Zabezpieczanie chmur publicznych przed popularnymi lukami

Niektóre firmy są przekonane, że za zabezpieczenie chmury publicznej odpowiedzialny jest ich dostawca; inne uważają, że chmura publiczna jest bezpieczna z założenia, zatem nie wymaga stosowania żadnych dodatkowych środków ochronnych. Jaka jest prawda?

Wiele organizacji wykorzystuje już środowisko chmury, które składa się z zasobów lokalnej chmury prywatnej i chmury publicznej — czyli chmury hybrydowej. Jednak jeśli chodzi o cyberbezpieczeństwo, firmy częściej skupiają się na środowiskach fizycznych lub zwirtualizowanych niż na tej części infrastruktury, która znajduje się w chmurach publicznych. Niektóre z nich są przekonane, że za zabezpieczenie chmury publicznej odpowiedzialny jest ich dostawca; inne uważają, że chmura publiczna jest bezpieczna z założenia, zatem nie wymaga stosowania żadnych dodatkowych środków ochronnych. Jednak obie hipotezy są błędne: chmury publiczne są w takim samym stopniu podatne na wykorzystanie luk w oprogramowaniu, infekcję repozytorium aktualizacji, wykorzystanie połączenia sieciowego czy zhakowanie informacji o koncie, jak pozostała część infrastruktury.

Luki w protokołach RDP i SSH

W instancjach firmy Amazon protokół RDP jest włączony domyślnie, przy czym nie obsługuje autoryzacji dwuetapowej. Z tego względu bywa celem wielu różnych narzędzi wykorzystywanych w atakach siłowych. Niektóre z nich koncentrują się na najpopularniejszych domyślnych nazwach użytkownika (typu „Administrator”) i podejmują tysiące prób odgadnięcia hasła. Inne próbują zgadnąć unikatowy login administratora, używając najpopularniejszych nicków i haseł. Algorytmy służące do ataków siłowych mogą ograniczyć i losowo zmieniać liczbę prób, a także ustawiać przerwę czasową między kolejnymi podejściami, aby uniknąć automatycznego wykrycia. Inną metodą ataku jest siłowe łamanie hasła do loginu SSM-User, który jest często zaprogramowany w instancjach AWS.

Usługi protokołu SSH również nieustannie są poddawane atakom siłowym, a chociaż oferuje on lepszą ochronę niż protokół RDP (np. autoryzację dwuetapową), niedbale skonfigurowany może z łatwością umożliwić dostęp osobie postronnej. W pierwszej połowie 2019 roku ataki siłowe na protokoły SSH i RDP stanowiły 12% wszystkich ataków, jakie zarejestrowały specjalnie zastawione pułapki (tzw. honeypoty) przygotowane pod kątem urządzeń Internetu Rzeczy przez firmę Kaspersky.

Luki w oprogramowaniu innych firm

Chmury publiczne mogą i narażają Cię na luki. Oto kilka przykładów tego, w jaki sposób luka w oprogramowaniu firmy trzeciej może pozwolić atakującemu wykonanie kodu na samej instancji.

3 czerwca 2019 roku w serwerze poczty e-mail Exim, powszechnie stosowanym w chmurach publicznych, wykryto lukę umożliwiającą zdalne wykonanie kodu. Jeśli serwer działał jako administrator (a to najczęstsza opcja), umieszczony na nim złośliwy kod można było wykonać z najwyższym poziomem uprawnień. Inna luka serwera Exim, zidentyfikowana w lipcu 2019 roku, również umożliwiała zdalne uruchomienie kodu jako administrator.

Oto kolejny przykład: w 2016 roku zhakowana została oficjalna strona internetowa z oprogramowaniem Linux Mint, co skutkowało wprowadzeniem zmian w dystrybucji: w efekcie zawierały one szkodliwe oprogramowanie w postaci backdoora IRC z funkcjonalnością DDOS. Wspomniany szkodliwy program mógł również zostać wykorzystany do umieszczania na zainfekowanych maszynach szkodliwych ładunków. Wśród zgłaszanych incydentów znalazły się także informacje o szkodliwych modułach node.js, zainfekowanych kontenerach w serwisie Docker Hub i wiele więcej.

Jak zmniejszyć zagrożenie

Cyberprzestępcy mogą być bardzo pomysłowi, jeśli chodzi o wyszukiwanie punktów wejścia do infrastruktur, zwłaszcza jeśli jest ich wiele, są bardzo do siebie podobne i mają podobne problemy, a ponadto wszystkie są traktowane jako zaprojektowane z uwzględnieniem kwestii bezpieczeństwa. Aby skutecznie zmniejszyć ryzyko, zabezpiecz systemy operacyjne na swoich instancjach chmurowych i maszynach wirtualnych. Produkt antywirusowy o podstawowych możliwościach oraz ochrona przed szkodliwymi programami nie wystarczą. Najlepsze branżowe praktyki podpowiadają, że każdy system operacyjny znajdujący się w infrastrukturze wymaga wszechstronnej, wielowarstwowej ochrony. Podobnie twierdzą dostawcy chmur publicznych.

Idealnym rozwiązaniem jest tu Kaspersky Hybrid Cloud Security. Nasze rozwiązanie chroni różne platformy, używając do tego wielu warstw technologii zabezpieczających, takich jak: wzmacnianie systemu, ochrona przed exploitami, monitorowanie integralności plików, narzędzie do blokowania ataków sieciowych, ochrona przed szkodliwymi programami (statyczna i na podstawie ich zachowania) itp. Więcej informacji znajduje się na stronie produktu.

Porady