Usikre nettskytjenester kan være en stor risiko for organisasjoner fordi de er et vanlig mål for nettkriminelle. Forskere har vist hvor sårbare eller feilkonfigurerte skytjenester kan være etter å ha distribuert hundrevis av honningpotter designet for å se ut som usikker infrastruktur, hvorav noen varte bare minutter før de ble kompromittert av hackere.
Skybersikkerhetsforskere ved Palo Alto Networks sett opp en honeypot kompromittert av 320 noder rundt om i verden, som består av flere feilkonfigurerte forekomster av vanlige skytjenester, inkludert eksternt skrivebordsprotokoll (RDP), sikker skallprotokoll (SSH), servermeldingsblokk (SMB) og Postgres-databaser.
Honningpotten inkluderte også kontoer konfigurert til å ha standard eller svake passord – akkurat den typen ting som nettkriminelle leter etter når de prøver å bryte nettverk.
SE: Skysikkerhet i 2021: En bedriftsveiledning til viktige verktøy og beste fremgangsmåter
Og det tok ikke lang tid før cyberkriminelle oppdaget honningpotten og så ut til å utnytte den – noen av nettstedene ble kompromittert i løpet av minutter mens 80 % av de 320 honningpottene ble kompromittert innen 24 timer. Alle hadde blitt kompromittert i løpet av en uke.
Det mest angrepne programmet var secure shell, som er en nettverkskommunikasjonsprotokoll som gjør det mulig for to maskiner å kommunisere. Hver SSH honningkrukke ble kompromittert 26 ganger om dagen i gjennomsnitt. Den mest angrepne honningpotten ble kompromittert totalt 169 ganger på bare en enkelt dag.
I mellomtiden kompromitterte en angriper 96 % av de 80 Postgres honningpotter i løpet av en enkelt 90-sekunders periode.
“Hastigheten på sårbarhetshåndtering måles vanligvis i dager eller måneder. Det faktum at angripere kunne finne og kompromittere honningpottene våre i løpet av minutter var sjokkerende. Denne forskningen viser risikoen for usikkert eksponerte tjenester,” sa Jay Chen, ledende skysikkerhetsforsker ved Palo Alto Networks.
Utsatte eller dårlig konfigurerte skytjenester som de som er distribuert i honningpotten, er fristende mål for nettkriminelle av alle slag.
Det er kjent at flere beryktede ransomware-operasjoner utnytter utsatte skytjenester for å få første tilgang til offerets nettverk for til slutt å kryptere så mye som mulig og kreve løsepenger på flere millioner dollar i bytte mot dekrypteringsnøkkelen.
I mellomtiden er statsstøttede hackergrupper også kjent for å målrette mot sårbarheter i skytjenester som snikende metoder for å gå inn i nettverk for å drive spionasje, stjele data eller distribuere skadelig programvare uten gjenkjenning.
SE: En vinnende strategi for nettsikkerhet(ZDNet spesialrapport)
Og som forskningen viser, tar det ikke lang tid før cyberkriminelle finner utsatte internettvendte systemer.
“Når en sårbar tjeneste blir eksponert for internett, kan opportunistiske angripere finne og angripe den på bare noen få minutter. Siden de fleste av disse Internett-vendte tjenestene er koblet til andre skyarbeidsbelastninger, vil enhver tjeneste som brytes kan potensielt føre til kompromittering av hele skymiljøet,” sa Chen.
Når det gjelder å sikre kontoer som brukes til å få tilgang til skytjenester, bør organisasjoner unngå å bruke standardpassord, og brukere bør få multifaktorautentisering for å skape en ekstra barriere for å forhindre at lekkede legitimasjoner blir utnyttet.
Det er også viktig for organisasjoner å bruke sikkerhetsoppdateringer når de er tilgjengelige for å forhindre nettkriminelle i å dra nytte av kjente utnyttelser – og det er en strategi som også gjelder skyapplikasjoner.
“Utfallet [av forskningen] gjentar viktigheten av å redusere og lappe sikkerhetsproblemer raskt. Når en feilkonfigurert eller sårbar tjeneste blir eksponert for internett, tar det angripere bare noen få minutter å oppdage og kompromittere tjenesten. Det er ingen margin på feil når det gjelder tidspunktet for sikkerhetsreparasjoner,” sa Chen.
MER OM CYBERSIKKERHET
To tredjedeler av skyangrep kan stoppes ved å sjekke konfigurasjoner, finner forskningEt skyselskap spurte sikkerhetsforskere for å se over systemene deres. Her er hva de fantUsikrede servere og skytjenester: Hvordan eksternt arbeid har økt angrepsflaten som hackere kan målrette motVil du ikke bli hacket? Unngå deretter disse tre 'eksepsjonelt farlige' cybersikkerhetsfeileneKritisk sikkerhetsvarsel: Hvis du ikke har lappet denne gamle VPN-sårbarheten, anta at nettverket ditt er kompromittert Security TV | Databehandling | CXO | Datasentre