0
0
As principais plataformas de nuvem, como o Google Cloud Platform (GCP), não conseguem registrar adequadamente os dados do evento que podem facilitar a detecção de comprometimentos e a análise forense durante a resposta pós-comprometimento, de acordo com uma análise.
A empresa de segurança em nuvem Mitiga declarou em um comunicado publicado em 1º de março que o Google Cloud Platform permite que os clientes ativem os logs de acesso ao armazenamento, mas diante de um invasor que compromete com sucesso a identidade de um usuário legítimo, os logs falham em fornecer detalhes suficientes, criando visibilidade forense lacunas.
Os problemas de segurança incluem falha na geração de informações de log dedicadas para ações críticas relacionadas à exfiltração, falha na coleta de informações detalhadas sobre alterações nos dados e uma falta geral de visibilidade que daria uma imagem do que aconteceu, afirmou o comunicado.
Uma variedade de eventos, por exemplo, está incluída em um único tipo de acesso – como ler um arquivo ou baixar dados – deixando os analistas sem saber o que realmente aconteceu, diz Veronica Marinov, investigadora de resposta a incidentes da Mitiga e autora do comunicado .
“O log de armazenamento do Google Cloud não possui eventos de log granulares”, diz ela. “No caso de interagir com objetos de balde, você realmente não pode diferenciar entre baixar o objeto, visualizar seu conteúdo e apenas olhar para os metadados do referido objeto.”
À medida que as empresas movem sua infraestrutura e operações para a nuvem, os invasores seguem. Por exemplo, a empresa enfrentou um invasor oportunista que se moveu lateralmente dentro de um ambiente de nuvem para roubar dados confidenciais com sucesso, apenas para ser interrompido por permissões rigorosas , de acordo com um relatório no início desta semana.
Em seu último relatório anual “Global Threat Report” , a empresa de serviços de segurança cibernética CrowdStrike observou que os incidentes de exploração de nuvem aumentaram 95% em 2022, em comparação com o ano anterior, enquanto os agentes de ameaças conscientes da nuvem – que a empresa definiu como aqueles que usam “um variedade de táticas, técnicas e procedimentos (TTPs) para explorar ambientes de nuvem” — quase triplicou. O aumento de ataques focados na nuvem significa que as empresas precisam se concentrar na visibilidade e realmente entender as mudanças que estão sendo feitas nos ambientes de nuvem, diz Adam Meyers, chefe de inteligência da CrowdStrike.
“Durante anos, as ameaças de nuvem foram preocupantes, mas eram de baixa tecnologia e geralmente resultaram na implantação de um criptominerador”, diz ele. “A nuvem está claramente na mira dos agentes de ameaças agora.”
Logs precisam de mais detalhes
Uma chave para entender o que aconteceu durante um comprometimento é ter visibilidade adequada por meio de registro detalhado de eventos em serviços de nuvem. Os investigadores forenses confiam nos logs para determinar o que aconteceu, quais dados podem estar em risco e o que os agentes de ameaças realizaram, afirmou a Mitiga no comunicado .
Embora os invasores geralmente desativem o registro como parte do comprometimento dos serviços em nuvem, um invasor experiente também pode pular isso e construir uma cadeia de ataque que resulta em muito poucos detalhes sendo revelados nos arquivos de log do Google Cloud Platform, afirmou Mitiga.
“Infelizmente, o GCP não fornece o nível de visibilidade em seus logs de armazenamento necessário para permitir qualquer investigação forense eficaz, tornando as organizações cegas para possíveis ataques de exfiltração de dados”, disse a Mitiga em seu comunicado. “Isso impede que as organizações respondam com eficiência aos incidentes, pois não têm chance de avaliar corretamente quais dados foram roubados ou se foram roubados”.
O Google Cloud reconheceu os problemas, embora enfatize que não considera a falta de visibilidade um impacto na segurança de sua plataforma. A empresa sustentou que não há risco de infiltração de dados, que o problema não é uma vulnerabilidade e que os dados do cliente estão seguros (todas as afirmações também feitas pela Mitiga). No entanto, o Google Cloud planeja investigar mais a lacuna forense.
“Embora melhorar a análise forense de log não tenha sido um problema levantado por nossos clientes, estamos continuamente avaliando maneiras de melhorar a visão dos clientes sobre seu armazenamento”, disse a empresa em comunicado enviado à Dark Reading. “A lacuna forense destacada no blog é uma das áreas que estamos examinando.”
Entre as recomendações do Google Cloud estão ativar e configurar o VPC Service Controls e os cabeçalhos de restrição da organização, para limitar o acesso e produzir eventos de log adicionais.
Não apenas o Google
A capacidade de acessar logs detalhados faz parte do pacto de responsabilidade compartilhada entre provedores de nuvem e clientes. Para assumir a responsabilidade por sua infraestrutura na nuvem, as organizações precisam ter uma visão detalhada da atividade. Embora o comunicado chame especificamente o GCP, outros provedores de nuvem têm problemas semelhantes, diz Marinov, sem citar nomes.
“Vimos, em outros provedores de nuvem, casos em que não conseguimos entender o que aconteceu apenas vendo os logs”, diz ela. “Estamos em contato com fornecedores sobre essas lacunas específicas. Somente depois de concluir nosso processo de divulgação responsável é que podemos compartilhar detalhes com a mídia.”
Os baldes do Simple Storage Service (S3) da Amazon, por exemplo, coletam o nível certo de detalhes, afirmou o comunicado: “É importante observar que essa deficiência não é inerente aos serviços em nuvem e pode ser facilmente resolvida com o fornecimento de informações mais detalhadas no logs. Um exemplo pode ser visto com os logs de acesso AWS S3, que distinguem cada um dos tipos de eventos com seu próprio nome de log de eventos.”
A Mitiga não disse se os outros serviços da AWS estão entre aqueles que a empresa está investigando por lacunas nas informações forenses.
FONTE: DARK READING