اگر به دنبال آموزش هک برای جلوگیری از هکرهای کلاه سیاه هستید حتما با یکی از مفاهیم این حوزه یعنی حملات سایبری علیه زیرساخت های ابری مواجه شده اید. حملات علیه زیرساخت های میزبانی شده در ابر رو به افزایش است و شواهد این موضوع در تحلیل روند هشدارهای امنیتی دیده می شود.
پژوهش های اخیر نشان می دهد که سازمان ها در پایان سال ۲۰۲۴ تقریباً پنج برابر بیشتر از ابتدای سال، هشدارهای روزانه مبتنی بر ابر دریافت کرده اند. این موضوع به این معناست که مهاجمان تمرکز خود را به طور قابل توجهی بر هدف گیری و نفوذ به زیرساخت ابری افزایش داده اند.
این هشدارها صرفاً نویز نیستند. بیشترین افزایش در هشدارهای با شدت بالا مشاهده شده است، یعنی شاخص های حمله با موفقیت منابع حیاتی ابری را هدف گرفته اند.
|
منبع ابری |
دلیل اهمیت |
|
مدیریت هویت و دسترسی (IAM) |
افشای اعتبارنامه ها می تواند دروازه ورود به زیرساخت ابری سازمان باشد. |
|
ذخیره سازی |
می تواند حاوی داده های حساس سازمانی یا مشتریان باشد. |
|
ماشین های مجازی |
اغلب به سرویس های داخلی دیگر متصل اند و فرصت حرکت جانبی به مهاجمان می دهند. |
|
کانتینرها |
بهره برداری از میزبان کانتینر می تواند به مهاجمان امکان اجرای کانتینرهای مخرب را بدهد. |
|
Serverless |
توابع بدون سرور برای اهداف خودکار تک منظوره طراحی شده اند. اجرای خط فرمان از راه دور نباید اتفاق بیفتد. |
جدول ۱. اهمیت حیاتی برخی از منابع ابری
به ویژه باید توجه داشت که مهاجمان به طور مکرر توکن های IAM مربوط به Serverless را هدف قرار داده اند که منجر به استفاده از خط فرمان از راه دور شده است. این موارد مهم اند زیرا می توانند برای دسترسی به محیط بزرگ تر ابری سازمان مورد استفاده قرار گیرند. به عنوان بخشی از افزایش هشدارهای ابری، تعداد رویدادهای دسترسی خط فرمان از راه دور که از توکن های IAM و اعتبارنامه های مورد استفاده در توابع بدون سرور بهره گرفته اند، سه برابر شده است.
ما همچنین روندهای رو به رشد دیگری را در هشدارها شناسایی کردیم:
افزایش هشدارها و روندهای نگران کننده
- ۱۱۶٪ افزایش در هشدارهای مربوط به «رویدادهای سفر غیرممکن» مبتنی بر IAM (یعنی ورود از مناطق جغرافیایی بسیار دور از هم در یک بازه زمانی محدود).
- ۶۰٪ افزایش در درخواست های رابط برنامه نویسی کاربردی (API) IAM از مناطق خارجی برای منابع محاسباتی (ماشین های مجازی ابری).
- ۴۵٪ افزایش اوج دار در تعداد خروجی گرفتن از snapshot های ابری در نوامبر ۲۰۲۴.
- ۳۰۵٪ افزایش در تعداد دانلودهای مشکوک از چندین شیء ذخیره سازی ابری.
اهمیت هویت به عنوان خط مقدم دفاعی
هویت، محیط دفاعی اصلی در زیرساخت ابری است. مهاجمان توکن های IAM و اعتبارنامه ها را هدف قرار می دهند، زیرا آن ها کلیدهای «قلمرو ابری» را در اختیار دارند و به مهاجمان امکان حرکت جانبی، ارتقای سطح دسترسی و اجرای عملیات مخرب بیشتر را می دهند. افزایش تعداد تلاش های دسترسی و استفاده از حساب های حساس IAM نشان می دهد که مهاجمان در سراسر جهان منابع ابری را هدف گرفته اند.
