0
0
Um dos pontos mais importantes a serem tratados ao abordar a segurança na nuvem é deixar claro para todos os envolvidos que a segurança na nuvem não é apenas diferente, mas que continua evoluindo. Se os profissionais de segurança precisavam de um lembrete disso, eles não precisam procurar mais do que a recente descoberta do Denonia, um criptominador que opera em ambientes sem servidor.
Denonia foi encontrada pela equipe de pesquisa da Cado Security, e divulgou detalhes há alguns dias. Denonia é um malware de criptominer baseado em Go, e parece ser o primeiro malware desse tipo a explorar especificamente o AWS Lambda, o conhecido serviço de execução de funções sem servidor. Os pesquisadores indicam que a Denonia não foi amplamente disseminada e que executa o software de mineração XMRig para roubar ciclos de CPU para minerar Morero, enquanto usa técnicas como DNS-over-HTTPS (DoH) para evasão. O mecanismo inicial de implantação é desconhecido, mas pode ser uma questão de ambientes superprivilegiados.
Embora pequena em escopo, a Denonia é notável por seu uso da pilha de tecnologia em nuvem como pretendido — é uma função Lambda executando em um ambiente Linux como qualquer outro. Isso é interessante, pois significa que malware semelhante pode ser executado em outros ambientes de execução de funções sem servidor de outros provedores de nuvem também.
Como as vulnerabilidades diferem
Para ser claro, isso é diferente de algumas das vulnerabilidades que foram relatadas entre os principais provedores recentemente, como o ChaosDB (uma falha no serviço CosmosDB do Azure encontrado pela equipe de segurança do Wiz no ano passado), a AWS CloudFormation e a AWS Glue problemas encontrados pela Orca Security, e algumas das vulnerabilidades do Google Cloud GKE levantadas pela equipe de pesquisa de segurança da Palo Alto Networks Unit 42. Nesses casos, os provedores de nuvem trabalharam diretamente com as equipes de pesquisa para resolver essas questões.
Ao discutir a segurança na nuvem, muitas vezes ouvimos alguma confusão sobre responsabilidades de segurança. Embora os provedores de nuvem tenham trabalhado para esclarecer parte disso através de seus diferentes “modelos de responsabilidade compartilhada”, as organizações de usuários finais mantêm a responsabilidade geral de proteger suas propriedades em nuvem. Os provedores de nuvem são responsáveis pela segurança estrutural do próprio ambiente em nuvem, mas os clientes são responsáveis pelas cargas de trabalho. Isso inclui tanto garantir que os ambientes tenham sido devidamente configurados com a adequada mistura de configurações que produzem recursos e privilégios — muitas vezes o reino das ofertas de gerenciamento de postura de segurança na nuvem (CSPM) e de gerenciamento de permissões em nuvem (CPM) — e também o monitoramento contínuo dos múltiplos eventos que ocorrem dentro dessas propriedades em nuvem, que podem estar sob plataformas de proteção de carga de trabalho em nuvem (CWPP) ou até mesmo de detecção e resposta em nuvem (CDR).
A lição, então, a ser aprendida com a descoberta do Denonia é que a segurança na nuvem continua evoluindo: as ameaças de runtime contra uma organização não são simplesmente o mesmo malware que seria executado em uma máquina virtual, mas evoluiriam para contêineres — na verdade, interfaces de gerenciamento de contêineres expostas ou aquelas com baixa autenticação são frequentemente usadas para lançar cargas de trabalho não autorizadas — e agora cargas de trabalho sem servidor. As organizações que procuram abordar essa dinâmica precisam ter os elementos certos de pessoas, processos e tecnologia para entender adequadamente o novo cenário de ameaças, olhar profundamente para sua pilha de nuvens e trabalhar em conjunto com suas equipes de engenharia e desenvolvimento de nuvem.
FONTE: DARK READING