TOP-10 атак на облачные системы16.12.2024 15:45

В последние годы облачные технологии активно используются для решения различных ИТ‑шных задач. Однако, облака вызывают интерес также и злоумышленников, и в этой статье я предлагаю рассмотреть TOP-10 атак на облачные системы.

Нестареющая классика DoS

Облачные сервисы должны быть доступны по сети, так как иначе ими нельзя будет воспользоваться в принципе. Так, для того чтобы отредактировать документ в облаке, нам необходимо сначала с помощью браузера к нему подключиться.

Атака типа «отказ в обслуживании» (DoS) — это тип кибератаки, при которой сетевой ресурс — в нашем случае облачный сервис — становится недоступным для предполагаемых пользователей. Распределенные DDoS‑атаки обычно связаны с загрузкой облачной службы или сетевого канала большим объемом трафика, что может привести к ее недоступности для легальных пользователей. Типичный пример DDoS на облачный сервис — это затопление канала связи паразитным трафиком, не позволяющим пробиться легальным пакетам.

Защита от DDoS‑атак, направленных на облачные приложения, может быть особенно сложной, поскольку масштаб и сложность облачных сред могут затруднить идентификацию и предотвращение атаки. Здесь лучшим средством является использование специализированных сервисов, позволяющих осуществлять фильтрацию DDoS пакетов в трафике.

009975835ead1e5922d8e170f4312019.png

Взлом учетной записи

Еще один очень распространенный тип атак. Под взломом учетной записи в облаке понимается несанкционированный доступ злоумышленника к аккаунту пользователя облачного приложения. В результате он может похитить те данные, которые обрабатываются в облаке, или же использовать вычислительные ресурсы в своих целях. При этом оплачивать использование этих ресурсов придется легальному пользователю, чей аккаунт собственно и украли.

Проблема заключается в том, что часто для доступа к облачным сервисам используются личные устройства, на которых по определению ниже общий уровень защиты, отсутствуют антивирусы и т. д. В результате вредоносы, поселившиеся на этих устройствах, могут без труда перехватить учетные данные от облачных ресурсов.

Лучшей защитой здесь будет использование двухфакторной аутентификации, когда помимо пароля пользователю также необходимо ввести одноразовый код или использовать другой дополнительный фактор.

Неправильная настройка системы безопасности

Любую, даже самую надежную систему, можно настроить неправильно. Это практически аксиома. Под неправильной конфигурацией системы безопасности мы будем понимать некорректную настройку ресурсов и инфраструктуры облачных вычислений для защиты от киберугроз. Это может быть, к примеру, неправильная настройка контроля доступа, политик защиты систем и приложений, а также неспособность регулярно обновлять приложения.

Здесь хорошим средством проверки корректности настроек является проведение пентеста. Белый хакер должен попытаться взломать облачное приложение и получить в нем привилегированный доступ. При этом необходимо, чтобы пентестер отработал и отразил в своем отчете как можно больше возможных векторов атак, тем самым указав на найденные в процессе проверки уязвимости и ошибки конфигурации.

faeabee35c74f8c874e660ebec3dad54.png

Компрометация учетной записи пользователя с помощью социальной инженерии

Помимо взлома учетной записи пользователя, о котором мы уже говорили, возможна также ситуация, когда злоумышленник получит доступ к аккаунту пользователя обманным путем — например, заманив его на фишинговый сайт. Это отличается от взлома учетной записи, при котором злоумышленник получает несанкционированный доступ к учетной записи с помощью таких средств, как взлом пароля или использование уязвимостей в облачной инфраструктуре.

6afaa481315360c14c689b40c607db53.png

Однако, для защиты от таких атак также необходимо использовать двухфакторную аутентификацию. Также неплохо было бы проинструктировать пользователей на предмет опасности фишинговых ресурсов.

Облачные вредоносы

Атаки с использованием облачных вредоносных программ — это тип кибератаки, который включает внедрение вредоносного программного обеспечения, такого как вирусы или программы‑вымогатели, в ресурсы или инфраструктуру облачных вычислений. Это также, как и в предыдущих случаях может позволить злоумышленнику скомпрометировать уязвимые ресурсы и украсть данные, а также использовать ресурсы в своих собственных целях.

Существует несколько способов, с помощью которых злоумышленники могут внедрить вредоносное ПО в облачные ресурсы. Прежде всего, они могут использовать уязвимости в облачной инфраструктуре или приложениях, работающих в облаке.