هدف گیری سرویس های ذخیره سازی ابری
مهاجمان سرویس های ذخیره سازی ابری را هدف قرار می دهند، زیرا اغلب حاوی داده های حساس هستند. ما افزایش چشمگیری در تعداد دانلودهای مشکوک اشیای ذخیره سازی ابری و خروجی گرفتن snapshot های تصویری مشاهده کردیم. هشدار دانلود مشکوک زمانی فعال می شود که یک هویت مبتنی بر IAM تعداد زیادی شیء ذخیره سازی را در یک بازه زمانی محدود دانلود کند. این موضوع می تواند نشانگر عملیات مخربی مانند باج افزار یا اخاذی باشد.
Snapshot های تصویری نیز هدف مهاجمان قرار می گیرند، زیرا می توانند حاوی داده های حساس مربوط به زیرساخت ابری و اعتبارنامه های IAM باشند که به مهاجم امکان ارتقای سطح دسترسی و حرکت جانبی در محیط ابری قربانی را می دهد.
نیاز فوری به حفاظت فراتر از ابزارهای پایه
این نمونه ها نیاز فوری به حفاظت از محیط های ابری را نشان می دهند ، نه فقط با استفاده از ابزارهای مدیریت وضعیت امنیتی ابر (CSPM)، بلکه با همکاری ابزارهایی که می توانند عملیات مخرب زمان اجرا را هنگام وقوع شناسایی و متوقف کنند.
با استقرار ابزارهای امنیتی زمان اجرای Cortex Cloud ، که با عنوان Cloud Detection and Response (CDR) نیز شناخته می شوند، تیم های امنیتی می توانند رویدادهای مخرب در محیط های ابری را شناسایی و متوقف کنند.
اگر احساس می کنید ممکن است دچار نفوذ شده باشید یا مسئله ای فوری دارید، با تیم پاسخ به رخدادهای Unit 42 تماس بگیرید.
حملات ابری در مقیاس وسیع
در یک پست اخیر از Unit 42، جزئیات یک کمپین باج افزاری و اخاذی منتشر شد که مستقیماً فایل های متغیر محیطی در معرض دید را هدف قرار داده بود. عامل تهدید این کمپین موفق شد بیش از ۹۰,۰۰۰ اعتبارنامه را از ۱۱۰,۰۰۰ دامنه هدف برداشت کند. نگران کننده تر اینکه، آن ها نزدیک به ۱,۲۰۰ اعتبارنامه IAM ابری را نیز جمع آوری کردند. این اعتبارنامه ها به مهاجم اجازه داد تا حملات اخاذی موفقی را علیه چندین سازمان انجام دهد.
این عملیات فرصتی را برای بحث درباره مکانیزم های امنیتی فراهم می کند که جهت محافظت از سازمان ها در حال اجرا هستند. به ویژه این موضوع نشان می دهد که چگونه می توان ابزارهای مدیریت وضعیت امنیتی (Posture Management) و راهکارهای پایش امنیتی زمان اجرا (Runtime Monitoring) را به شکلی یکپارچه به کار گرفت. این امر به سازمان ها کمک می کند تا یک محیط دفاعی امنیت ابری بسازند که به اندازه کافی قدرتمند بوده و توانایی مقابله با موج های جدید مهاجمان را داشته باشد.
افزایش چشمگیر هشدارها در ۲۰۲۴
در جریان این تحقیق مشخص شد که تعداد کل هشدارهای ابری که سازمان ها تجربه کرده اند، در سال ۲۰۲۴ به طور میانگین ۳۸۸٪ افزایش داشته است. این هشدارها هم از عملیات تشخیص در مدیریت وضعیت و هم از پایش زمان اجرا سرچشمه گرفته اند.
