מחקר: גידול בהיקף המתקפות על קונטיינרים
לפי אקווה סקיוריטי, "רוב צוותי האבטחה יכולים לזהות חולשות אבטחה והגדרות שגויות, אולם לא מצליחים לזהותן בזמן, או שלא מצליחים לפתור את הבעיות במהירות מספקת"
מספר ניסיונות המתקפות על קונטיינרים נמצא באחרונה במגמת עלייה – כך לפי דו"ח של אקווה סקיוריטי, שמפתחת פתרונות אבטחת מידע לסביבות הענן.
החברה הישראלית ציינה בדו"ח שפרסמה באחרונה כי חוקרי נאוטילוס, צוות המחקר שלה, הבחינו במספר רב של מתקפות שתוכננו לפרוץ אל סביבות הקונטיינרים ואל שרת המארח אותם, ובכך להחמיר את השפעת המתקפה. הם ערכו ניתוח של מתקפות על קונטיינרים בעולם האמיתי, כדי לקבוע את "רדיוס הפיצוץ" שלהן, כלומר: ההשפעה הפוטנציאלית שלהן.
החוקרים זיהו 105 שרתים שנפלו קורבן למתקפות על קונטיינרים והראו שב-36% מהמקרים הללו היו חולשות אבטחה ותצורות שגויות חמורות ומרובות, שהיו עלולות לגרום לנזק חמור מאוד. בנוסף, ב-70% מהשרתים התגלו חולשות קלות יחסית, שמאפשרות גניבה של מידע, שעלול לאפשר נזק גדול יותר ומעבר בין שרתים ומערכות שונות.
אחרי כמה שבועות: רק במחצית מהשרתים שנפגעו תוקנו הליקויים
כמה שבועות לאחר הבדיקה הראשונה הם בדקו שוב את 105 השרתים שנפלו קורבן למתקפה ומצאו שב-50% בלבד מתוכם תוקנו כל חולשות האבטחה וההגדרות השגויות. ב-12% תוקנו רק מההגדרות השגויות וחולשות האבטחה וב-25% לא תוקן דבר. לפיכך, ציינו החוקרים, "רוב העוסקים באבטחה יכולים לזהות חולשות אבטחה והגדרות שגויות, אולם הם לא מצליחים לזהות אותן בזמן, או שהם לא מצליחים לפתור את הבעיות במהירות מספקת".
לפי המחקר, "המשאבים שהיו פגיעים באופן פוטנציאלי לאחר שהתוקף קיבל גישה לסביבה שלהם הם שירותים מרוחקים, מטה דטה בענן, פרוטוקלי HTTP ובסיסי נתונים". הם ציינו שמשאבים אלה ואחרים, שרצים בשרת המארח, עלולים להיות מנוצלים על ידי התוקף בכמה דרכים: האחת – גניבת מידע מאתר אינטרנט לא מוצפן. כך, כאשר אתר לא מצפין כראוי את תקשורת הנתונים בין השרת ללקוח, משמע – עושה שימוש בפרוטוקול HTTP ולא ב-HTPPS, התוקף עשוי למצוא דרך להאזין לתקשורת, להקליט אותה ולהשתמש בה למטרותיו: ליירט נתונים רגישים, כגון סיסמאות, מידע מזהה אישי (PII) ועוד.
דרך נוספת שנמצאת בשימוש ההאקרים, לפי החוקרים, היא גניבת מידע משרתי נתונים: "מסדי נתונים לעתים קרובות מהווים מטרה לתוקפים. אם לתוקפים יש גישה לשרת המארח, הם עלולים לחפש סיסמאות ופרטי התחברות אוטומטית, או להשתמש ב-Brute Force – מתקפה שיטתית, שבה התוקף מנסה לנחש את שם המשתמש והסיסמה כדי לקבל גישה למסדי הנתונים. מכיוון שמסדי נתונים מסוימים לא דורשים אימות כברירת מחדל, התוקפים יכולים לאסוף את הנתונים בקלות".
עוד שיטת פעולה היא ניצול השימוש של הקורבן המותקף בטכנולוגיות ביג דטה המותקנות על השרת המארח. Apache ZooKeeper הוא שירות מרכזי בקוד פתוח, שנועד לתחזק שירותים מבוזרים הקשורים לביג דטה. באחד המקרים, החוקרים מצאו שהמחשב המארח הפעיל גרסה של שירות זה, שסובלת מחולשת אבטחה קריטית. מאגר הנתונים שהותקף כלל יותר מ-200 שרתים, ולכן, ככל הנראה, הכיל נתונים קריטיים. "על ידי ניצול חולשות אבטחה כמו זו, תוקפים עלולים לגשת להרבה מאוד פיסות מידע בעלות ערך רב", כתבו החוקרים מאקווה סקיוריטי.
ההמלצות
החוקרים ממליצים על מימוש תפיסת הגנה מוכללת – כזו שכוללת שימוש בפתרונות וכלי האבטחה שמוטמעים בשרת המארח, לצד כלים שמאפשרים ניהול יציבת אבטחת הענן (CSPM – Cloud Security Posture Management). "כלים אלה", ציינו, "יכולים למנף ממשקי API של ספק הענן הציבורי הרלוונטי. זה חשוב כיוון שהוא מספק את הנראות הדרושה ביחס לתצורת שירותי הענן. ניתן להטמיע פתרון CSPM לצד פתרונות ניטור תהליכים, המאפשרים גילוי טוב יותר וניתוח והבנה של התקפות בסביבות ענן".
עוד ממליצים החוקרים: לערוך הטמעת יכולות אוטומטיות, כדי לסייע, בין היתר, באיתור משאבי מחשב ומסדי נתונים עם הגדרות גישה הפתוחות לציבור שלא במתכוון; אבטחת ההצפנה של נתונים בתנועה ובמנוחה בכל שירותי הענן; אכיפת הגדרות מדיניות המשתמשים כדי להבטיח גישה למשאבים על בסיס הרשאות גישה מינימליות; זיהוי שינויים במשאבים קריטיים כגון כללי פיירוול או הגדרות חשבון; וכן זיהוי פעילות באזורים או במיקומים לא מנוצלים, או לא צפויים, של ספקי הענן.
לדברי אנשי אקווה סקיוריטי, "יש לאמץ גישה רב שכבתית עם מגוון בקרי ניהול זיהוי וגישה (IAM), כגון אימות רב-שלבי, MFA וזיהוי בקבוצה מבוזרת (Identity Federation). אין לחשוף שירותים לאינטרנט אם הדבר לא נחוץ. יש להשתמש בכלים לניטור ובקרה של הרשת וכן בפרוטוקולים מוצפנים. כך ניתן לצמצם את השטח שמועד לפריצות".
צוות המחקר סיים בעוד המלצות: "יש לנטר תהליכים ולבצע סריקה של משאבים בענן ובזמן ריצה, כדי לאפשר זיהוי התנהגויות חשודות וזדוניות וזיהוי מתקפות ואיומים שלא ניתנים לזיהוי על ידי אנטי וירוס ופתרונות אחרים. כמו כן, יש להגביל את הגישה למטה דטה בענן".
תגובות
(0)