Также злоумышленник может добавить вредоносный сервисный модуль в систему, работающую по модели приложение как сервис (SaaS) или платформа как сервис (PaaS) или зараженную виртуальную машину в систему IaaS и перенаправить на нее пользовательский трафик.

И не стоит сбрасывать со счетов все то же получение несанкционированного доступа к облачным учетным записям и внедрение вредоносного ПО с использованием зараженных вредоносами файлов или ссылок.

Для выявления вредоносных компонентов в облачной среде можно воспользоваться различными сканерами защищенности, а также специализированными антивирусными решениями.

Инсайдеры

Специалисты, обслуживающие облачную инфраструктуру также могут представлять опасность для вашего облачного приложения. Они имеют законный доступ к облачным ресурсам, но могут злоупотреблять им в своих собственных целях, в интересах третьих лиц или же могут случайно подвергнуть ресурсы риску в результате своих неосторожных действий.

Здесь многое определяется репутацией облачного провайдера, так как в крупных организациях имеются системы мониторинга событий ИБ (SIEM), позволяющие своевременно обнаружить подозрительные активности сотрудников.

Атаки по сторонним каналам

Облачная инфраструктура имеет аппаратную реализацию: серверы, каналы связи, СХД и т. д. Атаки на эти элементы инфраструктуры предполагает использование информации, которая просачивается через физическую реализацию системы, а не через ее логические интерфейсы. Эта информация может включать подробные сведения о том, как реализована система, или о данных, обрабатываемых системой.

В облачной среде злоумышленники могут осуществлять атаки по сторонним каналам, например, разместив вредоносную виртуальную машину на легальном физическом хосте, используемом облачным клиентом. Это дает злоумышленнику доступ ко всей конфиденциальной информации на компьютере‑жертве.

Отравление cookie

Файлы cookie используются для хранения информации о предпочтениях пользователя и истории посещенных страниц, а также часто используются для персонализации взаимодействия с пользователем или отслеживания его активности.

Злоумышленники могут перехватить файлы cookie до того, как они вернутся на сервер, чтобы извлечь из них информацию или изменить ее. В SaaS и других облачных приложениях куки часто содержат учетные данные, поэтому злоумышленники могут использовать их для доступа к приложениям. В результате они могут получить доступ к вашей сессии на облачном ресурсе, не зная пароля.

Небезопасные API

Интерфейсы API могут содержать уязвимости, которые помогут злоумышленникам получить доступ к системам или данным для нарушения работы API. Примерами здесь могут служить теневые API — то есть те API, которые не задокументированы или не авторизованы надлежащим образом и могут быть неизвестны организации, обслуживающей эту облачную систему. При этом, они могут предоставлять конфиденциальные данные или функциональные возможности неавторизованным лицам.

Также, параметры легальных API могут быть уязвимы для инъекционных атак, если то, что им передается пользователями, не будет должным образом проверено и обработано.

823f161f4959d10eb6a0f85d3243d38a.png

Облачный криптомайнинг

Атака облачного криптомайнинга — это тип кибератаки, при которой злоумышленники используют ресурсы облачных вычислений для майнинга без ведома или согласия поставщика облачных услуг или владельца ресурсов.

При атаке облачного майнинга злоумышленники используют украденные или скомпрометированные учетные данные для доступа к ресурсам облачных вычислений, таким как виртуальные машины или контейнеры, и их эксплуатации с целью добычи криптовалюты. Они также могут использовать вредоносное ПО или другие методы для получения несанкционированного доступа к облачным ресурсам.

Здесь механизмы защиты будут те же, что и при взломе учетных записей и эксплуатации уязвимостей. Отличие заключается в том, что атакующему нужны именно вычислительные ресурсы, а не информация пользователя.

Заключение

В этой небольшой статье мы рассмотрели наиболее распространенные атаки на облачные приложения. Этими атаками список угроз, конечно, не исчерпывается, но именно на этот TOP-10 необходимо обратить основное внимание при защите облачных сред.

В завершение рекомендую открытые уроки по по кибербезопасности облачных сред, которые в ближайшее время пройдут в Otus:

  • 16 декабря: «Конвейер Ci/Cd и обзор средств его защиты». Рассмотрим место конвейера в DevOps, доставку ПО в облаке, программные средства организации конвейеров, а также методы обеспечения безопасности конвейеров. Записаться.

  • 23 декабря: «Обзор инструментов IAM, PAM и управления доступом». Изучим методы этих интеграции инструментов с другими системами ИБ и инфраструктурой организации, обсудим лучшие практики по управлению доступом и обеспечению ИБ. Записаться.

© Habrahabr.ru