اگرچه هشدارهای با شدت «اطلاعاتی» سهم عمده را داشته اند، اما مهم ترین تغییر، افزایش چشمگیر در تعداد هشدارهای با شدت بالا بوده است. این دسته از هشدارها در سال ۲۰۲۴ رشدی معادل ۲۳۵٪ را تجربه کرده اند. هشدارهای با شدت متوسط و پایین نیز به ترتیب ۲۱٪ و ۱۰٪ افزایش یافته اند.
معنای روند هشدارها
این تغییرات با یافته های گزارش «وضعیت امنیت ابری بومی ۲۰۲۴» همسو است؛ گزارشی که نشان داد ۷۱٪ از سازمان ها افزایش در معرض بودن آسیب پذیری ها را ناشی از استقرارهای شتاب زده می دانند. علاوه بر این، ۴۵٪ از سازمان ها گزارش داده اند که در سال گذشته شاهد افزایش حملات تهدیدات پیشرفته مداوم (APT) بوده اند.
یکی از نمونه ها، پژوهش اخیر مایکروسافت در مورد Storm-2077 است؛ یک گروه تهدید ابری مستقر در چین (CTAG) که از تکنیک های پیچیده برداشت اعتبارنامه IAM ابری برای به دست آوردن و حفظ دسترسی به محیط های ابری قربانیان استفاده می کند. این موضوع نشان می دهد که مدیریت وضعیت ابری و پایش امنیتی زمان اجرا باید به صورت یکپارچه عمل کنند تا حفاظت کافی در برابر مرحله بعدی تهدیدات فراهم شود.
مأموریت کلیدی مدافعان ابر
یک مأموریت کلیدی برای مدافعان ابر، طراحی و پیاده سازی یک سکوی امنیت ابری است که توانایی های تشخیص را بهبود بخشد. این سکو به مدیران امکان می دهد نه تنها پیکربندی های اشتباه و آسیب پذیری ها را شناسایی کنند، بلکه رویدادهای زمان اجرا در محیط های ابری را نیز جمع آوری و تحلیل نمایند. چنین سکویی دید بهتری در اختیار مدافعان قرار می دهد و زمان واکنش سریع تری را در مواجهه با هشدارها ممکن می سازد.
در حالی که توانایی شناسایی و تشخیص رویدادهای مشکوک یا مخرب ابری در صنعت افزایش یافته، پیچیدگی عملیات تهاجمی مهاجمان نیز بیشتر شده است. برای مثال، در ژانویه ۲۰۲۴، میانگین هر محیط ابری تنها ۲ هشدار مربوط به استفاده از خط فرمان از راه دور با یک توکن IAM در توابع بدون سرور داشت. این وضعیت تا پایان سال ادامه داشت. اما تا دسامبر ۲۰۲۴، میانگین هر محیط ابری بیش از ۲۰۰ هشدار مشابه را تجربه کرد نشانه ای نگران کننده از افزایش فعالیت ها. همان طور که در مقاله «متغیرهای محیطی افشا شده» بیان شد، این دقیقاً همان عملیات زمان اجرا بود که در جریان حمله اخاذی مخرب رخ داد.
شواهد تکمیلی از روند تهدیدها
- ۱۱۶٪ افزایش در هشدارهای سفر غیرممکن مربوط به هویت های ابری.
- ۶۰٪ افزایش در تعداد تماس های API بارهای محاسباتی از خارج از منطقه ابری همان نمونه.
- ۴۵٪ افزایش در تعداد خروجی گرفتن از snapshot های ابری.
- ۳۰۵٪ افزایش در تعداد دانلودهای مشکوک چندین شیء ذخیره سازی ابری.
نتیجه گیری
این یافته ها به وضوح نشان می دهند که هدف اصلی گروه های تهدید ابری (CTAGs)، هدف گیری، جمع آوری و استفاده از توکن ها یا اعتبارنامه های IAM ابری است. همچنین نشان می دهند که مهاجمان از این توکن ها یا اعتبارنامه ها برای انجام عملیات بالقوه مخرب استفاده خواهند کرد.
