0
0
A recente condenação de um trabalhador de tecnologia de Seattle acusado de realizar um ataque cibernético contra a Capital One não é o fim da história. O teste mostrou como uma pessoa pode cometer uma violação de dados maciça explorando configurações incorretas e privilégios excessivos comuns em muitos ambientes de nuvem.
Após o ataque – e a violação de dados resultante – a Capital One foi multada em US$ 80 milhões pelo governo federal e liquidou processos de clientes em US$ 190 milhões. Isso deve dar às organizações um incentivo para implementar medidas para evitar os mesmos erros.
A invasora, que era funcionária da Amazon Web Services, criou uma ferramenta que permitia que ela verificasse a plataforma da AWS em busca de contas mal configuradas. Ela usou serviços de anonimização como o Tor Network e IPredator VPN para ocultar seu endereço IP.
O invasor executou um ataque de falsificação de solicitação do lado do servidor (SSRF) que lhe permitiu enganar um servidor para fazer chamadas criadas em um firewall de aplicativo da Web (WAF) mal configurado. Isso permitiu que o invasor do Capital One extraísse e explorasse facilmente as credenciais da máquina e ganhasse acesso a dados confidenciais do cliente, como nomes, endereços e números de CPF.
Movimentos laterais e privilégio mínimo
Este caso ilustra como os sistemas de nuvem são vulneráveis a direitos e configurações incorretas. O hacker conseguiu não apenas explorar uma configuração incorreta no WAF para acessar o sistema, mas também obter credenciais privilegiadas, movimentar-se para descobrir buckets de dados e, em seguida, exfiltrar esses dados.
Um estudo de caso do MIT Sloan sobre a violação concluiu que “é muito provável que a Capital One tivesse controles insuficientes de Identity and Access Management (IAM) para o ambiente que foi invadido”. O estudo também observou que o incidente poderia ter sido evitado por revisões periódicas das configurações do usuário para garantir que os controles de acesso estivessem usando corretamente o princípio de privilégio mínimo.
O privilégio mínimo, como o nome indica, determina que usuários e identidades de serviço possam acessar apenas os recursos e aplicativos de que precisam para realizar seus trabalhos e nada mais. Isso permite que as organizações operem com agilidade enquanto limitam os riscos para a empresa e seus clientes. No caso do Capital One, a função IAM da máquina WAF comprometida tinha privilégios de acesso além do necessário para suas funções.
Este caso é um bom exemplo de como pode ser fácil encontrar vulnerabilidades e explorá-las para abrir um backdoor em uma empresa – mesmo uma que pareça bem protegida. As cargas de trabalho podem ser comprometidas de tantas maneiras que é impossível torná-las à prova de hackers. Mesmo os melhores esforços para corrigir e atualizar o software, proteger o acesso à rede e implementar outras práticas recomendadas de segurança podem deixar lacunas que um hacker pode explorar.
Uma vez dentro, a capacidade do atacante de se mover lateralmente, sem ser detectado, define o “raio da explosão” ou a extensão do dano. A melhor maneira de mitigar ataques laterais é controlar o acesso dimensionando corretamente as permissões concedidas a contas humanas e de máquina (serviço). No caso da Capital One, o hacker conseguiu usar uma identidade com permissões de acesso a registros de usuários confidenciais que a função claramente não precisava.
A complexidade dos ambientes de nuvem torna a aplicação da política de privilégios mínimos um desafio. As ferramentas nativas não fornecem a visibilidade necessária das permissões para mitigação proativa de riscos. Além disso, a tão discutida lacuna de talentos em segurança cibernética significa que a maioria das organizações tem poucos funcionários e não possui experiência em nuvem.
Como resultado, o gerenciamento de permissões não recebe a atenção que merece. Na verdade, quase 60% dos CISOs e outros tomadores de decisão de segurança dizem que a falta de visibilidade, bem como o gerenciamento inadequado de identidade e acesso, são as principais ameaças à infraestrutura de nuvem. Em uma pesquisa recente da IDC , os entrevistados citaram o risco de acesso e a segurança da infraestrutura entre suas principais prioridades de segurança na nuvem para os próximos 18 meses.
As permissões de dimensionamento correto são possíveis se as equipes de segurança e desenvolvimento de uma organização puderem identificar direitos excessivos e souberem como criar uma política de privilégios mínimos que permitirá que as cargas de trabalho funcionem com eficiência. Isso pode ser feito usando a combinação certa de tecnologia, processos e procedimentos. Considere as seguintes práticas recomendadas para manter os direitos e configurações de nuvem sob controle:
- Pessoas: Dê a alguém na organização a responsabilidade de implementar uma arquitetura de privilégios mínimos.
- Processo: estabeleça uma cadência regular para revisar e remediar o risco de direitos em sua organização, incluindo revisões de acesso para usuários humanos e remediação de privilégios não utilizados para serviços.
- Tecnologia: implemente tecnologia que possa monitorar continuamente o risco de direitos, corrigir problemas automaticamente e identificar anomalias em escala de nuvem.
As organizações podem aprender lições valiosas com esse caso e as consequências financeiras de não se importar com seus Ps e Cs na nuvem — ou seja, permissões e configurações.
FONTE: DARK READING