Инструментите за разработчици, базирани в облака, са подложени на атаки постоянно. Всяко нещо, което се появи, се превръща в мишена в рамките на броени секунди, посочиха експерти по киберзащита. Нападенията идват предимно от Китай.
Облачните инструменти за разработчици – такива като Jupyter Notebook и Selenium Grid – са подложени на постоянни атаки, предупреждава Макс Хайнемайер, глобален главен директор по информационна сигурност (CISO) в компанията по киберсигурност Darktrace. Проучването сочи, че разпределението на целите е „широко разпространено“ из всички основни облачни платформи и географски региони.
„Не е като да са само САЩ и Azure – на прицел е всичко и бива атакувано през цялото време“, каза Хайнемайер. Това включва и Азиатско-тихоокеанския регион, според Тони Джарвис, вицепрезидент на Darktrace и CISO за Азиатско-тихоокеанския регион и Япония. „Ще отида в някои страни и хората ще ми кажат: „Ние не сме интересни, те ще се насочат към хора в САЩ, вместо към нас“. Ами не, не е така!“
Мигновена реакция
Данните за предупреждението идват от Cloudypot на Darktrace – глобално разпределена мрежа от „медени примамки“, предназначена да привлича атаки към облачната инфраструктура. „Веднага щом се появи нова версия на инструмент за облачна разработка, има огромен скок [в атаките]“, каза Хайнемайер.
Макар да е налице значителен брой атаки срещу традиционната и облачната инфраструктура, „веднага щом се появи нещо ново около облачните системи, можеше да се види, че хората наистина искат да влязат там“.
Само въпрос на секунди или най-много минути е между включването на системата в интернет и нейното проучване от нападателите. „То се случва автоматизирано, така че е точно толкова лесно да се атакува дадена цел колкото и друга – независимо в коя индустрия се намирате, какъв размер организация сте или в коя държава работите“, каза Джарвис.
Нападателите действат опортюнистично. Те са склонни да преследват колкото могат повече и се целят във всичко.
Любопитна подробност, споделена от статистиката, е, че повечето атаки произхождат от китайското IP адресно пространство. Това откритие, според експертите, се потвърждава от съответствие с информацията за заплахите и от други доставчици.
Заразата е почти навсякъде
Телеметрията от Cloudypots показва, че видовете атаки също се променят. „Половината от зловредния софтуер, който наблюдавахме, бяха крипто майнери, и то предимно Monero майнери“, каза Хайнемайер. Особеното при Monero е, че – за разлика от някои криптовалути – може да се добива ефективно на стандартен процесор.
„Обичам да сравнявам тези криптомайнери с болестотворни гъбички, които обхващат по-голямата част от интернет. Заразата е почти навсякъде“, каза той. „Много компании всъщност не се интересуват от нея, ако изобщо я видят, защото тя привидно не прави нищо лошо – просто си стои там и източва малко електричество, за да генерира криптовалута“.
Но зареждащият се злонамерен софтуер за майнера може лесно да замени или да допълни модула на криптомайнера с нещо по-опасно, като например рансъмуер. Може също така да се превърне във входна точка за целенасочена атака. „Така че, макар тази гъбичка да не изглежда твърде лоша в началото, тя може да стане отровна за една нощ“, каза Хайнемайер.
Шок от сметката за ток
Другият риск в този сценарий е шокът от сметката за тока. Криптомайнерът може да доведе до достигане на предела на капацитета на облачните виртуални машини, което води до автоматично задействане на повече ВМ.
„Много хора получават неприятна изненада на края на месеца, когато получат сметката си за облачни услуги. Те казват: „О, ние не сме използвали толкова много облачни услуги!“, сподели специалистът.
Предишно проучване на Darktrace установи, че недостигът на умения е едно от най-големите предизвикателства пред облачната сигурност, пред които са изправени организациите.
„Ако смятате, че е трудно да се намери добър анализатор по сигурността, почакайте да видите какво е да намериш анализатор по сигурността, който може да разгледа и облачната среда и да разбере облачните атаки и облачното инженерство“, каза Хайнемайер.
Независимо дали организациите искат да наемат квалифициран персонал или да възложат сигурността на външен доставчик на управлявани услуги (MSSP), те винаги са жертва на огромната война за таланти.
В облака е другояче
Част от предизвикателството е динамичният характер на облачната среда. В традиционна локална среда архитектурата се проектира, внедрява и до голяма степен се фиксира. Промените изискват официален процес на заявка. В облака е другояче.
„Облакът е много по-динамичен. Нещата ще се променят, независимо дали искате или не“, каза експертът. „Имаме еластичност и нови функции, които доставчиците на облачни услуги пускат непрекъснато. Включваме ги, искаме да експериментираме с тях и да се възползваме от тях, понякога преди наистина да разберем най-добрите практики около тях и да ги заключим“.
Това, по думите му, означава, че ако създадем топологична диаграма, тя остарява в рамките на пет минути, тъй като ресурсите се променят. „Това води до пропуски във видимостта и пропуски в знанията, така че е много по-трудно да се защити“, добави Джарвис. Заедно с това ефимерният характер на облачните среди прави и разследванията изключително трудни.
