Uma pesquisa recente do grupo Lightspin compilou uma lista dos 7 principais caminhos de ataque à nuvem de 2022 na AWS, Azure, GCP e Kubernetes, conforme visto na Lightspin Cloud Native Application Protection Platform. Os caminhos de ataque foram selecionados com base na frequência, criticidade e impacto. Estes caminhos de ataque são baseados na taxonomia de caminho de ataque na nuvem da Lightspin e estão vinculados ao MITRE ATT&CK Cloud Matrix for Enterprise. Confira este relatório do GitHub que inclui os TTPs MITRE ATT&CK aplicáveis com formatação em .xls, .json e .svg vendidos no MITRE ATT&CK Navigator para facilitar referência e utilidade na reprodução, exercícios de mesa, modelagem de ameaças, etc.

1 – Carga de trabalho pública explorável

Definição

Esse caminho de ataque detalha a capacidade de um invasor explorar vulnerabilidades em uma carga de trabalho pública e obter pontos de apoio iniciais no ambiente de nuvem. A vulnerabilidade pode ser bem conhecida ou de zero-day. Em ambos os casos, se não mitigado, esse tipo de acesso inicial ao ambiente de nuvem pode aumentar o risco do vetor de ataque. Uma das implicações mais comuns desse tipo de método de ataque é aproveitar isso para executar mineradores de criptografia ou ataques de ransomware. Em outros casos, técnicas avançadas são usadas para dinamizar o ambiente usando credenciais de nuvem anexadas ou armazenadas para obter acesso a dados ou realizar escalonamento de privilégios no ambiente de nuvem.

Descrição

Cargas de trabalho públicas referem-se a qualquer carga de trabalho acessível a um invasor externo devido à configuração de rede dos ativos de nuvem. O ativo explorável pode ser vulnerável a diferentes categorias de vulnerabilidade, como configurações incorretas, CVEs conhecidos, vulnerabilidades de aplicativos e muito mais. Usando a combinação de ambos, um invasor pode obter acesso, controlar ou aproveitar com sucesso o ativo de nuvem para promover seu ataque. Como nesse caminho de ataque o ativo comprometido pode levar à persistência, acesso a dados ou escalonamento de privilégios no ambiente de nuvem, o invasor pode aproveitá-lo e até mesmo assumir o controle de todo o ambiente.

Impacto nos negócios

Uma carga de trabalho pública explorável que leva ao caminho de ataque de escalonamento de privilégios pode impor os seguintes impactos:

• Acesso a dados sensíveis. Depois de comprometer o ativo na nuvem, o invasor pode aproveitar suas permissões excessivamente permissivas para acessar dados confidenciais armazenados no ambiente da nuvem.

• Danos à reputação. Os clientes querem saber se seus dados estão armazenados de maneira segura e, portanto, também esperam que a empresa siga os regulamentos e use as melhores práticas em suas avaliações de segurança. As violações de dados e o tempo de inatividade temporário podem indicar que essas práticas não são seguidas, o que leva os clientes a serem céticos ou a ter menos confiança em determinadas marcas ou organizações para manter ou armazenar seus dados.

• Danos financeiros. A recuperação de ataques na nuvem pode ser cara. Muitas vezes, esses ataques exigem a reabilitação do ambiente danificado, que pode custar mais do que o esperado, além de compensar os clientes afetados pelos ataques ou violações. É importante observar que alguns malwares também podem causar danos financeiros diretos. Malwares como mineração de criptomoedas podem gerar cobranças extras e, muitas vezes, esses riscos passam despercebidos.

Recomendações

Para fortalecer o ambiente de nuvem, a segurança deve ocorrer em todos os pontos do caminho de ataque.

• Rede – Limite o acesso à rede o máximo possível. Use restrições de IP para intervalos CIDR especificamente designados e abra acesso a portas selecionadas em vez de intervalos amplos. Sempre que possível, configure os ativos da nuvem como privados e não públicos.

