un eveniment rău intenționat sau negativ care se întâmplă de obicei în momentul prezent și care necesită o intervenție urgentă.

Apoi, vulnerabilitatea este cea care a expus pentru prima dată organizația la amenințările la adresa securității în cloud.

De exemplu, configurațiile greșite ale cloud-ului reprezintă o vulnerabilitate, care poate duce la controale de acces slabe, conducând în final la amenințarea unui atac cibernetic.

Pe scurt, vulnerabilitatea este o slăbiciune, iar amenințarea este acțiunea sau evenimentul potențial care ar putea exploata acea slăbiciune. Dacă cloud-ul ar fi o ușă încuiată, vulnerabilitatea ar fi o încuietoare cu un punct slab, iar amenințarea ar fi cineva care forțează ușa să se deschidă.

În esența lor, infrastructurile cloud sunt construite pe diferite straturi și componente; vulnerabilitățile pot exista la fiecare strat.

O consecință directă a setărilor incorecte sau prea permisive, configurările greșite fac un sistem mai puțin sigur decât ar trebui să fie. Acestea pot apărea în containerele bazate pe cloud (cum ar fi gălețile S3 configurate greșit), în firewall-uri sau în mașini virtuale fără patch-uri.

Printre exemplele de configurații greșite se numără accesul public la citire și scriere atunci când acesta ar trebui să fie privat, permisiuni învechite sau neacoperite sau chiar lipsa setărilor de criptare.

Configurațiile greșite se pot produce din cauza erorilor umane, a lipsei de cunoștințe sau a scripturilor de automatizare prost scrise și pot duce la pierderi sau scurgeri de date, la prejudicii de reputație în cazul unui atac și la nerespectarea standardelor de reglementare.

Acesta a fost cazul CapitalOne în 2019, când un firewall pentru aplicații web configurat greșit a permis accesul neautorizat la o găleată S3 care conținea date sensibile (inclusiv numere de asigurări sociale) despre peste 100 de milioane de clienți. CapitalOne a trebuit să plătească o penalizare de 80 de milioane de dolari, din cauza încălcării.

Prin definiție, mediile cloud se mișcă rapid, sunt descentralizate și adesea nu sunt controlate pe deplin de echipele de securitate, astfel încât apare o anumită lipsă de vizibilitate.

Acest lucru se poate întâmpla fie pentru că furnizorii oferă doar instrumente de bază pentru vizibilitate, o monitorizare mai profundă implicând un cost suplimentar, fie pentru că echipele din cadrul unei organizații sunt subdimensionate și nu dispun de competențele specifice cloud necesare pentru a monitoriza cu adevărat infrastructura.

Tendința organizațiilor de a prefera viteza în detrimentul securității este, de asemenea, un factor care contribuie la acest lucru.

Cu toate acestea, atunci când vizibilitatea este percepută ca un cost, nu ca un motor de valoare, adversarii pot pătrunde într-o infrastructură cloud și pot rămâne neobservați pentru o perioadă mai lungă de timp.

Cu atât de multe instrumente, tablouri de bord și jurnale în interiorul unei rețele cloud, este dificil să corelați și să obțineți informații utile despre ceea ce se întâmplă.

Gestionarea accesului definește ce utilizator sau aplicație poate accesa un activ cloud.

Aceasta implică gestionarea identităților digitale și controlul accesului la servicii, aplicații și date din cloud.

Trebuie să existe anumite limite și restricții, pentru a se asigura că informațiile sensibile nu ajung în mâini autorizate. Într-o lume în care preluarea conturilor afectează peste 77 de milioane de persoane numai în SUA, anumite practici devin esențiale:

• Implementarea MFA (Multi-Factor Authentication)
• Punerea în aplicare a principiului accesului cu privilegii minime (acordarea accesului numai dacă este necesar pentru îndeplinirea sarcinii)
• Utilizarea controlului accesului bazat pe roluri pentru a gestiona accesul în funcție de funcțiile profesionale

În caz contrar, organizațiile riscă încălcări ale securității datelor, nerespectarea reglementărilor și perturbări operaționale.

Atacatorii pot pătrunde într-un sistem prin intermediul unui cont deturnat și pot exploata politici de acces necorespunzătoare, pot trece la resurse sau sisteme de nivel superior; scopul este de a obține un control mai mare asupra sistemului și de a provoca daune semnificative.

În cadrul unei infrastructuri cloud, API poate permite diferitelor sisteme, servicii sau aplicații să interacționeze cu mediul cloud.

Ceea ce înseamnă că API-urile pot controla accesul la date, infrastructură și funcționalitate.

Un API nesigur poate însemna că nu necesită un utilizator sau un token valid pentru acces, că acordă mai mult acces decât este necesar sau că înregistrează date sensibile.

