דו”ח חדש של אקווה סקיוריטי מנתח את רדיוס "הפיצוץ" של מתקפות

יום ש', 18 בדצמבר 2021
דו”ח חדש של חברת אקווה סקיוריטי מנתח את רדיוס "הפיצוץ" של מתקפות על סביבות קונטיינרים
עד כה ב-2021, מספר ניסיונות ההתקפות על קונטיינרים היה במגמת עלייה. בחברת אקווה סקיוריטי, המפתחת פתרונות אבטחת מידע לסביבות הענן, הבחינו במהלך השנה במספר רב של התקפות שתוכננו לפרוץ אל סביבות הקונטיינרים ואל שרת המארח אותם ובכך להחמיר את השפעת המתקפה.
 
מהו הנזק שיכול להיגרם כשתוקף מצליח לפרוץ אל מחוץ לסביבת הקונטיינר? כדי לענות על שאלה זו, צוות המחקר של אקווה סקיוריטי, Team Nautilus, ביצע ניתוח של התקפות על קונטיינרים בעולם האמיתי כדי לקבוע את "רדיוס הפיצוץ" שלהן.
 
מבחינת השימושים אפשר להקים את האתר השיווקי של החברה בתוך קונטיינרים (כל קונטיינר מכיל עותק של האתר ועוד מספר דברים), וכשמגדירים נכונה את השכפולים (Replica), המערכת תוסיף קונטיינרים בשניות ספורות – אם יש עומס על הקונטיינרים כתוצאה מכניסה של יותר ויותר גולשים וכשלא יהיה עומס, היא תקטין את מספר הקונטיינרים.
 
החוקרים זיהו 105 שרתים שנפלו קורבן להתקפות בקונטיינרים וניתחו את רדיוס הפיצוץ של המתקפות, כלומר ההשפעה הפוטנציאלית הכוללת שלהן. הניתוח הראה כי ב-36% מהמקרים בהם השרתים נפלו קורבן להתקפה זו, היו חולשות אבטחה ותצורות שגויות חמורות ומרובות שהיו עלולות לגרום לנזק חמור מאוד. בנוסף, בקרב 70% מהשרתים התגלו חולשות קלות יחסית שמאפשרות גניבה של מידע שעשוי לאפשר נזק גדול יותר ומעבר בין שרתים ומערכות שונות.
 
מספר שבועות לאחר מכן, 105 השרתים שנפלו קורבן להתקפה נבדקו שוב ונמצא שב-50% מתוכם תוקנו כל חולשות האבטחה וההגדרות השגויות, ב-12% תוקנו חלק מן ההגדרות השגויות וחולשות האבטחה אך לא כולן, וב-25% לא שינו דבר. לפיכך, עולה המסקנה כי רוב העוסקים באבטחה יכולים לזהות חולשות אבטחה והגדרות שגויות, אולם הם אינם מצליחים לזהותן בזמן, או שאינם מצליחים לפתור את הבעיות במהירות מספקת.
 
מה יכול להיות גודלו של רדיוס הפיצוץ? 
דוח ניתוח רדיוס הפיצוץ של תקיפות קונטיינרים של אקווה סקיוריטי מצביע על כך שהמשאבים שהיו פגיעים באופן פוטנציאלי לאחר שהתוקף קיבל גישה לסביבה שלהם, הם שירותים מרוחקים, מטאדאטה בענן (Cloud metadata), פרוטוקלי HTTP ומסדי נתונים. במקרה בוחן של מתקפה שאירעה אצל אחד הקורבנות שנבדקו במחקר, גילו חוקרי אקווה סקיוריטי כיצד משאבים אלו ואחרים הרצים בשרת המארח, יכולים להיות מנוצלים על ידי התוקף:
גניבת מידע מאתר אינטרנט לא מוצפן - כאשר אתר אינו מצפין כראוי את תקשורת הנתונים בין השרת ללקוח, כלומר עושה שימוש בפרוטוקול HTTP ולא ב-HTTPS, תוקף עשוי למצוא דרך להאזין לתקשורת ולהשתמש בה למטרותיו. במקרה הזה, לתוקפים הייתה גישה לשרת המארח, ולכן בקלות הם יכולים להקליט את כל התקשורת העוברת בו וליירט נתונים רגישים כגון סיסמאות, מידע מזהה אישי (PII) ועוד.
גניבת מידע משרתי נתונים - מסדי נתונים לעיתים קרובות מהווים מטרה לתוקפים. אם לתוקפים יש גישה לשרת המארח, הם יכולים לחפש סיסמאות ופרטי התחברות אוטומטית או להשתמש ב-Brute Force (התקפה שיטתית בה התוקף מנסה לנחש את שם המשתמש והסיסמה) כדי לקבל גישה למסדי הנתונים. מכיוון שמסדי נתונים מסוימים אינם דורשים אימות כברירת מחדל, התוקפים יוכלו לאסוף את הנתונים בקלות.
 
איך אפשר להיערך למתקפות הללו?
שימוש בכלים לגילוי חולשות, שגיאות תצורה והתקפות – החוקרים שהפיקו את המחקר ממליצים על גישה הוליסטית הכוללת שימוש בפתרונות וכלי האבטחה שמוטמעים בשרת המארח, לצד כלים שמאפשרים ניהול יציבת אבטחת הענן (CSPM – Cloud Security Posture Management) שיכול למנף ממשקי API של ספק הענן הציבורי הרלוונטי. דבר זה חשוב מכיוון שהוא מספק את הניראות הדרושה ביחס לתצורת שירותי הענן. ניתן להטמיע פתרון CSPM לצד פתרונות ניטור תהליכים בזמן ריצה ופורנזיקה, המאפשרים גילוי טוב יותר וניתוח והבנה של התקפות בסביבות ענן. 
 
אודות אקווה סקיוריטי
אקווה סקיוריטי (Aqua Security)  היא החברה המובילה בתחום אבטחת סביבות Cloud Native. אקווה מספקת לארגונים את החופש ליצור חדשנות ולנהל את הארגון שלהם עם מינימום תקלות. פלטפורמת אבטחת ה-Cloud Native של אקווה מספקת מניעה, זיהוי ותגובה אוטומטית לכל אורך מחזור חיי היישומים במטרה לאבטח תשתיות ענן ויישומים הפועלים בענן.  אקווה, אשר הוקמה בשנת 2015, מעסיקה יותר מ-350 עובדים, מתוכם כמחצית במטה החברה ומרכז הפיתוח בישראל. 
למידע נוסף - www.aquasec.com ועקבו  ב- twitter.com/AquaSecTeam.