• Vulnerabilidades – verifique todas as cargas de trabalho regularmente para detectar vulnerabilidades conhecidas e corrigi-las por meio da correção sugerida. Recomenda-se realizar uma avaliação de segurança dedicada ao ambiente de nuvem da organização para garantir também a descoberta de riscos desconhecidos.

• Identidade – Siga o princípio de privilégios mínimos e forneça as permissões mínimas necessárias para as cargas de trabalho que lhes permitem executar a tarefa designada.

2 – Carga de trabalho privada com permissões de administrador

Definição

Este caminho de ataque detalha a existência de uma carga de trabalho configurada de forma privada com permissões de administrador no ambiente de nuvem. Muitas vezes, essas cargas de trabalho são acessíveis usando ferramentas de CI/CD para processos de criação e implantação que são acessíveis à maioria dos engenheiros da organização. Esse caminho permite que qualquer pessoa com acesso à carga de trabalho aproveite as permissões e se torne o administrador do ambiente.

Descrição

Só porque a carga de trabalho foi configurada como privada, não significa que seja segura. Esse caminho de ataque enfatiza o potencial de riscos internos. O acesso a uma carga de trabalho privada possibilita que um invasor que já tenha uma presença inicial no ambiente de nuvem ou que funcionários autorizados se tornem administradores no ambiente de nuvem, o que não é necessariamente a função desejada (tanto para o invasor), mas também para o empregado. As cargas de trabalho geralmente são criadas para executar vários trabalhos ou tarefas, com diferentes padrões de acesso e complexidades de autenticação, exigindo diferentes permissões para vários serviços. Essa complexidade cria desafios no gerenciamento do acesso a serviços e recursos específicos, levando a práticas de segurança ruins, como a concessão de permissões excessivas.

Impacto nos negócios

Uma carga de trabalho privada comprometida com caminho de ataque de permissões de administrador pode levar aos seguintes impactos:

• Aquisição e controle de todo o ambiente de nuvem. Por meio desse caminho de ataque, um usuário pode obter controle total de todo o ambiente de nuvem e executar todas e quaisquer ações que desejar.

• Acesso a dados sensíveis. Depois de comprometer o ativo na nuvem, o invasor pode aproveitar suas permissões excessivamente permissivas para acessar dados confidenciais armazenados no ambiente da nuvem.

Recomendações

A melhor prática para garantir que esse caminho de ataque possa ser evitado proativamente é verificar se apenas o indivíduo real e necessário tem acesso de administrador ao ambiente de nuvem. Essas permissões devem ser concedidas com moderação. Siga o princípio de privilégios mínimos e forneça as permissões mínimas necessárias para as cargas de trabalho que lhes permitem realizar a tarefa designada.

3 – credenciais de nuvem de texto simples descobertas na carga de trabalho

Definição

Esse caminho de ataque detalha a existência de credenciais de nuvem de texto simples, como chaves de acesso do IAM em uma carga de trabalho na nuvem. As credenciais podem ser encontradas dentro da carga de trabalho em execução, em seu código ou em sua configuração, como variáveis de ambiente.

Descrição

As permissões geralmente são necessárias para fornecer um acesso de ativo de nuvem a outros serviços de nuvem para operar. Por exemplo, um caso de uso conhecido é quando um EC2 precisa de acesso a um bucket do S3 para armazenar ou recuperar dados dele. A maneira recomendada de conceder esse acesso à carga de trabalho é anexando-a a uma identidade com as permissões necessárias. Esse caminho de ataque descobre a maneira arriscada de aplicar esse acesso onde as credenciais de identidade são armazenadas diretamente na carga de trabalho da nuvem. As credenciais de texto simples podem ser armazenadas nas variáveis de ambiente do ativo, que é um par chave/valor usado para descrever o ambiente no qual o aplicativo está sendo executado ou no próprio código.

Impacto nos negócios

Credenciais e segredos geralmente são os ativos mais protegidos em todas as empresas e as empresas investem muito para garantir que sejam armazenados com segurança. Quando as credenciais são armazenadas de maneira não segura, isso permite que um invasor aproveite e use-as para acessar outros recursos dentro do ambiente de nuvem, promovendo seu ataque.