Dacă API-urile sunt configurate greșit sau expuse, atacatorii au acces la date (informații despre utilizatori, date financiare, dosare medicale), chiar și fără acreditări complete.

Acesta a fost cazul în 2021, când o vulnerabilitate în API Peloton apermis oricui să acceseze datele contului de utilizator, chiar și pentru profilurile private. Descoperit de Pen Test Partners, defectul a permis trecerea cererilor neautentificate, expunând detalii precum vârsta, sexul, locația, greutatea, statisticile de antrenament și zilele de naștere.

Accesul la o bază de date atât de complexă ar fi putut escalada în atacuri de tip doxxing, furt de identitate sau inginerie socială.

Shadow IT se referă la utilizarea de software, hardware sau alte sisteme IT în cadrul unei organizații fără știrea, aprobarea sau controlul departamentului IT sau de securitate.

Fie din comoditate, fie din răutate, angajații pot căuta alte instrumente decât cele furnizate oficial, introducând riscuri semnificative de securitate cibernetică în organizație.

Shadow IT în practică poate arăta astfel:

• Un angajat încarcă documente tehnice sensibile în spațiul personal de stocare în cloud.
• Cineva care utilizează instrumente neautorizate de acces de la distanță (cum ar fi AnyDesk) pentru a depana sisteme industriale sau pentru a accesa medii SCADA în infrastructuri critice.
• Efectuarea de apeluri video prin intermediul unor platforme neavizate (cum ar fi WhatsApp) în loc de standardul de întreprindere.

În infrastructurile critice sau în mediile de înaltă securitate, shadow IT poate crea puncte moarte periculoase - deschizând căi pentru scurgerea de date, introducerea de malware sau nerespectarea reglementărilor.

Persoanele din interior rău intenționate, neglijente sau compromise pot fi mai greu de detectat din cauza naturii de încredere a utilizatorului sau a sistemului implicat.

Daunele potențiale cauzate de aceste persoane pot duce la încălcări ale securității datelor, întreruperi ale serviciilor, încălcări ale reglementărilor și pierderi financiare.

O vulnerabilitate de tip zero-day este un defect de securitate necunoscut anterior, care nu are nicio soluție disponibilă la momentul descoperirii și care poate fi exploatat înainte ca vânzătorul să ia cunoștință de el.

În mediile cloud, aceasta include vulnerabilități în API-urile platformelor cloud, sistemele de orchestrare a containerelor, aplicațiile SaaS sau sarcinile de lucru găzduite în cloud.

Natura dinamică, interconectată și multi-tenant a cloud-ului permite defectelor să se răspândească rapid și să afecteze multe resurse, în timp ce utilizatorii nu au vizibilitatea necesară în infrastructură pentru o detectare rapidă.

În plus, aplicarea de patch-uri la sistemele cloud poate lua timp, crescând fereastra de expunere la Zero-Days.

Începând cu anul 2023, prevenirea configurării greșite a cloud-ului a fost o preocupare principală pentru mai mult de jumătate dintre companii, conform acestui raport, ceea ce demonstrează gravitatea posibilelor consecințe ale acestora.

Una dintre cele mai dăunătoare consecințe ale vulnerabilităților cloud este expunerea sau pierderea de date sensibile.

Organizațiile se bazează adesea pe soluții de stocare în cloud pentru a-și păstra înregistrările clienților, informațiile de proprietate sau datele operaționale.

Astfel, o încălcare poate însemna furtul de identități personale, informații financiare, proprietate intelectuală sau chiar secrete comerciale.

Dincolo de efectele imediate, astfel de incidente pot duce, de asemenea, la deteriorarea reputației pe termen lung și la o pierdere a încrederii clienților.

Persoanele afectate pot renunța la servicii, iar partenerii pot reconsidera relațiile de afaceri.

Chiar dacă încălcarea este soluționată rapid, costurile de investigare, remediere, notificare a clienților și potențiale procese se pot ridica la milioane de dolari, fără a include costurile de oportunitate ale pierderii de productivitate și ale erodării mărcii.

Majoritatea industriilor sunt guvernate de cadre stricte de conformitate - cum ar fi GDPR, HIPAA, PCI DSS sau CCPA - care decid cum trebuie stocate, accesate și protejate datele.

Atunci când vulnerabilitățile conduc la acces neautorizat sau la un control inadecvat asupra datelor sensibile, companiile riscă să fie găsite în stare de încălcare a acestor legi. Autoritățile de reglementare pot impune amenzi substanțiale, pot iniția proceduri judiciare sau pot aplica restricții operaționale.

