Il cloud complesso. AWS da solo offre oltre 200 servizi e questo numero è in costante crescita. Configurare la sicurezza anche solo per un piccolo insieme di questi servizi affinché funzionino su scala delle organizzazioni moderne crea diverse sfide. Le infrastrutture possono comprendere centinaia di servizi in costante evoluzione, rendendo difficile raggiungere uno stato di buona igiene informatica. In effetti, non è esagerato affermare che oggi implementare cloud in modo sicuro è, beh, impossibile. Con la crescita esponenziale cloud , agli aggressori basta una sola apertura per sfruttare interi ambienti. E con l'aumento della velocità e dell'agilità complessive, aumenta anche il rischio di una scarsa igiene informatica, che alla fine può introdurre ogni tipo di problema di sicurezza.
Inoltre, l'auditing del cloud semplice. Esistono diverse fonti di dati da monitorare per individuare eventuali vulnerabilità, come i dati dei pacchetti di rete e i dati di log. Le azioni che compaiono in una fonte di dati potrebbero non essere presenti nell'altra, rendendo particolarmente difficile coprire tutti gli aspetti. Poiché le organizzazioni cercano di implementare e mantenere cloud sicure, devono adottare soluzioni che forniscano una copertura estesa su tutte queste superfici di minaccia.
Il Cloud solo una superficie di minaccia...
E, naturalmente, non tutti cloud sono uguali. Gli attacchi si manifestano in modo diverso a seconda della superficie di minaccia presa di mira.
Vectra per il piano di controllo AWS
Prendiamo ad esempio il piano di controllo AWS. Negli ultimi anni sono stati scoperti molti tipi di attacchi che coinvolgono il piano di controllo, in cui un aggressore ottiene l'accesso in modo dannoso all'impronta AWS di un'organizzazione (ad esempio, utilizzando credenziali rubate da unaphishing ). Una volta all'interno dell'ambiente, l'autore dell'attacco si muove all'interno del sistema come un utente normale, assumendo diversi ruoli, aumentando i propri privilegi e accedendo a risorse di alto valore come chiavi crittografiche, archivi di dati S3 e data lake che contengono informazioni riservate. Questo è esattamente ciò che è accaduto nel famoso attacco a Capital One, in cui sono stati compromessi i dati di oltre 100 milioni di clienti. Questi attacchi sono quasi impossibili da rilevare poiché le azioni intraprese dall'autore dell'attacco sembrano provenire da un account utente normale. Gli attacchi di questo tipo stanno diventando sempre più comuni e sono stati osservati numerose volte in organizzazioni con cloud mature. L'unico modo per identificare questi attacchi è attraverso l'analisi comportamentale dei principali servizi e regioni AWS. Inoltre, questi modelli comportamentali si presentano solo attraverso i dati di log e non compaiono in altre fonti di dati (ad esempio, i dati dei pacchetti di rete).
È qui che entra in gioco la copertura di Vectra per AWS Control Plane. All'interno cloud , la piattaforma Vectra monitora continuamente account e servizi (ad esempio EC2, S3, IAM, KMS, Config, Organizations, ecc.) in tutte le regioni per identificare tempestivamente comportamenti dannosi degli aggressori a livello granulare attraverso le diverse fasi della catena cloud (scoperta, movimento laterale, esfiltrazione). Dal suo lancio, la copertura di Vectra per AWS Control Plane ha aiutato numerose organizzazioni a proteggere cloud loro cloud identificando e bloccando i comportamenti degli aggressori. All'inizio del 2022, la piattaforma Vectra ha identificato un aggressore che sfruttava credenziali rubate per estrarre segreti crittografici dall'ambiente AWS di un'azienda Fortune 500. L'efficiente prioritizzazione di questa entità dannosa da parte della piattaforma, l'attribuzione della fonte reale attraverso il labirinto dei ruoli assunti e la sua funzione di indagine tempestiva dei risultati hanno permesso al team SecOps di identificare rapidamente la fonte dell'attacco e di rispondere prima che potesse avere un impatto grave sulla loro organizzazione.
