Расширение сферы деятельности атакующих

Смещение акцента кибер-профессионалов на облачные сервисы вывело важность обеспечения первоначального доступа на передний план. В облачных средах первоначальный доступ представляет собой критический момент, когда безопасность всей системы становится наиболее уязвимой. В отличие от традиционных локальных сетей, доступ к облачным сервисам осуществляется через Интернет, что делает начальную точку входа основной целью для злоумышленников.

Первоначальный доступ как плацдарм для злоумышленников

Получение первоначального доступа к облачным сервисам позволяет злоумышленникам закрепиться в целевой среде с последующим повышением привилегий, распространения по сети и получения доступа к конфиденциальным данным. Распределённый характер облачных сервисов также означает, что компрометация одной учётной записи может потенциально предоставить доступ к широкому спектру ресурсов и данных.

Проблемы в обеспечении первоначального доступа

📌Удалённый доступ. Облачные сервисы предназначены для удалённого доступа, что увеличивает поверхность атаки.

📌Управление идентификацией и доступом (IAM). В облачных средах IAM становится важнейшим компонентом безопасности. Организации должны обеспечить надёжность политик IAM и предоставление разрешений на основе принципа наименьших привилегий, чтобы минимизировать риск первоначального доступа со стороны неавторизованных лиц.

📌Фишинг и социнженерия. используются методы фишинга и социальной инженерии для получения первоначального доступа. Эти методы используют человеческий фактор, а не технические уязвимости, что затрудняет защиту от них с помощью традиционных мер безопасности.

Примеры методов первоначального доступа

📌Credential Stuffing. Метод предполагает использование ранее взломанных пар имени пользователя и пароля для получения несанкционированного доступа к учётным записям, делая ставку на вероятность того, что люди будут повторно использовать учётные данные в нескольких службах.

📌Использование некорректных конфигураций. Облачные сервисы сложно настроить правильно, и используются некорректные конфигурации: открытые сетевые сегменты или ошибки в настройке управления доступом.

📌Компрометация сторонних сервисов. Злоумышленники могут атаковать сторонние сервисы, которые интегрируются с облачными средами, например приложения SaaS, чтобы получить первоначальный доступ к облачной инфраструктуре.

Снижение рисков первоначального доступа

📌Комплексные политики доступа. Установление и соблюдение комплексных политик доступа может помочь контролировать, кто и на каких условиях имеет доступ к облачным ресурсам.

📌Регулярные аудиты и проверки. Проведение регулярных аудитов и проверок журналов доступа и разрешений может помочь выявить и устранить потенциальные уязвимости до того, как они будут использованы.

📌Обучение по вопросам безопасности. Обучение сотрудников рискам фишинга и социальной инженерии может снизить вероятность компрометации учётных данных.

📌Endpoint Security. Обеспечение безопасности и актуальности всех устройств с доступом к облачным сервисам, может помешать злоумышленникам использовать уязвимости конечных точек для получения первоначального доступа.

📌Обнаружение аномалий. Внедрение систем обнаружения аномалий помогает выявить необычные модели доступа или попытки входа в систему, которые могут указывать на попытку взлома.