De exemplu, în jurisdicții precum Uniunea Europeană, sancțiunile prevăzute de GDPR pot ajunge până la 4% din veniturile anuale globale, transformând chiar și un singur incident într-un eveniment cu miză mare.

Vulnerabilitățile Cloud există de suficient timp pentru ca organizațiile să poată dezvolta metodologii întregi menite să reducă riscurile de vulnerabilitate.

Infrastructurile Cloud sunt extrem de dinamice, pe măsură ce noi servicii sunt implementate și integrări sunt adăugate în mod regulat.

Fiecare dintre aceste schimbări introduce potențialul de configurare greșită sau de expunere, făcând din evaluarea vulnerabilității o sarcină continuă.

Chiar și atunci când organizațiile identifică vulnerabilitățile și încep să aplice patch-uri, este posibil ca unele sisteme să nu funcționeze corect cu versiunile actualizate.

În astfel de cazuri, anumite vulnerabilități trebuie să rămână pentru continuitatea operațională, ceea ce face esențială gestionarea acestora.

Echipele de securitate au nevoie de o abordare structurată pentru a documenta aceste excepții, a evalua riscurile asociate și a aplica strategii de control adecvate, cum ar fi izolarea vulnerabilității de rețea.

CSPM implică scanarea infrastructurii pentru a depista neconfigurări greșite, încălcări ale politicilor și controale de acces prea permisive.

Mai degrabă decât să se concentreze asupra defectelor software, CSPM abordează riscurile arhitecturale și de configurare (găleți S3 configurate greșit, stocare necriptată sau transferuri IAM) care pot duce la expunerea datelor sau la nerespectarea conformității.

CSPM oferă vizibilitate în timp real în mediile cloud, verificări automate în raport cu cadrele de conformitate (cum ar fi CIS, PCI sau GDPR) și alerte privind configurațiile greșite.

Platformele CNAPP îmbunătățesc securitatea cloud unifică mai multe straturi de protecție, combinând Cloud Security Posture Management Cloud Workload Protection Platforms (CWPP) și managementul vulnerabilității într-un singur cadru.

Acestea oferă o perspectivă mai profundă asupra ciclului de viață al aplicației, de la configurarea infrastructurii la comportamentul volumului de lucru și amenințările în timpul rulării.

CNAPPs se pot integra cu alte instrumente de securitate prin încorporarea detecției bazate pe gazdă, a monitorizării comportamentale și a scanării vulnerabilităților direct în mașini virtuale, containere și medii fără server.

În mediile on-prem, vulnerabilitățile ar apărea cel mai probabil la nivelul perimetrului; granița dintre rețeaua internă securizată a organizației și rețeaua externă, adesea nesigură.

Lacunele de securitate on-prem pot însemna software învechit, servere prost configurate, defecțiuni hardware și chiar breșe de securitate fizică.

Cu toate acestea, în mediile cloud, firewall-urile și rețelele nu mai formează un perimetru stabil, deoarece identitatea devine prima și cea mai critică graniță de securitate.

Chiar dacă principiile fundamentale de securitate rămân relevante, cloud-ul introduce noi dinamici, în special în ceea ce privește responsabilitatea, vizibilitatea și volatilitatea activelor.

Mediile Cloud sunt expuse mai ales amenințărilor dinamice, API, spre deosebire de mediile on-prem, unde pericolul constă în riscuri bine înțelese, cum ar fi accesul fizic neautorizat, atacurile din interior sau breșele perimetrale.

Principalele diferențe includ prevalența configurărilor greșite ca principală cauză a breșelor, prezența resurselor cu durată scurtă de viață (containere, funcții fără server), care adesea se sustrag instrumentelor tradiționale de scanare și atacurile bazate pe identitate care devin tot mai frecvente și preferate de atacatori.

În plus, responsabilitățile de securitate se schimbă și în cloud, mai ales datorită modelului de responsabilitate partajată discutat anterior.

În acest cadru, organizațiile sunt responsabile de securizarea datelor, a aplicațiilor, a configurațiilor și a identităților, inclusiv a întregii logici legate de gestionarea fișierelor:

• Validarea și igienizarea fișierelor încărcate.
• Configurarea permisiunilor de acces la nivel de obiect sau găleată.
• Criptarea datelor în tranzit și în repaus.
• Implementarea monitorizării și detectării amenințărilor pe interacțiunile de stocare în cloud.

În cele din urmă, pentru a ține pasul cu viteza și complexitatea cloud-ului, liderii de securitate trebuie să înțeleagă atât limbajul, cât și natura evolutivă a amenințărilor.

Un vocabular comun între echipele DevOps, de securitate și de conducere este fundamental pentru o apărare coordonată, iar toți membrii echipei ar trebui să se alinieze în jurul unor termeni cheie din industrie, cum ar fi: