Microsoft varuje podnikové zákazníky před eskalující vlnou kybernetických útoků zaměřených na jeho službu Azure Blob Storage.
V podrobném doporučení zveřejněném 20. října nastínil tým společnosti Threat Intelligence, jak aktéři hrozeb aktivně využívají běžné nesprávné konfigurace, slabé přihlašovací údaje a špatné řízení přístupu k odcizení citlivých podnikových dat.
Theupozorněnípodrobně popisuje sofistikovaný řetězec útoků, od počátečního průzkumu až po exfiltraci a zničení dat v plném rozsahu. S odvoláním na kritickou roli, kterou Blob Storage hraje při správě masivních datových zátěží pro AI a analytiku, Microsoft naléhá na administrátory, aby implementovali silnější bezpečnostní protokoly ke zmírnění rostoucího rizika.
Vysoce hodnotný cíl zralý na vykořisťování
Azure Blob Storage se stalo základním kamenem moderní cloudové infrastruktury, kterou organizace používají ke zpracování obrovských objemů nestrukturovaných dat.
Díky své flexibilitě je nepostradatelný pro řadu kritických funkcí, včetně ukládání školicích modelů AI, podpory vysoce výkonných výpočtů (HPC), spouštění rozsáhlých analýz, hostování médií a správy podnikových záloh.
Bohužel tato ústřední role z něj také dělá hlavní cíl pro kyberzločince, kteří hledají data s vysokým dopadem.
Tým Threat Intelligence společnosti Microsoft vysvětlil útočníkům strategickou hodnotu této služby. „Blob Storage, stejně jako každá služba objektových dat, je vysoce hodnotným cílem pro aktéry hrozeb díky své kritické roli při ukládání a správě obrovského množství nestrukturovaných dat ve velkém měřítku napříč různými pracovními zátěžemi.“
Tým dále poznamenal, že aktéři hrozeb nejsou jen oportunističtí, ale systematicky vyhledávají zranitelná prostředí. Snaží se kompromitovat systémy, které buď hostují stahovatelný obsah, nebo slouží jako rozsáhlá úložiště dat, čímž se Blob Storage stává univerzálním vektorem pro širokou škálu útoků.
Dekonstrukce řetězce cloudových útoků
Cesta od počátečního vyšetřování k velkému narušení dat probíhá podle dobře definovaného vzoru, který Microsoft zmapoval, aby pomohl obráncům porozumět svým protivníkům. Útok není jedinou událostí, ale vícestupňovým procesem, který začíná dlouho předtím, než dojde k odcizení dat.
Útočníci často začínají širokým průzkumem a pomocí automatických nástrojů vyhledávají účty úložiště s veřejně přístupnými koncovými body nebo předvídatelnými názvy. Mohou také používat jazykové modely ke generování věrohodných názvů kontejnerů pro efektivnější brutální vynucování.
Jakmile je identifikován potenciální cíl, prozkoumají běžné slabiny, jako jsou odhalené klíče účtů úložiště nebo ssdílený přístupový podpis (SAS)tokeny objevené ve veřejných úložištích kódu.
Po získání počátečního přístupu se pozornost přesouvá na zajištění stálosti. Útočník může vytvořit nové role se zvýšenými oprávněními, generovat tokeny SAS s dlouhou životností, které fungují jako zadní vrátka, nebo dokonce manipulovat se zásadami přístupu na úrovni kontejnerů, aby povolil anonymní přístup.
Odtud se mohou přesunout laterálně a potenciálně spouštět následné služby, jako jsou Azure Functions nebo Logic Apps, aby dále eskalovaly svá oprávnění. Poslední fáze mohou zahrnovat poškození dat, odstranění nebo exfiltraci ve velkém měřítku, často pomocí důvěryhodných nativních nástrojů Azure, jako jeAzCopysplynout s legitimním síťovým provozem a vyhnout se detekci.
Důsledky takové nesprávné konfigurace v reálném světě mohou být zničující. Při jednom pozoruhodném minulém incidentu náborová softwarová firma neúmyslně odhalila téměř 26 milionů souborů obsahujících životopisy, když nechala kontejner Azure Blob Storage nesprávně zabezpečený.významný incident, který upozorňuje na rizika.
Tento typ narušení ukazuje kritickou důležitost bezpečnostního postoje, který nyní Microsoft obhajuje.
Plán obrany společnosti Microsoft: Nástroje a osvědčené postupy
Aby společnost čelila těmto eskalujícím hrozbám, zdůraznila vícevrstvou obrannou strategii zaměřenou na proaktivní monitorování a dodržování bezpečnostních základů.
Klíčovou součástí této strategie je Microsoft Defender for Storage, cloudové nativní řešení navržené tak, aby poskytovalo další vrstvu bezpečnostního zpravodajství.
Podle Microsoftu „Defender for Storage poskytuje další vrstvu bezpečnostního zpravodajství, která detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k účtům úložiště nebo jejich zneužití.“
Defender for Storage nabízí více vrstev ochrany, včetně skenování malwaru, které lze nakonfigurovat ve dvou primárních režimech,podle oficiální dokumentace.
Kontrola při nahrání poskytuje téměř v reálném čase analýzu nových nebo upravených souborů a automaticky v nich kontroluje hrozby, jakmile vstoupí do systému.
Přečtěte si více:Microsoft varuje před phishingovými útoky „payroll pirátů“ zacílenými na americké univerzity a pracovní systémy
Pro hlubší a proaktivní zabezpečení umožňuje skenování na vyžádání správcům skenovat stávající data, což je klíčové pro reakci na incidenty a zabezpečení datových kanálů. W
Když je detekován malware, může být spuštěna automatická náprava pro karanténu nebo softwarové odstranění škodlivého blob, čímž se zablokuje přístup a zmírní se hrozba.
Kromě nasazení konkrétních nástrojů společnost nastínila několik základních osvědčených postupů pro všechny podnikové zákazníky. Za prvé, organizace musí důsledně prosazovat princip nejmenších oprávnění pomocí řízení přístupu založeného na rolích (RBAC) Azure.
Tím je zajištěno, že v případě kompromitace účtu je výrazně omezena schopnost útočníka způsobit škodu. Udělení pouze nezbytných oprávnění uživatelům a službám je základním krokem ke snížení plochy útoku.
Za druhé, správci by se měli vyvarovat používání neomezených tokenů SAS s dlouhou životností. Tyto tokeny mohou poskytnout stálá zadní vrátka, pokud jsou kompromitovány, a obcházet jiné ovládací prvky založené na identitě.
Implementace komplexního protokolování a auditování je také zásadní pro rychlé odhalování a reakci na incidenty.
A konečně, Microsoft důrazně doporučuje omezit veřejný síťový přístup k účtům úložiště, kdykoli je to možné, a vynutit požadavky na bezpečný přenos pro ochranu dat při přenosu.
Zpřísněním těchto základních kontrol a udržováním stálé ostražitosti mohou organizace výrazně snížit svá rizika a lépe chránit svá kritická cloudová data před kompromitováním.
