Il cloud è complesso. Solo AWS ha oltre 200 servizi e il numero è in costante crescita. Configurare la sicurezza anche in un piccolo insieme di questi servizi per operare alla scala delle organizzazioni moderne crea diverse sfide. Le infrastrutture possono comprendere centinaia di servizi in costante evoluzione, rendendo difficile raggiungere uno stato di buona igiene informatica. In effetti, non è affatto azzardato dire che distribuire un'applicazione cloud in modo sicuro oggi è, beh, impossibile. Poiché le impronte del cloud continuano a crescere in modo esponenziale, agli aggressori basta una sola apertura per sfruttare interi ambienti. E con l'aumento della velocità e dell'agilità complessive, aumenta anche il rischio di una scarsa igiene informatica, che potrebbe introdurre ogni sorta di problema di sicurezza.
Inoltre, l'audit del cloud non è semplice. Le fonti di dati da monitorare per individuare le vulnerabilità sono molteplici, come i dati dei pacchetti di rete e i dati di log. Le azioni che appaiono in una fonte di dati potrebbero non essere presenti nell'altra, il che rappresenta una sfida unica per coprire tutti gli angoli. Quando le organizzazioni cercano di creare e mantenere implementazioni cloud sicure, devono adottare soluzioni che forniscano una copertura estesa a queste superfici di minaccia.
Il Cloud non è solo una superficie di minaccia...
E, naturalmente, non tutti gli attacchi cloud sono uguali. Gli attacchi si manifestano in modo diverso a seconda della superficie di minaccia presa di mira.
Vectra per il piano di controllo AWS
Utilizziamo il piano di controllo di AWS come esempio. Negli ultimi anni sono stati scoperti attacchi di vario tipo che coinvolgono il piano di controllo, in cui un aggressore ottiene l'accesso all'impronta AWS di un'organizzazione (ad esempio, utilizzando credenziali rubate da una campagna di phishing ). Una volta entrato nell'ambiente, l'aggressore si aggira nel sistema come un normale utente, assumendo ruoli diversi, aumentando i privilegi e accedendo a risorse di alto valore come chiavi crittografiche, archivi di dati S3 e data lake che ospitano informazioni riservate. Questo è esattamente ciò che è accaduto nel famoso attacco di Capital One, in cui sono stati compromessi i dati di oltre 100 milioni di clienti. Questi attacchi sono quasi impossibili da rilevare poiché le azioni intraprese dall'aggressore sembrano provenire da un normale account utente. Attacchi di questo tipo stanno diventando sempre più comuni e sono stati osservati numerose volte in organizzazioni con implementazioni cloud mature. L'unico modo per identificare questi attacchi è l'analisi comportamentale dei principali tra i servizi e le regioni di AWS. Inoltre, questi modelli comportamentali si presentano solo attraverso i dati di log e non appaiono in altre fonti di dati (ad esempio, i dati dei pacchetti di rete).
È qui che entra in gioco la copertura di Vectra per il piano di controllo di AWS. All'interno dell'impronta cloud , la piattaforma Vectra monitora continuamente gli account e i servizi (ad esempio, EC2, S3, IAM, KMS, Config, Organizzazioni, ecc.) in tutte le regioni per identificare tempestivamente i comportamenti dannosi degli aggressori a livello granulare attraverso le diverse fasi della kill chain cloud (scoperta, movimento laterale, esfiltrazione). Fin dal suo lancio, la copertura di Vectra per il piano di controllo di AWS ha aiutato numerose organizzazioni a proteggere le loro implementazioni cloud identificando e bloccando i comportamenti degli aggressori. All'inizio del 2022, la piattaforma Vectra ha identificato un aggressore che sfruttava credenziali rubate per estrarre segreti crittografici dall'ambiente AWS di un'azienda Fortune 500. La piattaforma è stata in grado di assegnare priorità efficienti alle operazioni di controllo. L'efficiente attribuzione di priorità a questa entità dannosa, la vera attribuzione della fonte attraverso il labirinto dei ruoli presunti e la funzione di indagine tempestiva hanno permesso al team SecOps di identificare rapidamente la fonte dell'attacco e di reagire prima che potesse avere un grave impatto sull'organizzazione.
