Современные атаки: Искусство Облачной Хитрости
Документ под названием «cyber actors adapt tactics for initial cloud access», опубликованный Агентством национальной безопасности предупреждает, об адаптации тактики для получения первоначального доступа к облачным сервисам, а не для использования уязвимостей локальной сети.
Переход от локальных решений к облачным является ответом на то, что организации модернизируют свои системы и переходят на облачную инфраструктуру. Также кибер-кампании расширяются в сторону таких секторов, как авиация, образование, секторов, связанных региональными и федеральными, а также госучреждениями, правительственными финансовыми департаментами и военными организациями.
Реальность такова, что для взлома облачных сетей нужно только пройти аутентификацию у поставщика облачных услуг, и в случае успеха, защита будет преодолена. Другими словами, «неожиданный» аспект облачных сред: меньшая уязвимость сети по сравнению с локальными системами парадоксальным образом делает преодоление первоначального доступа наиболее эффективным.
За последний год наблюдаемые TTPs были простыми, и вместе с тем эффективными так как использовались служебные и бездействующие учётные записи. В целом публикация вызывает прохладное утешение, предполагая, что прочная основа основ безопасности всего лишь гонка на опережение специалистов по безопасности с атакующими.
Адаптация к облачным сервисам: сместился фокус с эксплуатации уязвимостей локальной сети на прямое воздействие на облачные сервисы. Это изменение является ответом на модернизацию систем и миграцию инфраструктуры в облако.
📌Аутентификация как ключевой шаг: чтобы скомпрометировать облачные сети, необходимо успешно пройти аутентификацию у поставщика облачных услуг. Предотвращение этого первоначального доступа имеет решающее значение для предотвращения компрометации.
📌Расширение таргетинга: расширена сфера воздействия на сектора, такие как, как авиация, образование, правоохранительные органы, региональные и федеральные организации, правительственные финансовые департаменты и военные организации. Это расширение указывает на стратегическую диверсификацию целей сбора разведывательной информации.
📌Использование служебных и неактивных учётных записей: подчёркивается, что за последние 12 месяцев использовались брутфорс-атаки для доступа к служебным и неактивным учётным записям. Эта тактика позволяет получить первоначальный доступ к облачным средам.
📌Профессиональный уровень атакующих: выявлена возможность осуществления компрометациии глобальной цепочки поставок, как, например, инцидент с SolarWinds в 2020 году.
📌Первая линия защиты: подчёркивается, что первая линия защиты включает предотвращения возможности первичного доступа к сервисам.