Pesquisa revela que o IAM é muitas vezes permissivo e mal configurado

Novas pesquisas destacam problemas de segurança do IAM que podem ser reduzidos ou resolvidos com medidas adequadas. Saiba como configurar o IAM com eficiência para melhorar a segurança da infraestrutura em nuvem.

Na maioria dos ambientes de nuvem, o gerenciamento de identidade e o (IAM) é a primeira linha de defesa contra ameaças. Um estudo de 2021 realizado pela Forrester Consulting para ForgeRock e Google Cloud descobriu que mais de 80% dos tomadores de decisão globais de TI já adotaram ou planejam adotar ou expandir iniciativas de gerenciamento de o e identidade baseadas em nuvem nos próximos dois anos. A ideia por trás do IAM é que cada usuário ou dispositivo tenha uma identidade digital nos serviços que eles precisam ar. Uma vez estabelecida essa identidade digital, ela deve ser mantida, modificada e monitorada durante todo o ciclo de vida de o de cada usuário ou dispositivo. É o componente mais crítico e complexo que rege a autenticação e autorização de todos os recursos em um ambiente de nuvem.

Nova pesquisa de ameaças na nuvem da equipe Unit 42 da Palo Alto Networks revela vários problemas de segurança devido ao manuseio incorreto de permissões e configuração incorreta, o que abre as portas para os agentes de ameaças.

99% das identidades digitais são muito permissivas

Em ambientes de nuvem geralmente compostos por mais de centenas ou milhares de cargas de trabalho, cada dispositivo ou identidade de máquina pode ser um risco para a infraestrutura de nuvem. O número de credenciais necessárias para diferentes serviços geralmente cresce com o tempo e dificulta o gerenciamento eficiente do controle de o de identidade.

A Unidade 42 da Palo Alto Networks estudou 680.000 usuários, funções e serviços de nuvem e descobriu que 99% das identidades de nuvem eram excessivamente permissivas. Para chegar a essa porcentagem impressionante, os pesquisadores consideraram uma identidade de nuvem excessivamente permissiva se recebesse permissões que não foram utilizadas nos últimos 60 dias. Essas permissões não utilizadas podem ser usadas por agentes de ameaças que conseguiram obter o inicial e podem usá-las para se mover lateralmente ou verticalmente dentro da infraestrutura e aumentar a superfície de ataque.

VEJA: Proteja seus dados com autenticação de dois fatores (PDF grátis) (TechRepublic)

A configuração incorreta no IAM facilita a vida dos invasores

De acordo com a Palo Alto Networks, 65% dos incidentes de segurança observados são devidos a configurações incorretas.

53% das contas de nuvem estudadas permitiam senhas fracas do IAM, o que significa menos de 14 caracteres. Além disso, 44% das contas permitiram a reutilização de senhas do IAM. Senhas fracas são vulneráveis ​​a ataques de força bruta, e senhas antigas não devem ser reutilizáveis, caso um invasor consiga ar dados antigos revelando tal senha.

As políticas gerenciadas por CSP (provedor de serviços em nuvem) são convenientes porque podem ser aplicadas rapidamente, mas tendem a ser muito gerais e conceder muitas permissões desnecessárias. As políticas gerenciadas por CSP recebem 2,5 vezes mais permissões do que as políticas gerenciadas pelo cliente.

Em particular, as políticas do estão entre as três principais políticas gerenciadas concedidas (Figura A).

Figura A

Cinco agentes de ameaças na nuvem expostos

Os pesquisadores da Palo Alto Networks selecionaram uma lista de cinco atores de ameaças na nuvem que visam diretamente as plataformas de serviços em nuvem.

Equipe TNT

Historicamente, o primeiro agente de ameaças a ter arquivos de credenciais na nuvem direcionados ativamente em cargas de trabalho comprometidas, o TeamTNT é considerado o agente de ameaças na nuvem mais sofisticado em termos de técnicas de enumeração de identidade na nuvem.

