Держите под контролем свои преимущества в облаке AWS с помощью моделирования взломов и атак
В прошлом году были случаи утечек больших данных с помощью облачных сервисов. Тяжеловесом на рынке облачных услуг по-прежнему является Amazon Web Services (AWS), и, несмотря на то, что они предлагают множество инструментов и руководств по защите данных, хранящихся в облаке AWS, клиенты продолжают совершать ошибки, из-за которых их конфиденциальные бизнес-данные становятся незащищенными и уязвимыми. Например, в феврале неправильная конфигурация AWS подрядчика привела к массовой утечке данных, хранящихся в Dow Jones. Затем, в октябре, моментальный снимок базы данных, созданный в Imperva для внутреннего тестирования, остался незащищенным, а его API-ключ был украден, что привело к утечке данных клиентов. И, конечно же, самой большой новостью из всех является то, что сенаторы США призывают к расследованию масштабной утечки данных Capital One, произошедшей в июле, в которой предположительно участвовал хакер, ранее работавший в AWS. Итак, я думаю, мы все можем вздохнуть с облегчением, когда 2019 год закончился и начался 2020 год.
Или мы можем? Это вопрос, который я недавно задал, когда разговаривал с Менахемом Шафраном, вице-президентом по продукту в XM Cyber, компании по кибербезопасности, основанной руководителями службы безопасности из элитного израильского разведывательного сектора, чья основная команда включает в себя высококвалифицированных и опытных ветеранов израильской разведки с опытом в как наступательной, так и оборонительной кибербезопасности.
Я начал свое обсуждение с упоминания о том, что AWS в последнее время часто упоминается в новостях, поскольку различные компании оставили свою конфиденциальную деловую информацию, хранящуюся в AWS, открытой и уязвимой для хакеров. Это вызвало у меня вопрос, действительно ли так сложно защитить ваши данные, хранящиеся в AWS. «Если бы защита данных, хранящихся в общедоступных облаках, была бы слишком сложной, ведущие компании не стали бы использовать облако, — сказал Менахем. «Хотя мы слышим в новостях о том, что разные компании оставляют свою конфиденциальную информацию раскрытой, мы должны помнить, что многие другие компании хорошо защищают свои данные».
Отсутствие осведомленности
Самым большим препятствием для обеспечения облачной безопасности является не технология, а люди, которые ее используют. «Многие аспекты облачной безопасности связаны с недостаточной осведомленностью и отсутствием надлежащей подготовки», — сказал Менахем. «Если мы оглянемся на 15 лет назад, большинство веб-разработчиков не знали, например, что такое SQL-инъекция, и сегодня ситуация намного лучше благодаря OWASP и другим инициативам, которые повысили осведомленность и предоставили инструменты, помогающие снизить риск. Я считаю, что в облачной безопасности мы находимся в одном месте. Это новая технология для многих, и осведомленность о безопасности низка, а инструменты, помогающие убедиться, что мы не делаем ошибок, все еще развиваются. Как и в случае с SQL-инъекциями, проблема не будет решена, злоумышленники найдут более хитрые способы, но со временем злоумышленникам будет все труднее».
Многие аспекты облачной безопасности связаны с недостаточной осведомленностью и отсутствием надлежащей подготовки… Это новая технология для многих, и осведомленность о безопасности низка.
Затем я спросил его, какие еще виды нарушений могут произойти, когда компании размещают свою инфраструктуру и данные в AWS. Я слышал, например, о таких вещах, как повышение привилегий IAM, кража маркеров доступа, использование API метаданных облачных экземпляров для поворота в облаке и так далее. Поэтому я поинтересовался, может ли он вкратце объяснить некоторые из этих различных видов атак, и Менахем ответил: «Хотя в облаке у нас почти такая же поверхность атаки, как и в локальных центрах обработки данных — кража SSH-ключей, учетных данных, эксплойтов и т. д. в-четвертых, облако также предоставляет новые и уникальные поверхности для атак, большая часть которых возникает из-за неправильных конфигураций, которые приводят к эскалации привилегий IAM. Локальные центры обработки данных имеют сетевые конфигурации с брандмауэрами и другими элементами управления, а также отдельный уровень учетных данных, которые обычно по-разному управляются разными группами. Однако в облаке удостоверение — это все, поэтому получение доступа к достаточно надежному удостоверению позволит вам контролировать все, от доступа к сети, управления учетными данными и многого другого.
«Хотя эта гибкость является одним из ключей к гибкости облачной разработки, она также приводит к сложности, позволяя легко совершать ошибки, ведущие к ситуациям, когда личность может выглядеть не так мощно, но на самом деле может сделать несколько шагов для стать чрезвычайно могущественным. Например, у разработчика могут быть очень ограниченные разрешения, позволяющие ему создавать только лямбда-функции и вызывать их, чтобы он мог их тестировать. Чтобы создать лямбда-функцию, пользователю также необходимо назначить роли IAM для функции, которая является контекстом, в котором функция будет работать. Теперь, хотя это выглядит невинно, если в учетной записи есть роль, которая позволяет изменить разрешение пользователя (что является разумной ролью), разработчик может создать лямбда-функцию, которая назначит себе полные административные права, установите ее с ролью который может изменить разрешения пользователя, а затем вызвать его, сделав его администратором учетной записи.
