Современные атаки: Искусство Облачной Хитрости

Документ ‎под‏ ‎названием ‎«cyber ‎actors ‎adapt ‎tactics‏ ‎for ‎initial‏ ‎cloud‏ ‎access», ‎опубликованный ‎Агентством‏ ‎национальной ‎безопасности‏ ‎предупреждает, ‎об ‎адаптации ‎тактики‏ ‎для‏ ‎получения ‎первоначального‏ ‎доступа ‎к‏ ‎облачным ‎сервисам, ‎а ‎не ‎для‏ ‎использования‏ ‎уязвимостей ‎локальной‏ ‎сети.

Переход ‎от‏ ‎локальных ‎решений ‎к ‎облачным ‎является‏ ‎ответом‏ ‎на‏ ‎то, ‎что‏ ‎организации ‎модернизируют‏ ‎свои ‎системы‏ ‎и‏ ‎переходят ‎на‏ ‎облачную ‎инфраструктуру. ‎Также ‎кибер-кампании ‎расширяются‏ ‎в ‎сторону‏ ‎таких‏ ‎секторов, ‎как ‎авиация,‏ ‎образование, ‎секторов,‏ ‎связанных ‎региональными ‎и ‎федеральными,‏ ‎а‏ ‎также ‎госучреждениями,‏ ‎правительственными ‎финансовыми‏ ‎департаментами ‎и ‎военными ‎организациями.

Реальность ‎такова,‏ ‎что‏ ‎для ‎взлома‏ ‎облачных ‎сетей‏ ‎нужно ‎только ‎пройти ‎аутентификацию ‎у‏ ‎поставщика‏ ‎облачных‏ ‎услуг, ‎и‏ ‎в ‎случае‏ ‎успеха, ‎защита‏ ‎будет‏ ‎преодолена. ‎Другими‏ ‎словами, ‎«неожиданный» ‎аспект ‎облачных ‎сред:‏ ‎меньшая ‎уязвимость‏ ‎сети‏ ‎по ‎сравнению ‎с‏ ‎локальными ‎системами‏ ‎парадоксальным ‎образом ‎делает ‎преодоление‏ ‎первоначального‏ ‎доступа ‎наиболее‏ ‎эффективным.

За ‎последний‏ ‎год ‎наблюдаемые ‎TTPs ‎были ‎простыми,‏ ‎и‏ ‎вместе ‎с‏ ‎тем ‎эффективными‏ ‎так ‎как ‎использовались ‎служебные ‎и‏ ‎бездействующие‏ ‎учётные‏ ‎записи. ‎В‏ ‎целом ‎публикация‏ ‎вызывает ‎прохладное‏ ‎утешение,‏ ‎предполагая, ‎что‏ ‎прочная ‎основа ‎основ ‎безопасности ‎всего‏ ‎лишь ‎гонка‏ ‎на‏ ‎опережение ‎специалистов ‎по‏ ‎безопасности ‎с‏ ‎атакующими.

Ключевые ‎выводы

Адаптация ‎к ‎облачным‏ ‎сервисам:‏ ‎сместился ‎фокус‏ ‎с ‎эксплуатации‏ ‎уязвимостей ‎локальной ‎сети ‎на ‎прямое‏ ‎воздействие‏ ‎на ‎облачные‏ ‎сервисы. ‎Это‏ ‎изменение ‎является ‎ответом ‎на ‎модернизацию‏ ‎систем‏ ‎и‏ ‎миграцию ‎инфраструктуры‏ ‎в ‎облако.

📌Аутентификация‏ ‎как ‎ключевой‏ ‎шаг:‏ ‎чтобы ‎скомпрометировать‏ ‎облачные ‎сети, ‎необходимо ‎успешно ‎пройти‏ ‎аутентификацию ‎у‏ ‎поставщика‏ ‎облачных ‎услуг. ‎Предотвращение‏ ‎этого ‎первоначального‏ ‎доступа ‎имеет ‎решающее ‎значение‏ ‎для‏ ‎предотвращения ‎компрометации.

📌Расширение‏ ‎таргетинга: расширена ‎сфера‏ ‎воздействия ‎на ‎сектора, ‎такие ‎как,‏ ‎как‏ ‎авиация, ‎образование,‏ ‎правоохранительные ‎органы,‏ ‎региональные ‎и ‎федеральные ‎организации, ‎правительственные‏ ‎финансовые‏ ‎департаменты‏ ‎и ‎военные‏ ‎организации. ‎Это‏ ‎расширение ‎указывает‏ ‎на‏ ‎стратегическую ‎диверсификацию‏ ‎целей ‎сбора ‎разведывательной ‎информации.

📌Использование ‎служебных‏ ‎и ‎неактивных‏ ‎учётных‏ ‎записей: ‎подчёркивается, ‎что‏ ‎за ‎последние‏ ‎12 ‎месяцев ‎использовались ‎брутфорс-атаки‏ ‎для‏ ‎доступа ‎к‏ ‎служебным ‎и‏ ‎неактивным ‎учётным ‎записям. ‎Эта ‎тактика‏ ‎позволяет‏ ‎получить ‎первоначальный‏ ‎доступ ‎к‏ ‎облачным ‎средам.

📌Профессиональный ‎уровень ‎атакующих: ‎выявлена‏ ‎возможность‏ ‎осуществления‏ ‎компрометациии ‎глобальной‏ ‎цепочки ‎поставок,‏ ‎как, ‎например,‏ ‎инцидент‏ ‎с ‎SolarWinds‏ ‎в ‎2020 ‎году.

📌Первая ‎линия ‎защиты:‏ ‎подчёркивается, ‎что‏ ‎первая‏ ‎линия ‎защиты ‎включает‏ ‎предотвращения ‎возможности‏ ‎первичного ‎доступа ‎к ‎сервисам.