Recomendações

Para proteger melhor contra o caminho de ataque em que as credenciais de nuvem de texto simples são descobertas em uma carga de trabalho, você deve:

• Examine regularmente a configuração e o código da carga de trabalho na nuvem para pesquisar credenciais e segredos de texto simples.

• A maioria dos incidentes de segurança são causados devido a erros humanos, portanto, garantir a educação e o treinamento contínuos para os funcionários é fundamental.

4 – Identidade com “má higiene”

Definição

Esse caminho de ataque detalha a “má higiene” de uma entidade, como usuário, função, grupo etc. Cada identidade deve ter controles de segurança e ser mantida adequadamente. Uma identidade negligenciada pode levar a uma violação não detectada que compromete essa identidade.

Descrição

É crucial manter um ambiente de segurança saudável e, embora essa não seja uma tarefa fácil, é importante prestar atenção às práticas recomendadas do IAM, pois geralmente é a primeira coisa que os invasores examinarão e tentarão explorar.

A “má higiene” vem de várias formas:

• Não usando MFA. A autenticação multifator (MFA) fornece uma camada de proteção adicional para usuários do IAM. Quando a MFA não está habilitada e a autenticação é feita apenas com um nome de usuário e senha, o ambiente pode ser facilmente comprometido por invasores quando eles obtêm acesso a essas credenciais.

• Políticas de senha fracas. Sem definir uma política de senha forte, os invasores podem facilmente adivinhar senhas usando técnicas conhecidas (ataques de dicionário, força bruta etc.) e obter acesso à identidade do usuário alvo para fazer login em seu ambiente de nuvem.

• Grupos vazios. Grupos são entidades agregadas geralmente criadas para usuários. No ambiente de nuvem, as permissões podem ser atribuídas ao próprio grupo e essas permissões também são concedidas a quaisquer usuários contidos no grupo. Novos usuários adicionados ao grupo também receberão as permissões existentes desse grupo. Portanto, ter um grupo sem usuários atribuídos impõe um risco ao ambiente, pois não há uso ativo para esse grupo.

• Identidades inativas. A atividade de identidades, como usuários ou funções, pode ser rastreada usando logs de auditoria e registros do último login. Essas identidades são consideradas identidades negligenciadas que podem representar um risco ao meio ambiente.

• Chaves de acesso não utilizadas. As chaves de acesso são credenciais de longo prazo para usuários do IAM. Essas chaves podem ser negligenciadas e supervisionadas, o que dá ao invasor a opção de evitar a detecção ao usar essas chaves para obter acesso ao ambiente.

Impacto nos negócios

A manutenção deficiente da integridade do ambiente de segurança pode levar a uma identidade com um caminho de ataque de higiene ruim. Isso pode comprometer a segurança de identidades específicas, como usuários ou funções em um ambiente de nuvem. Eles parecerão usuários legítimos no momento da violação, contornando qualquer detecção ou alarme que o sistema possa ter, tornando-o particularmente arriscado para as organizações.

Recomendações

Para prevenir proativamente esse tipo de caminho de ataque, as organizações devem:

• Ativar MFA. A MFA deve ser obrigatória para todos os usuários do IAM.

• Crie políticas de senha fortes. Garanta que as senhas do usuário do IAM não sejam comprometidas facilmente. Além da complexidade das políticas de senha padrão (comprimento, letras maiúsculas e minúsculas, caracteres numéricos e não alfanuméricos), os administradores também devem definir expirações de senha e definir as configurações para que as senhas expiradas exijam redefinições do administrador e evitem a reutilização de senha.

• Grupos vazios. Se houver grupos sem usuários, exclua o grupo.

• Identidades inativas. Monitore a atividade de identidades usando logs de auditoria e registros do último login. Caso haja uma identidade que pareça inativa por um período de tempo definido (conforme determinado pela organização), é recomendável excluir essa identidade.

