0
0
Os invasores normalmente encontram “segredos” expostos – pedaços de informações confidenciais que permitem acesso a um ambiente de nuvem empresarial – em apenas dois minutos e, em muitos casos, começam a explorá-los quase instantaneamente, destacando a necessidade urgente de segurança abrangente na nuvem, de acordo com a Orca Security.
A pesquisa da Orca foi realizada entre janeiro e maio de 2023, começando com a criação de “honeypots” em nove ambientes de nuvem diferentes que simulavam recursos mal configurados na nuvem para atrair invasores.
Honeypots de ambientes em nuvem
Cada um continha uma chave secreta da AWS. Em seguida, a Orca monitorou cada honeypot para ver se e quando os invasores pegariam a isca, a fim de saber quais serviços de nuvem são visados com mais frequência, quanto tempo leva para os invasores acessarem recursos públicos ou de fácil acesso e quanto tempo leva para os invasores encontrarem e usarem segredos vazados.
“Embora as táticas variem de acordo com o recurso, nossa pesquisa deixa uma coisa clara: se um segredo for exposto, ele será explorado”, disse Bar Kaduri, líder da equipe de pesquisa de ameaças na nuvem da Orca Security.
“Nossa pesquisa mostra que os atacantes encontram segredos expostos incrivelmente rapidamente e não demoram muito para armá-los. Nesse ambiente, os defensores devem garantir que seus ativos não sejam acessíveis publicamente, a menos que seja absolutamente necessário, e que os segredos sejam adequadamente gerenciados”, continuou Kaduri.
Embora Orca esperasse que os atacantes encontrassem os honeypots rapidamente, a equipe de pesquisa ainda ficou surpresa com a rapidez com que alguns foram encontrados e explorados.
Honeypots encontrados e explorados
Ativos vulneráveis são descobertos quase imediatamente
Ativos mal configurados e vulneráveis são literalmente descobertos em poucos minutos. Segredos expostos no GitHub, HTTP e SSH foram descobertos em menos de cinco minutos. Os buckets do AWS S3 foram descobertos em menos de uma hora.
O tempo de uso da chave varia significativamente de acordo com o tipo de ativo
A Orca observou o uso de chaves no GitHub em dois minutos, o que significa que as chaves expostas foram comprometidas praticamente instantaneamente. O processo foi mais lento para outros ativos; para o S3 Buckets, o comprometimento da chave levou aproximadamente oito horas e para o Elastic Container Registry o processo foi de quase quatro meses.
Nem todos os ativos são tratados igualmente
Quanto mais popular o recurso, mais fácil é o acesso e maior a probabilidade de conter informações confidenciais, mais os invasores estão inclinados a fazer reconhecimento. Certos ativos, como SSH, são altamente direcionados para malware e criptomineração.
Os defensores não devem confiar na proteção automatizada de chaves
Com exceção do GitHub, onde as permissões de chave da AWS expostas foram imediatamente bloqueadas, o Orca não detectou nenhuma proteção automatizada para os outros recursos testados.
Nenhuma região é segura
Embora 50% de todo o uso de chaves da AWS expostas observado tenha ocorrido nos Estados Unidos, o uso também ocorreu em quase todas as outras regiões, incluindo Canadá, APAC, Europa e América do Sul.
“As diferenças nas táticas de ataque dependendo do recurso ilustram a necessidade de os defensores empregarem defesas personalizadas para cada instância”, disse Tohar Braun, líder técnico de pesquisa da Orca Security.
“O relatório detalha as técnicas de ataque e inclui as melhores práticas recomendadas para mitigar o risco de segredos expostos”, concluiu Braun.
FONTE: DARK READING