پیش زمینه
ابزارهای مدیریت وضعیت امنیت ابری (CSPM) پایه ی امنیت ابری را تشکیل می دهند. عملکرد آن ها بر پایش کنترل های حفاظتی متمرکز است تا اطمینان حاصل شود که محیط های ابری پیکربندی های ایمن خود را حفظ کرده و عاری از آسیب پذیری ها و پیکربندی های نادرست هستند.
پایش مدیریت وضعیت به طور سنتی بر اسکن امنیتی زمان مند منابع و پیکربندی های یک محیط ابری استوار است. زمانی که یک منبع ابری جدید یا تغییر یافته پتانسیل ایجاد ریسک امنیتی داشته باشد، هشدار ایجاد می شود.
برای مثال:
- اگر یک سیاست IAM بیش ازحد مجاز باشد و دسترسی به سایر منابع ابری را فراهم کند، هشدار صادر خواهد شد.
- اگر یک نمونه محاسبات ابری یا تابع Serverless شامل آسیب پذیری ها یا پیکربندی های نادرست باشد نیز هشدار فعال خواهد شد.
عملیات اسکن مدیریت وضعیت معمولاً طبق برنامه ی منظم، ساعتی یا روزانه انجام می شود. برخی ابزارهای امنیتی CSPM امکان پایش گزارش های حسابرسی پلتفرم ابری را نیز فراهم می کنند که می تواند در شناسایی فعالیت های مشکوک در همان لحظه کمک کند. بسیار حیاتی است که سازمان ها پلتفرم CSPM خود را طوری پیکربندی کنند که گزارش های حسابرسی مربوط به نرم افزارهای SaaS مبتنی بر ابر شخص ثالث را جمع آوری کند تا دید کافی فراهم شود.
ابزارهای CDR (Cloud Detection and Response) پایش زمان اجرا را با جمع آوری، شناسایی و حتی جلوگیری از عملیات هایی که در طول یک رویداد خاص رخ می دهد، ارائه می کنند. این ابزارها با جمع آوری گزارش ها از نمونه های محاسبات ابری، منابع ثبت لاگ CSP و برنامه های SaaS شخص ثالث ابری، می توانند رویدادهای مخرب ابری را شناسایی، هشدار داده و حتی متوقف کنند.
نمونه هایی از این عملیات ها عبارت اند از:
- ایجاد کاربران ابری یا حساب های خدماتی جدید.
- اتصال سیاست های IAM به کاربران یا نقش های IAM جدید یا موجود.
- برقراری اتصالات شبکه ای از طریق یک گره خروجی Tor یا میزبان
برخلاف ابزارهای مدیریت وضعیت، ابزارهای پایش زمان اجرا به طور مداوم محیط ابری را پایش می کنند و اغلب نیازمند یک عامل (agent) اختصاصی برای حفظ دید بر منابع ابری هستند. زمانی که یک عامل نصب شود، ابزارهای امنیتی پایش زمان اجرا این امکان را فراهم می کنند که عملیات های مخرب ابری در همان لحظه شناسایی و حتی متوقف شوند.
روند هشدارهای با شدت بالا
ما افزایش واضحی را در تعداد هشدارها در سال ۲۰۲۴ مشاهده کردیم که با افزایش حملات به محیط های ابری همبستگی دارد.
- هشدارهای ابری با شدت بالا در طول سال ۲۰۲۴، ۲۳۵٪ افزایش داشته اند.
- بزرگ ترین جهش یک ماهه (۲۸۱٪) در ماه مه رخ داده است.
- همچنین بیشترین افزایش در این هشدارها به ترتیب در ماه های اوت (۲۰۴٪)، اکتبر (۲۴۷٪) و دسامبر (۱۲۲٪) مشاهده شد (طبق شکل ارائه شده).