• Certifique-se de que as chaves de acesso estejam atualizadas. Certifique-se de que não haja chaves de acesso não utilizadas ou expiradas. Também é recomendável alternar suas chaves de acesso a cada 90 dias.

5 – Acesso público não autenticado ao armazenamento de dados

Definição

Esse caminho de ataque detalha a existência de armazenamento hospedado em nuvem, bancos de dados ou outros armazenamentos de dados públicos. Quando não há autenticação, os invasores podem explorá-lo para ler e/ou gravar dados usando ferramentas comuns para comprometer a disponibilidade, integridade ou confidencialidade dos dados armazenados.

Descrição

Os serviços de armazenamento em nuvem e banco de dados são um fator chave em qualquer empresa, fora dos casos de uso específicos, a maioria dos aplicativos precisa de alguma forma de armazenamento. Esse armazenamento pode incluir PII (informações de identificação pessoal) ou segredos comerciais internos da empresa.

Se esses vários armazenamentos de dados em nuvem estiverem configurados incorretamente para serem acessíveis publicamente sem autenticação adicional, os invasores podem usar utilitários prontamente disponíveis para comprometer o armazenamento de dados e/ou os dados internos com alta probabilidade de realizar o ataque sem serem detectados.

Existem várias configurações de segurança principais nas quais os componentes de armazenamento são criados:

• Público/Privado. Ao discutir armazenamentos de dados em nuvem pública, a diferenciação entre público e privado refere-se tanto ao acesso à rede (por meio de um endpoint ou nome de host) quanto a controles de identidade adicionais, como permitir que usuários anônimos leiam e/ou gravem nos armazenamentos de dados. Ao criar um componente de armazenamento, o usuário pode escolher se o armazenamento será público ou privado. Essa configuração controla as configurações de acesso do armazenamento. Quando o acesso é público, isso significa que o armazenamento é aberto ao mundo e qualquer entidade pode acessá-lo sem restrições especiais.

• Criptografia. Os relatórios de resposta pós-incidente mostram que muitos componentes de armazenamento em nuvem não eram apenas públicos, mas também não criptografados. A criptografia nativa da nuvem normalmente requer permissões adicionais para usar as chaves de criptografia, o que pode impedir que os próprios dados sejam comprometidos em alguns casos.

•Autenticação. Alguns datastores de nuvem pública oferecem várias opções de configuração para autenticação do recurso. Na maioria das vezes, existem opções para nenhuma autenticação ou autenticação básica (nome de usuário e senha). Outros oferecem opções avançadas, como SAML, OIDC, Kerberos ou autenticação baseada em IAM nativa da nuvem. Os últimos métodos de autenticação são mais protegidos contra ataques externos do que os primeiros.

Impacto nos negócios

Um invasor com acesso ao armazenamento de dados pode expor dados confidenciais que permitirão que eles avancem em seu ataque. Os dados confidenciais baixados podem ser usados para diversos fins, como vendê-los on-line para qualquer entidade ou usá-los para extorquir a empresa. A exposição de dados confidenciais do cliente pode causar danos à reputação da empresa e afetar os clientes atuais e futuros.

Recomendações

Para proteger proativamente o ambiente de nuvem de um acesso público não autenticado ao caminho de ataque ao armazenamento de dados, a organização pode:

• Altere as configurações públicas. Se o ativo de armazenamento não for público ou contiver dados que não deveriam ser públicos, a melhor prática é alterar as configurações do ativo de armazenamento para privado.

• Controles de segurança de rede. Armazenamentos de dados em nuvem, como caches ou bancos de dados, normalmente exigem a aplicação de controles de acesso à rede. Certifique-se de que eles permitam acesso mínimo e, de preferência, permitam apenas acesso dentro de um segmento de rede interno, em vez de permitir que toda a Internet (‘0.0.0.0/0’) se conecte.

• Use chaves de criptografia. Certifique-se de que todos os ativos de armazenamento estejam criptografados e que um número mínimo de identidades esteja autorizado a criptografar/descriptografar com a chave.

