Jak (nie) założyć w chmurze cyfrowego cmentarza dla cyberprzestępców

Wait 5 sec.

“Wystaw to na chwilę, sprawdzimy czy działa, potem się wyłączy” — coś takiego powiedziało wielu deweloperów. Problem w tym, że “potem” czasem nigdy nie nadchodzi. To zjawisko – niekontrolowany wzrost liczby porzuconych maszyn wirtualnych – określamy jako “VM sprawl”. Czy można mu zaradzić?Łatwo dziś o tani serwer, czyli prawdziwy powód VM sprawlDostawcy chmury, tacy jak AWS, Microsoft Azure czy GCP, odnieśli gigantyczny sukces, bo uprościli operacje IT do granic możliwości (choć wszyscy wiemy, że UX mógłby być tu i tam lepszy ;). Postawienie nowej maszyny wirtualnej (VM) zajmuje dziś mniej czasu niż zaparzenie dobrej kawy. Niestety ma to pewne wady.Zespoły deweloperskie i testerskie codziennie spinują nowe VM na potrzeby krótkich projektów, testów obciążeniowych czy testowy deployów. Problem polega na tym, że po zakończeniu prac nikt tych maszyn nie sprząta. Zamiast czystej architektury powstaje cyfrowy cmentarz — sieć maszyn-widm, które:Wypadają z radarów systemów monitoringu i przestają być uwzględniane w cyklach aktualizacji (brak patchowania).Są pomijane przy audytach uprawnień, zachowując szerokie dostępy do innych podsieci albo przechowując dane, których przechowywać nie powinny.Zostają całkowicie zapomniane przez ludzi, którzy je stworzyli.Dla cyberprzestępcy taka porzucona i niezałatana maszyna wirtualna to absolutny Święty Graal. Nikt na nią nie patrzy więc atakujący może przejąć nad nią kontrolę bez wywoływania alertów, a następnie przeprowadzić tzw. lateral movement. Stamtąd droga do wrażliwych baz danych czy lokalnej sieci firmowej stoi już otworem. Złożoność to dziś największy wróg cyberbezpieczeństwa. Ryzyko najczęściej rozwija się na ‘stykach’ infrastruktury – tam, gdzie kończy się odpowiedzialność jednego podmiotu, a zaczyna drugiego. Wiele naruszeń danych w chmurze nie jest efektem wyrafinowanych exploitów typu zero-day, ale wynika z prozaicznych błędów w higienie bezpieczeństwa i przeoczeń w zarządzaniu skomplikowanymi, wielochmurowymi środowiskami – mówi Kamil Sadkowski, analityk laboratorium antywirusowego ESET. I teraz najważniejsze: zaledwie 23% organizacji posiada pełną widoczność tego, co naprawdę dzieje się w ich chmurowej strukturze.Powyższa ilustracja została syntetycznie wygenerowana z wykorzystaniem sieci neuronowej podczas procesu inferencji modelu generatywnego typu text-to-imageZjawisko „VM sprawl” przestało być wyłącznie problemem marnowania budżetu. W dobie ostrych napięć politycznych i wojen hybrydowych zapomniane maszyny wirtualne to jeden z celów dla zaawansowanych grup APT (Advanced Persistent Threats) powiązanych z rządami państw autorytarnych. Dla obcego wywiadu porzucona instancja w chmurze zachodniej firmy produkcyjnej, energetycznej czy technologicznej to idealny punkt obserwacyjny. Taki przejęty serwer pozwala napastnikom ukryć złośliwy ruch sieciowy wewnątrz w pełni legalnych, opłacanych przez firmę subskrypcji chmurowych. Wykrycie anomalii graniczy wtedy z cudem. VMka może służyć do długofalowego szpiegostwa gospodarczego, powolnego wyprowadzania własności intelektualnej lub – w najgorszym scenariuszu – jako punkt wyjścia do skoordynowanego ataku paraliżującego infrastrukturę krytyczną.5 milionów dolarów kary za święty spokójGdy dochodzi do włamania, płacz i panika w dziale IT są zazwyczaj proporcjonalne do wielkości wycieku danych. Według niezależnych raportów rynkowych rygorystycznie analizujących incydenty bezpieczeństwa, średni koszt naruszenia danych w chmurze publicznej bije na głowę wszystkie inne środowiska i wynosi od 4,68 mln do nawet 5,17 mln dolarów.Napastnicy rzadko kiedy muszą “włamywać się” za pomocą wyrafinowanych podatności w samej architekturze chmury. W większości przypadków legalnie się logują. Najpopularniejsze wektory ataków to typowa niedbałość o tzw. “higienę cyfrową” i zarządzanie tożsamościami: wycieki kluczy API na publiczne repozytoria GitHub, brak dwuskładnikowego uwierzytelniania (MFA) dla kont technicznych czy osierocone uprawnienia przypisane do maszyn, o których istnieniu szef IT dawno zapomniał.Jak to ogarnąć?Można robić arkusz w Excelu i modlić się o to, aby nikt nie zapomniał tam niczego wpisać. Ale można też zmienić taktykę na automatyzację i monitoring zasobów. W tym celu firma ESET wprowadza na rynek dedykowany moduł ESET Cloud Workload Protection (ECWP), zintegrowany bezpośrednio z dobrze znaną administratorom platformą ESET PROTECT. Cel jest prosty: likwidacja ślepych punktów w infrastrukturze wielochmurowej i przywrócenie kontroli nad rozproszonym środowiskiem z poziomu jednej, centralnej konsoli.Narzędzie przeprowadza ciągłą inwentaryzację chmury. Natychmiastowo wykrywa każdą nową uruchomioną lub porzuconą instancję maszyny wirtualnej w AWS i Azure, co ucina problem “VM sprawl”. Do tego dochodzi ochrona runtime (aktywne monitorowanie procesów zachodzących wewnątrz systemów operacyjnych) oraz zarządzanie podatnościami (Vulnerability Management) czyli skanowanie maszyn pod kątem luk w oprogramowaniu i wskazywanie administratorom, które dziury trzeba załatać w pierwszej kolejności.I tu jest miejsce na AI!Przy dzisiejszej skali operacji chmurowych, ręczne analizowanie logów przez działy SOC (Security Operations Center) przypomina szukanie igły w stogu siana. Dlatego nowości technologiczne wprowadzone przez ESET w platformie ESET PROTECT opierają się na zaawansowanych modelach AI.Algorytmy na bieżąco analizują zachowanie maszyn wirtualnych oraz przypisanych do nich tożsamości chmurowych. Jeśli zapomniana, uśpiona od pół roku maszyna wirtualna nagle ożywa i zaczyna masowo odpytywać produkcyjne bazy danych albo nawiązuje nietypowe połączenia z zewnętrznymi serwerami, model natychmiast wychwytuje tę anomalię. System potrafi automatycznie odizolować zagrożony zasób i zablokować ruch boczny napastnika, zanim ten zdąży wyciągnąć kluczowe dane firmy i doprowadzić do katastrofy finansowej.Ten artykuł jest sponsorowany, co oznacza że za jego publikację otrzymaliśmy wynagrodzenie