O TeamTNT foi testemunhado enumerando serviços de plataforma de nuvem, fazendo movimentos laterais dentro de clusters Kubernetes, estabelecendo botnets de IRC e seqüestrando recursos de carga de trabalho de nuvem comprometidos para minerar a criptomoeda Monero. O TeamTNT também é conhecido por infectar imagens do Docker para espalhar malware.

cão de guarda

Esse agente de ameaças na nuvem usa uma variedade de scripts programados na linguagem Go, bem como scripts de cryptojacking reaproveitados de outros grupos, incluindo TeamTNT. É um ator de ameaças oportunista feito de programação tecnicamente competente, mas de acordo com a Palo Alto Networks “eles estão dispostos a sacrificar a habilidade para facilitar o o”.

Kinsing

O nome desse agente de ameaça vem do fato de ele usar um “kinsing” diretamente nomeado para armazenar malware de mineração de criptomoeda. O agente da ameaça tem como alvo as APIs expostas do Docker Daemon usando processos maliciosos baseados em GoLang executados em contêineres do Ubuntu. Ele começou a expandir suas operações fora dos contêineres do Docker, visando especificamente arquivos de credenciais de contêiner e nuvem contidos em cargas de trabalho de nuvem comprometidas.

Rock

A Rocke é especializada em operações de ransomware e cryptojacking em ambientes de nuvem. Ele também tem as habilidades para desabilitar e remover ferramentas de segurança em nuvem de servidores em nuvem comprometidos. Em agosto de 2019, foi relatado que 28,1% das organizações com infraestrutura em nuvem foram comprometidas.

8220

Esse agente de ameaças está interessado em mineração de criptomoedas e acredita-se que tenha se originado de um fork do GitHub do software do agente de ameaças Rocke. Ele elevou suas operações de mineração com o uso de raspagem de credenciais da plataforma de serviço em nuvem por meio do uso da exploração Log4j a partir de dezembro de 2021.

CONSULTE: Resposta a incidentes de segurança: etapas críticas para recuperação de ataques cibernéticos (TechRepublic )

Mais atores de ameaças em estado selvagem

Além dos cinco atores de ameaças expostos, a Palo Alto Networks também relata que os atores avançados de ameaças persistentes (APT), que geralmente são atores de estado-nação, empregam infraestrutura de nuvem quando necessário.

Os atores de ameaças APT APT28 (também conhecido como Fancy Bear ou Pawn Storm), APT29 (Cozy Bear) e APT41 (Gadolinium) usaram a infraestrutura de nuvem no ado. O uso da infraestrutura do Kubernetes para realizar ataques de força bruta, imagens de contêiner na nuvem comprometidas para espalhar malware e o uso da infraestrutura na nuvem para hospedar servidores de comando e controle são algumas das maneiras pelas quais esses atores usaram a nuvem.

Recomendações

As permissões do IAM devem ser protegidas cuidadosamente por:

• Remoção de permissões não utilizadas para cada usuário, função ou serviço para reduzir significativamente o risco e minimizar a superfície de ataque de todo o ambiente de nuvem.
• Minimizando o uso de credenciais de .
• Aplicação de autenticação multifator (MFA) para permissão de operações estratégicas: exclusão de banco de dados ou instantâneo, atualização de chave de criptografia, manipulação de backup, etc.

Em relação às políticas, o princípio do privilégio mínimo deve sempre ser aplicado. O o de , em particular, não deve ser concedido por padrão a entidades.

A política de senha deve ser aplicada e permitir apenas senhas fortes, mas a prática recomendada para o manuseio seguro de senhas é federar identidades ou usar o logon único (SSO) para reduzir o número de nomes de usuário/senhas.

O software CNAPP (plataformas de proteção de aplicativos nativos da nuvem) deve ser usado e implantado para monitorar e fornecer alertas sobre eventos de segurança baseados em nuvem.