Недавние исследования выявили, что злоумышленники используют легитимные облачные функции для реализации атак вымогателей, эксплуатируя стандартные настройки и встроенные механизмы безопасности.
Отчёт Palo Alto Networks Unit 42 показал, что в 66% бакетов облачных хранилищ содержатся чувствительные данные, что делает их привлекательной мишенью для атак на шифрование данных.
Доклад SANS Institute подчеркивает, что преступники могут злоупотреблять настройками провайдеров облачного хранения, обходя стандартные меры защиты и используя дефолтные параметры безопасности.
Консультант по безопасности Brandon Evans, сертифицированный инструктор SANS, отметил: «За последние несколько месяцев я наблюдал два различных метода реализации атаки вымогателей, используя исключительно легитимные функции облачной безопасности».
Один из методов, продемонстрированный группой Halcyon, задействовал встроенный механизм шифрования AWS S3 SSE-C для блокировки доступа к бакетам, в то время как эксперт по безопасности Chris Farris представил аналогичную атаку с использованием AWS KMS с внешним ключевым материалом, реализованную с помощью скриптов, сгенерированных ChatGPT; по его словам, «Очевидно, эта тема находится в центре внимания как злоумышленников, так и исследователей».
Использование облачных сервисов требует глубокого понимания их особенностей: решения для резервного копирования, такие как OneDrive, Dropbox и iCloud, обычно оснащены возможностями восстановления файлов, в отличие от Amazon S3, Azure Storage и Google Cloud Storage, где эти функции не активированы по умолчанию.
Для минимизации уязвимостей рекомендуется блокировать неподдерживаемые методы шифрования, такие как AWS S3 SSE-C и AWS KMS с внешним ключевым материалом, поскольку злоумышленники получают полный контроль над ключами; применение политик управления доступом (IAM) позволяет обеспечить использование исключительно безопасных методов, например, принудительное применение SSE-KMS с ключевым материалом, размещённым в AWS.
Активирование резервного копирования, версионирования и блокировки объектов повышает целостность и доступность данных, что особенно важно, учитывая, что эти возможности не включены по умолчанию у ведущих облачных провайдеров.
Балансировка безопасности и затрат реализуется через политики жизненного цикла данных, позволяющие управлять резервными копиями и версиями, однако облачные провайдеры не предоставляют эти услуги бесплатно, что требует тщательного бюджетирования; как отметил Brandon Evans, «Облачные провайдеры не будут бесплатно хранить версии ваших данных, и ваша организация не даст вам бессрочный бюджет на безопасность»; курс SEC510: Cloud Security Controls and Mitigations, а также предстоящие мероприятия SANS 2025 в Орландо, онлайн-сессия в апреле и курсы в Балтіморе, MD в июне и Вашингтоне, DC в июле, предоставляют дополнительные возможности для повышения квалификации специалистов по информационной безопасности.
Изображение носит иллюстративный характер
Отчёт Palo Alto Networks Unit 42 показал, что в 66% бакетов облачных хранилищ содержатся чувствительные данные, что делает их привлекательной мишенью для атак на шифрование данных.
Доклад SANS Institute подчеркивает, что преступники могут злоупотреблять настройками провайдеров облачного хранения, обходя стандартные меры защиты и используя дефолтные параметры безопасности.
Консультант по безопасности Brandon Evans, сертифицированный инструктор SANS, отметил: «За последние несколько месяцев я наблюдал два различных метода реализации атаки вымогателей, используя исключительно легитимные функции облачной безопасности».
Один из методов, продемонстрированный группой Halcyon, задействовал встроенный механизм шифрования AWS S3 SSE-C для блокировки доступа к бакетам, в то время как эксперт по безопасности Chris Farris представил аналогичную атаку с использованием AWS KMS с внешним ключевым материалом, реализованную с помощью скриптов, сгенерированных ChatGPT; по его словам, «Очевидно, эта тема находится в центре внимания как злоумышленников, так и исследователей».
Использование облачных сервисов требует глубокого понимания их особенностей: решения для резервного копирования, такие как OneDrive, Dropbox и iCloud, обычно оснащены возможностями восстановления файлов, в отличие от Amazon S3, Azure Storage и Google Cloud Storage, где эти функции не активированы по умолчанию.
Для минимизации уязвимостей рекомендуется блокировать неподдерживаемые методы шифрования, такие как AWS S3 SSE-C и AWS KMS с внешним ключевым материалом, поскольку злоумышленники получают полный контроль над ключами; применение политик управления доступом (IAM) позволяет обеспечить использование исключительно безопасных методов, например, принудительное применение SSE-KMS с ключевым материалом, размещённым в AWS.
Активирование резервного копирования, версионирования и блокировки объектов повышает целостность и доступность данных, что особенно важно, учитывая, что эти возможности не включены по умолчанию у ведущих облачных провайдеров.
Балансировка безопасности и затрат реализуется через политики жизненного цикла данных, позволяющие управлять резервными копиями и версиями, однако облачные провайдеры не предоставляют эти услуги бесплатно, что требует тщательного бюджетирования; как отметил Brandon Evans, «Облачные провайдеры не будут бесплатно хранить версии ваших данных, и ваша организация не даст вам бессрочный бюджет на безопасность»; курс SEC510: Cloud Security Controls and Mitigations, а также предстоящие мероприятия SANS 2025 в Орландо, онлайн-сессия в апреле и курсы в Балтіморе, MD в июне и Вашингтоне, DC в июле, предоставляют дополнительные возможности для повышения квалификации специалистов по информационной безопасности.