Vectra per la rete AWS
Ortogonale al piano di controllo in AWS è la rete (anche se altrettanto importante). Gli attacchi a questa superficie sono comunemente osservati negli ambienti lift-n-shift. Man mano che un numero sempre maggiore di organizzazioni ripropone le proprie implementazioni attuali per il cloud, inevitabilmente lascia delle lacune e introduce vulnerabilità che gli aggressori amano sfruttare.
Un esempio popolare di tale attacco che si manifesta nei dati dei pacchetti di rete è l'attacco Cloud Hopper, in cui, nel 2019, gli aggressori hanno sfruttato le vulnerabilità della rete per penetrare nei sistemi delle aziende che gestiscono applicazioni per i clienti tramite il cloud. Hanno ottenuto l'accesso utilizzando credenziali rubate e hanno installato malware sugli host cloud , che hanno poi permesso loro di passare da un host all'altro senza soluzione di continuità per evitare il rilevamento. Gli hacker hanno sfruttato il loro accesso per facilitare quello che è diventato uno dei più grandi sforzi di spionaggio aziendale della storia.
L'unico modo per scoprire questo attacco sarebbe stato il monitoraggio prudente del traffico di rete, che è esattamente ciò che Vectra per la rete AWS è stato progettato per realizzare. Per coloro che conoscono la soluzione di rilevamento e risposta alle minacce di rete on-premise di Vectra, la copertura per la rete AWS rappresenta un'estensione della stessa soluzione nel cloud pubblico AWS. La piattaforma monitora le azioni dannose contro gli host che si verificano comunemente nelle implementazioni lift-n-shift. La copertura di questo vettore di minacce continua a essere una delle principali preoccupazioni per le organizzazioni che implementano il cloud. All'interno della rete AWS, la piattaforma Vectra monitora il traffico di rete delle macchine virtuali EC2 utilizzando il mirroring del traffico. Per saperne di più su questa soluzione , cliccate qui.
In che modo la copertura del piano di controllo AWS differisce dalla copertura della rete AWS?
La differenza principale tra le due soluzioni risiede nelle superfici di minaccia coperte. Mentre la copertura di Vectra per la rete AWS protegge la componente di rete delle implementazioni cloud monitorando i dati dei pacchetti, la copertura per il piano di controllo AWS fornisce una protezione per il piano di controllo analizzando i dati di log AWS. Insieme, forniscono una copertura completa delle due principali superfici di minaccia nel cloud.
Al di fuori delle superfici minacciose, vi sono alcune differenze fondamentali tra i due sistemi, soprattutto per quanto riguarda le modalità di erogazione. Queste sono descritte nella tabella seguente:
Quale è quello giusto per la mia organizzazione?
Una domanda frequente che riceviamo riguarda quale soluzione, Vectra per il piano di controllo AWS o Vectra per la rete AWS, sia la più adatta per un'organizzazione che sta implementando il cloud. Come discusso in precedenza, entrambe le soluzioni coprono superfici di minaccia separate e si completano a vicenda.
Per le organizzazioni con implementazioni native cloud , si consiglia di implementare prima Vectra per il piano di controllo AWS per individuare rapidamente eventuali comportamenti degli aggressori. La piattaforma Vectra fornisce il monitoraggio delle minacce sul piano di controllo attraverso i footprint AWS su scala aziendale in pochi minuti. D'altra parte, se un'organizzazione sta migrando verso il cloud in modo "lift-n-shift", si consiglia di iniziare con Vectra for the AWS Control Plane per una copertura immediata del piano di controllo e di attivare poi la copertura della rete AWS in enclavi di alto valore per monitorare il traffico di rete sensibile. In questo modo si garantisce una copertura olistica delle superfici di minaccia man mano che l'organizzazione si avventura nel cloud. In breve, sia la copertura di Vectra per il piano di controllo che quella per la rete AWS lavorano insieme per fornire una copertura completa dell'impronta AWS di un'organizzazione. Entrambe sono preziose per rafforzare l'arsenale di un SOC contro le minacce esistenti ed emergenti nel cloud. Sembra interessante? Scoprite di più e iscrivetevi per una prova gratuita!