• Evite usar autenticação básica ou sem autenticação. Embora recursos e serviços adicionais possam ser necessários, é recomendável usar uma autenticação baseada em IAM nativa da nuvem ou outro padrão aberto, como SAML, OIDC, Kerberos etc.

6 – Acesso a contas/ambientes cruzados de terceiros levando ao escalonamento de privilégios

Definição

Esse caminho de ataque detalha a confiança dada a uma empresa ou recurso de terceiros para acessar o ambiente de nuvem do cliente. O acesso entre ambientes/contas geralmente é concedido por meio de uma identidade intermediária que também recebe um conjunto de permissões. Nesse caminho de ataque, as permissões concedidas são excessivamente permissivas e podem levar ao escalonamento de privilégios da empresa terceirizada.

Descrição

Muitas organizações contam com fornecedores terceirizados e provedores de serviços gerenciados para dar suporte, monitorar ou proteger seu ambiente. Se o acesso concedido a essas contas de terceiros for configurado incorretamente, expõe a empresa a riscos desnecessários, principalmente se não houver restrições de acesso a recursos específicos dentro do ambiente.

Impacto nos negócios

Qualquer violação da empresa terceirizada confiável pode afetar diretamente o ambiente de nuvem do cliente. Quando as permissões concedidas são muito permissivas, isso permite que os invasores acessem recursos confidenciais, como armazenamentos de dados, ou se movam amplamente no ambiente de nuvem. Esses ataques são particularmente difíceis de detectar porque executam as ações da empresa terceirizada confiável, que é considerada segura.

Recomendações

• Siga o princípio de privilégios mínimos e garanta que as contas externas tenham o mínimo de permissões possível. Forneça apenas as permissões necessárias para recursos específicos.

• Faça uma revisão periódica das contas de terceiros. Se a conta não estiver mais em uso, exclua-a e todos os ativos relacionados.

• Certifique-se de que o MFA e os IDs externos estejam configurados para um nível de segurança extra.

7 – chaves SSH descobertas na carga de trabalho levando ao movimento lateral

Definição

Esse caminho de ataque detalha a capacidade de realizar um movimento lateral no ambiente de nuvem com base em chaves SSH. Esse movimento (“salto”) pode ser entre máquinas virtuais públicas e privadas com acesso permissivo à rede baseado em chaves SSH privadas mal armazenadas ou compartilhando as mesmas chaves SSH entre muitas máquinas virtuais em um ambiente.

Descrição

À medida que as organizações escalam, o número de instâncias de computação em uso aumenta em ambientes de nuvem, levando a desafios no gerenciamento de pares de chaves SSH. Devido à complexidade do gerenciamento de chaves de acesso, as organizações usam as mesmas chaves para várias instâncias de computação. Como resultado, um invasor que comprometa um servidor pode acessar todos os servidores que usam o mesmo par de chaves SSH. Essa é uma maneira fácil de se mover dentro do ambiente de nuvem e coletar mais informações e procurar permissões mais altas.

Impacto nos negócios

Compartilhar o mesmo par de chaves SSH entre muitas instâncias de computação cria um único ponto de alto risco para o ambiente de nuvem. Isso torna mais fácil para um invasor se mover entre ambientes como Dev e Prod e alcançar ativos confidenciais.

Para proteger proativamente o ambiente de nuvem contra esse caminho de ataque, use padrões de acesso reforçado para as máquinas virtuais expostas publicamente via SSH. Por exemplo, bastion hosts protegidos (“jump box”) com uma chave SSH de uso único ou uma solução de autenticação baseada em IAM (AWS Session Manager) podem ser usados para maximizar a segurança. Algumas soluções corporativas também oferecem suporte a MFA juntamente com o mecanismo de autenticação SSH.

Quanto aos riscos de movimento lateral entre nuvens, é recomendável usar chaves SSH diferentes para as máquinas virtuais públicas e privadas. Mantenha as chaves privadas fora das máquinas virtuais e considere o uso de uma solução segura de gerenciamento de credenciais (senhas/cofres de credenciais) para as chaves privadas para acesso dos usuários finais.

Fonte: blog.lightspin.io