דו”ח חדש של חברת אקווה סקיוריטי מנתח את רדיוס "הפיצוץ" של מתקפות על סביבות קונטיינרים

עד כה ב-2021, מספר ניסיונות ההתקפות על קונטיינרים היה במגמת עלייה. בחברת אקווה סקיוריטי, המפתחת פתרונות אבטחת מידע לסביבות הענן, הבחינו במהלך השנה במספר רב של התקפות שתוכננו לפרוץ אל סביבות הקונטיינרים ואל שרת המארח אותם ובכך להחמיר את השפעת המתקפה. מהו הנזק שיכול להיגרם כשתוקף מצליח לפרוץ אל מחוץ לסביבת הקונטיינר? כדי לענות על שאלה זו, צוות המחקר של אקווה סקיוריטי, Team Nautilus, ביצע ניתוח של התקפות על קונטיינרים בעולם האמיתי כדי לקבוע את "רדיוס הפיצוץ" שלהן.

החוקרים זיהו 105 שרתים שנפלו קורבן להתקפות בקונטיינרים וניתחו את רדיוס הפיצוץ של המתקפות, כלומר ההשפעה הפוטנציאלית הכוללת שלהן. הניתוח הראה כי ב-36% מהמקרים בהם השרתים נפלו קורבן להתקפה זו, היו חולשות אבטחה ותצורות שגויות חמורות ומרובות שהיו עלולות לגרום לנזק חמור מאוד. בנוסף, בקרב 70% מהשרתים התגלו חולשות קלות יחסית שמאפשרות גניבה של מידע שעשוי לאפשר נזק גדול יותר ומעבר בין שרתים ומערכות שונות.

מספר שבועות לאחר מכן, 105 השרתים שנפלו קורבן להתקפה נבדקו שוב ונמצא שב-50% מתוכם תוקנו כל חולשות האבטחה וההגדרות השגויות, ב-12% תוקנו חלק מן ההגדרות השגויות וחולשות האבטחה אך לא כולן, וב-25% לא שינו דבר. לפיכך, עולה המסקנה כי רוב העוסקים באבטחה יכולים לזהות חולשות אבטחה והגדרות שגויות, אולם הם אינם מצליחים לזהותן בזמן, או שאינם מצליחים לפתור את הבעיות במהירות מספקת.

מה יכול להיות גודלו של רדיוס הפיצוץ?

דוח ניתוח רדיוס הפיצוץ של תקיפות קונטיינרים של אקווה סקיוריטי מצביע על כך שהמשאבים שהיו פגיעים באופן פוטנציאלי לאחר שהתוקף קיבל גישה לסביבה שלהם, הם שירותים מרוחקים, מטאדאטה בענן (Cloud metadata), פרוטוקלי HTTP ומסדי נתונים. במקרה בוחן של מתקפה שאירעה אצל אחד הקורבנות שנבדקו במחקר, גילו חוקרי אקווה סקיוריטי כיצד משאבים אלו ואחרים הרצים בשרת המארח, יכולים להיות מנוצלים על ידי התוקף:

גניבת מידע מאתר אינטרנט לא מוצפן – כאשר אתר אינו מצפין כראוי את תקשורת הנתונים בין השרת ללקוח, כלומר עושה שימוש בפרוטוקול HTTP ולא ב-HTTPS, תוקף עשוי למצוא דרך להאזין לתקשורת ולהשתמש בה למטרותיו. במקרה הזה, לתוקפים הייתה גישה לשרת המארח, ולכן בקלות הם יכולים להקליט את כל התקשורת העוברת בו וליירט נתונים רגישים כגון סיסמאות, מידע מזהה אישי (PII) ועוד.

גניבת מידע משרתי נתונים – מסדי נתונים לעיתים קרובות מהווים מטרה לתוקפים. אם לתוקפים יש גישה לשרת המארח, הם יכולים לחפש סיסמאות ופרטי התחברות אוטומטית או להשתמש ב-Brute Force (התקפה שיטתית בה התוקף מנסה לנחש את שם המשתמש והסיסמה) כדי לקבל גישה למסדי הנתונים. מכיוון שמסדי נתונים מסוימים אינם דורשים אימות כברירת מחדל, התוקפים יוכלו לאסוף את הנתונים בקלות.

טכנולוגיות ביג דאטה המותקנות על השרת המארח – Apache ZooKeeper הוא שירות מרכזי בקוד פתוח שנועד לתחזק שירותים מבוזרים הקשורים בדרך כלל לטכנולוגיות ביג דאטה. בדוגמא שנבחנה על ידי החוקרים המחשב המארח הפעיל גרסה של שירות זה שסובלת מחולשת אבטחה קריטית. מאגר הדאטה שנתקף כלל יותר מ-200 שרתים, ומכך ניתן להסיק שהוא ככל הנראה הכיל נתונים קריטיים. על ידי ניצול חולשות אבטחה כמו זו, תוקפים יכולים לגשת להרבה מאוד פיסות מידע בעלות ערך רב.

איך אפשר להיערך למתקפות הללו?

שימוש בכלים לגילוי חולשות, שגיאות תצורה והתקפות – החוקרים שהפיקו את המחקר ממליצים על גישה הוליסטית הכוללת שימוש בפתרונות וכלי האבטחה שמוטמעים בשרת המארח, לצד כלים שמאפשרים ניהול יציבת אבטחת הענן (CSPM – Cloud Security Posture Management) שיכול למנף ממשקי API של ספק הענן הציבורי הרלוונטי. דבר זה חשוב מכיוון שהוא מספק את הניראות הדרושה ביחס לתצורת שירותי הענן. ניתן להטמיע פתרון CSPM לצד פתרונות ניטור תהליכים בזמן ריצה ופורנזיקה, המאפשרים גילוי טוב יותר וניתוח והבנה של התקפות בסביבות ענן.

