Veel bedrijven gebruiken al een cloud-omgeving die uit een privécloud op locatie én openbare cloud-middelen bestaat, oftewel een hybrid cloud. Maar op het gebied van cybersecurity, focussen bedrijven veelal op de beveiliging van de fysieke of gevirtualiseerde omgevingen, en wordt er veel minder aandacht besteed aan hun infrastructuur binnen de openbare clouds. Sommigen zijn er zeker van dat cloud-aanbieders verantwoordelijk zouden moeten zijn voor de beveiliging; en sommigen denken dat openbare clouds per definitie veilig zijn, en daarom dus geen aanvullende bescherming nodig hebben. Maar allebei deze aannames zijn onjuist: openbare clouds zijn net zo vatbaar voor misbruik van zwakke plekken in de software, update repo poisoning, misbruik van de netwerkverbinding en het lekken van account-informatie als de rest van uw infrastructuur. En hier leest u waarom.
Zwakke plekken van RDP en SSH
RDP staat standaard ingeschakeld bij Amazon instances, en het ondersteunt door het ontwerp geen second two-factor authenticatie. RDP is het doelwit geworden voor vele verschillende tools voor bruteforce-aanvallen. Sommige focussen op meerdere van de meest voorkomende standaard-gebruikersnamen (zoals “Administrator”) en doen duizenden gok-pogingen. Anderen proberen de unieke inlognaam van de administrator te raden met gebruik van veelvoorkomende achternamen en wachtwoorden. Bruteforce-algoritmes kunnen het aantal pogingen beperken en willekeurig aanpassen, met een time-out tussen reeksen aan pogingen, om zo geautomatiseerde detectie te voorkomen. Een andere methode is om via een bruteforce-aanval het wachtwoord voor de SSM-gebruikerslogin te verkrijgen dat vaak op AWS instances is geprogrammeerd.
Vergelijkbare bruteforce-pogingen richten zich constant op SSH-diensten, en hoewel SSH betere bescherming biedt dan RDP (bijv. two-factor authenticatie), kan een onzorgvuldig ingestelde dienst zomaar toegang bieden voor een aanhoudende kwaadwillende. Bruteforce-aanvallen op SSH en RDP zorgden voor 12% van alle aanvallen op Kaspersky’s IoT-honeypots tijdens de eerste helft van 2019.
Zwakke plekken van software van derden
Openbare clouds kunnen u blootstellen aan zwakke plekken, en dat gebeurt dan ook. Hier zijn een aantal voorbeelden van hoe een zwakke plek in de software van derden een aanvaller de kans kan bieden om code uit te voeren op de instance zelf.
Op 3 juni 2019 werd er een zwakke plek ontdekt in Exim, een populaire e-mailserver die vaak wordt gebruikt in openbare clouds. De zwakke plek zorgde ervoor dat uitvoering van externe code mogelijk was. Als de server als root draaide, wat normaal gesproken het geval is, zou de schadelijke code die op de server was geïntroduceerd vervolgens worden uitgevoerd met root-rechten. Een andere zwakke plek van Exim, in juli 2019 ontdekt, stond ook uitvoering van externe code als root toe.
Een ander voorbeeld is de hack in 2016 van de officiële Linux Mint-website, die tot gevolg had dat distro’s werden gewijzigd om zo malware te bevatten en een IRC-backdoor te incorporeren met DDOS-functionaliteit. De malware kon ook worden gebruiken om schadelijke payloads op de geïnfecteerde machines achter te laten. In andere gemelde gevallen gaat het om schadelijke node.js-modules, geïnfecteerde containers in de Docker Hub, en meer.
Hoe beperkt u dit risico?
Cybercriminelen kunnen erg inventief zijn als het aankomt op het vinden van toegangspunten voor infrastructuren, vooral als er zo veel infrastructuren zijn die allemaal erg vergelijkbaar zijn en vergelijkbare problemen kennen, en waarvan allemaal gedacht wordt dat ze door design al sterk beveilig zijn. Om dit risico veel effectiever te beheren en beperken, dient u de besturingssystemen op uw cloud instances en virtuele machines te beschermen. Standaard antivirus- en antimalware-bescherming is overduidelijk niet genoeg. De beste industriële praktijk dicteert dat elk besturingssysteem binnen een infrastructuur uitgebreide, meerlagige bescherming nodig heeft, en aanbieders van openbare clouds bevelen ook zoiets aan.
Daarom is een veiligheidssysteem zoals Kaspersky Hybrid Cloud Security een goed idee. Ons systeem beschermt de verschillende types workloads die op verschillende platforms draaien en maakt gebruik van verschillende lagen aan beveiligingstechnologieën, inclusief system hardening, exploit-preventie, controle van bestandsintegriteit, een netwerk-aanvalsblocker, statische en gedrags-antimalware en meer. U kunt hier meer lezen over ons systeem.