«Еще один вариант — использовать API метаданных облачного экземпляра для кражи надежного токена доступа. API метаданных облачного экземпляра — это API, который доступен только из облачного экземпляра, такого как EC2, что позволяет ему запрашивать информацию о себе. Одной из таких вещей является запрос маркера доступа роли, которая прикреплена к экземпляру. Если экземпляр необходим, чтобы иметь возможность запрашивать DBaaS, лучше всего назначить ему роль с доступом к БД, а не размещать ключи доступа где-то на диске. Если злоумышленник может запустить код на экземпляре, он может сделать запрос к API метаданных облачного экземпляра и запросить токен роли, эффективно получающей доступ к БД».
Моделирование взлома и атаки
Мой следующий вопрос был о том, как моделирование атаки на инфраструктуру организации может помочь укрепить безопасность этой инфраструктуры. Причина, по которой я задал этот вопрос, заключается в том, что компания Менахема XM Cyber специализируется на автоматизированном моделировании взломов и атак, что позволяет компаниям и организациям оценивать и укреплять свою защиту от кибербезопасности. «Имитация атак на инфраструктуру организации — лучший способ найти проблемы, о которых мы даже не подозревали, — сказал Менахем. «Только взглянув на организацию с точки зрения злоумышленника, мы можем найти проблемы и понять их влияние. Вот почему учения красной команды считаются лучшим способом повышения безопасности. Единственная проблема с упражнениями красной команды заключается в том, что они медленные, ручные и требуют опыта. С облачной инфраструктурой ситуация еще сложнее, так как очень мало талантливых сотрудников Red Team с сильными способностями в области облачной безопасности».
Как насчет аудита конфигураций AWS для повышения безопасности инфраструктуры AWS организации? «Аудит конфигураций AWS может помочь выявить многие проблемы, приводящие к публичному раскрытию данных, — сказал Менахем. «В целом мы не можем считать, что не допускаем ошибок, а в облаке риск выше, а экспертиза ниже, что делает необходимость аудита гораздо большей. Аудит обычно включает просмотр конфигурации и попытку понять логические проблемы. Обычно это более простая альтернатива имитации атак, однако во многих случаях она не позволяет найти более сложные проблемы, такие как многие из эскалаций привилегий IAM, о которых мы говорили».
В общем, мы не можем считать, что мы не делаем ошибок, а в облаке риск выше, а экспертиза ниже, что делает необходимость аудита намного выше.
Желая глубже разобраться в том, как платформа XM Cyber HaXM на самом деле проверяет конфигурации AWS, я попросил Менахема дать нам представление о том, как его продукт работает внутри и какие преимущества он может предоставить организациям, использующим AWS. Менахем объяснил, что «HaXM — это полностью автоматизированная платформа для моделирования атак» и что «когда HaXM проверяет ваши конфигурации AWS, она на самом деле действует как сильная красная команда, пытающаяся понять, что можно сделать, предполагая, что мы скомпрометировали что-то в среде. На каждом этапе моделирования атаки система будет снова спрашивать, что можно сделать, пытаясь получить доступ к вашим критически важным активам в итеративном процессе».
Знание того, как злоумышленники рассчитывают взломать вашу систему, имеет решающее значение для их остановки. «Нужно понимать, что атаки — это, как правило, просто группа небольших, как правило, законных действий, объединенных в цепочку непреднамеренным образом. Так, например, вы можете спросить, что произойдет, если злоумышленник сможет украсть учетные данные кого-либо из DevOps. После этого система поймет, что может выполнить команду на конкретном EC2, поскольку у пользователя есть разрешения на использование AWS Systems Manager. Затем он спросит, теперь, когда мы можем выполнять код на экземпляре, что мы можем сделать? И он может обнаружить, что может скомпрометировать другой EC2 в том же VPC из-за уязвимости. Компрометация этого EC2 может привести к краже токена роли, которая может создать лямбда-функцию, а создав лямбда-функцию, мы можем предоставить более сильные разрешения нашему исходному пользователю DevOp, что позволит нам полностью скомпрометировать среду. Все это работает непрерывно».
Соблюдение правил гигиены безопасности
Завершая нашу дискуссию, Менахем закончил своей заключительной мыслью по этому поводу: «Я хочу, чтобы читатели поняли, что при правильном использовании облако может помочь нам стать еще более безопасными. Нам нужно повышать осведомленность, чтобы делать все правильно в облаке и поддерживать гигиену облачных ИТ в хорошем состоянии». А хорошая гигиена — это то, что должна соблюдать каждая компания или организация, использующая облако, не так ли? На самом деле, давайте сделаем это нашим новогодним обещанием на 2020 год.