כמו כן, הטמעת יכולות אוטומטיות יכולה לסייע בין היתר באיתור משאבי מחשב ומסדי נתונים עם הגדרות גישה הפתוחות לציבור שלא במתכוון, באבטחת ההצפנה של נתונים בתנועה ובמנוחה בכל שירותי הענן, אכיפת הגדרות מדיניות המשתמשים כדי להבטיח גישה למשאבים על בסיס הרשאות גישה מינימליות, זיהוי שינויים במשאבים קריטיים כגון כללי חומת האש או הגדרות חשבון, וכן זיהוי פעילות באזורים או במיקומים לא מנוצלים או לא צפויים של ספקי הענן.

צמצום משטח התקיפה – יש לאמץ גישה רב-שכבתית עם מגוון בקרי ניהול זיהוי וגישה (IAM), כגון אימות רב-שלבי (MFA) וזיהוי בקבוצה מבוזרת (Identity Federation). אין לחשוף שירותים לאינטרנט אם הדבר אינו נחוץ. יש להשתמש בכלים לניטור ובקרה של הרשת וכן לעשות שימוש בפרוטוקולים מוצפנים, כגון HTTPS במקום HTTP. על ידי פעולות אלה ניתן לצמצם את השטח שמועד לפריצות.

ניטור תהליכים ובזמן ריצה ואיסוף פורנזיקה – סריקה של משאבים בענן ובזמן ריצה מאפשרת זיהוי התנהגויות חשודות וזדוניות וזיהוי התקפות ואיומים שלא בהכרח ניתנים לזיהוי על ידי אנטי-וירוס ופתרונות שונים אחרים. אקווה למשל, מספקת את פתרון Tracee, כלי קוד פתוח (open source) המאפשר סריקה בזמן ריצה של תהליכים שונים ברמה הנמוכה ביותר על שרתי לינוקס. תוצרי הסריקה ותוצרי הפורנזיקה של כלי זה מאפשרים כתיבה של חוקים וגילוי של התנהגויות זדוניות ומתקפות על השרת.

הגבלת הגישה למטאדאטה בענן – ספקיות שירותי הענן מאפשרות שירות חשוב המספק נתוני מסגרת על המכונה בענן, למשל שם השרת, כתובת ה-IP, השתייכות לקבוצת אבטחת המידע ועוד. חלק מהשירותים עשויים להיות רגישים, כגון: פרטי משתמש וסיסמאות. דליפה של פרטים אלה עשויה להוות בסיס למתקפה נוספת על שרתים אחרים של הנתקף או החשבון שלו אצל ספקית השירותים. הספקיות מודעות לבעייתיות ולכן ברירת המחדל היא שהמידע איננו נגיש. אולם, לעיתים משתמשים מאפשרים גישה למידע. יש חשיבות להגביל את הגישה למידע זה ובמידה ואין צורך בהם לבטל או להגביל את הגישה אליהם.

הנזקים יכולים להיות גדולים יותר

הממצאים של המחקר תואמים למחקרים דומים שמראים שתוקפים במרחב המקוון משתמשים בטכניקות מתקדמות כדי להסתיר פעולות זדוניות ופרצות שהם יוצרים במזיד כדי לחזור ולתקוף את השרתים אותם הם תקפו. בנוסף, התוקפים מחפשים פרטי התחברות ומידע רגיש ומבריחים אותם מתוך המערכות של הארגון שנפרץ.

החוקרים של אקווה סיקיוריטי השתמשו במנוע חיפוש מבוסס סריקה פסיבית (Shodan) כדי למצוא שרתים אשר הותקפו, אולם קיימים כיום בתפוצה רחבה בשוק כלים חזקים יותר ומתקדמים יותר, אשר נמצאים בשימוש התוקפים, ומאפשרים להם זיהוי מהיר מאוד של שרת פגיע. החוקרים סוברים שאילו הם היו משתמשים בכלים אלה, תוצאות המחקר היו מצביעות על כמות גדולה יותר של שרתים פגיעים. מחקר אחר של צוות נאוטילוס – צוות המחקר באקווה – הראה שתקיפות מסוג זה במרחב המקוון, אשר שמות למטרה טכנולוגיות ענן, מצליחות לזהות ולתקוף שרתים פגיעים החל מדקות בודדות ובממוצע תוך חמש שעות מרגע שהוגדרה תצורה שגויה.

למידע נוסף על הדוח המלא ניתן ללחוץ כאן.

אודות אקווה סקיוריטי

אקווה סקיוריטי (Aqua Security)  היא החברה המובילה בתחום אבטחת סביבות Cloud Native. אקווה מספקת לארגונים את החופש ליצור חדשנות ולנהל את הארגון שלהם עם מינימום תקלות. פלטפורמת אבטחת ה-Cloud Native של אקווה מספקת מניעה, זיהוי ותגובה אוטומטית לכל אורך מחזור חיי היישומים במטרה לאבטח תשתיות ענן ויישומים הפועלים בענן. לקוחות אקווה הם הארגונים הגדולים בעולם בענפים כגון: בנקים, חברות ביטוח, ממשל, שירותים פיננסים, מדיה, ייצור וקמעונאות. פתרונות אקווה פועלים ומאבטחים מגוון רחב של ספקיות ענן ומערכי טכנולוגיה מודרניים: קונטיינרים, serverless ומכונות וירטואליות בענן. אקווה, אשר הוקמה בשנת 2015, מעסיקה יותר מ-350 עובדים, מתוכם כמחצית במטה החברה ומרכז הפיתוח בישראל.

למידע נוסף בקרו ב- www.aquasec.com ועקבו אחרינו ב- twitter.com/AquaSecTeam.