Vectra per la rete AWS
Ortogonale al piano di controllo in AWS si trova la rete (altrettanto importante). Gli attacchi a questa superficie sono comunemente osservati in ambienti lift-n-shift. Poiché sempre più organizzazioni riutilizzano le loro attuali implementazioni per il cloud, inevitabilmente lasciano delle lacune e introducono vulnerabilità che gli aggressori amano sfruttare.
Un esempio noto di questo tipo di attacco che si manifesta nei dati dei pacchetti di rete è l'attacco Cloud , in cui, nel 2019, gli aggressori hanno sfruttato le vulnerabilità della rete per penetrare nei sistemi delle aziende che gestiscono applicazioni per i clienti tramite il cloud. Hanno ottenuto l'accesso utilizzando credenziali rubate e hanno installato malware cloud , che poi hanno permesso loro di passare senza problemi da un host all'altro per evitare di essere scoperti. Gli hacker hanno utilizzato il loro accesso per facilitare quella che è diventata una delle più grandi operazioni di spionaggio aziendale della storia.
L'unico modo per scoprire questo attacco sarebbe stato un monitoraggio accurato del traffico di rete, che è proprio quello che Vectra per AWS Network è stato progettato per fare. Per chi ha già familiarità con la soluzione di rilevamento e risposta alle minacce di rete on-premise di Vectra, la copertura per AWS Network rappresenta un'estensione della stessa soluzione nel cloud pubblico AWS. La piattaforma monitora le azioni dannose contro gli host che si verificano comunemente nelle implementazioni lift-n-shift. La copertura di questo vettore di minaccia continua a essere una delle principali preoccupazioni per le organizzazioni che implementano nel cloud. All'interno della rete AWS, la piattaforma Vectra monitora il traffico di rete delle macchine virtuali EC2 utilizzando il mirroring del traffico. Per saperne di più su questa soluzione, clicca qui.
In che modo la copertura per il piano di controllo AWS differisce dalla copertura per la rete AWS?
La differenza principale tra i due prodotti risiede nelle superfici di minaccia coperte. Mentre la copertura di Vectra per AWS Network protegge la componente di rete cloud monitorando i dati dei pacchetti, la copertura per AWS Control Plane fornisce un rafforzamento del piano di controllo analizzando i dati di log AWS. Insieme, forniscono una copertura completa su due delle principali superfici di minaccia nel cloud.
Al di fuori delle superfici di minaccia, esistono alcune differenze fondamentali tra i due, principalmente relative alle modalità di diffusione. Queste sono illustrate nella tabella seguente:
Qual è quello giusto per la mia organizzazione?
Una domanda frequente che ci viene posta riguarda quale soluzione, Vectra per AWS Control Plane o Vectra per AWS Network, sia più adatta per un'organizzazione che effettua implementazioni nel cloud. Come discusso in precedenza, entrambe coprono superfici di minaccia separate e si completano a vicenda.
Per le organizzazioni con implementazioni cloud , consigliamo di implementare prima Vectra per AWS Control Plane per individuare rapidamente qualsiasi comportamento sospetto. La piattaforma Vectra fornisce il monitoraggio delle minacce al piano di controllo su tutte le infrastrutture AWS su scala aziendale in pochi minuti. D'altra parte, se un'organizzazione sta migrando al cloud un approccio lift-n-shift, consigliamo di iniziare con Vectra per il piano di controllo AWS per una copertura immediata del piano di controllo e quindi di abilitare la copertura per la rete AWS in enclave di alto valore per monitorare il traffico di rete sensibile. Ciò garantisce una copertura olistica delle superfici di minaccia mentre l'organizzazione si avventura nel cloud. In breve, sia la copertura di Vectra per il piano di controllo che quella per la rete AWS funzionano in combinazione tra loro per fornire una copertura completa dell'impronta AWS di un'organizzazione. Entrambe sono preziose per rafforzare l'arsenale di un SOC contro le minacce esistenti ed emergenti nel cloud. Ti sembra interessante? Scopri di più e registrati per una prova gratuita!