Расширение сферы деятельности атакующих
Смещение акцента кибер-профессионалов на облачные сервисы вывело важность обеспечения первоначального доступа на передний план. В облачных средах первоначальный доступ представляет собой критический момент, когда безопасность всей системы становится наиболее уязвимой. В отличие от традиционных локальных сетей, доступ к облачным сервисам осуществляется через Интернет, что делает начальную точку входа основной целью для злоумышленников.
Первоначальный доступ как плацдарм для злоумышленников
Получение первоначального доступа к облачным сервисам позволяет злоумышленникам закрепиться в целевой среде с последующим повышением привилегий, распространения по сети и получения доступа к конфиденциальным данным. Распределённый характер облачных сервисов также означает, что компрометация одной учётной записи может потенциально предоставить доступ к широкому спектру ресурсов и данных.
Проблемы в обеспечении первоначального доступа
📌Удалённый доступ. Облачные сервисы предназначены для удалённого доступа, что увеличивает поверхность атаки.
📌Управление идентификацией и доступом (IAM). В облачных средах IAM становится важнейшим компонентом безопасности. Организации должны обеспечить надёжность политик IAM и предоставление разрешений на основе принципа наименьших привилегий, чтобы минимизировать риск первоначального доступа со стороны неавторизованных лиц.
📌Фишинг и социнженерия. используются методы фишинга и социальной инженерии для получения первоначального доступа. Эти методы используют человеческий фактор, а не технические уязвимости, что затрудняет защиту от них с помощью традиционных мер безопасности.
Примеры методов первоначального доступа
📌Credential Stuffing. Метод предполагает использование ранее взломанных пар имени пользователя и пароля для получения несанкционированного доступа к учётным записям, делая ставку на вероятность того, что люди будут повторно использовать учётные данные в нескольких службах.
📌Использование некорректных конфигураций. Облачные сервисы сложно настроить правильно, и используются некорректные конфигурации: открытые сетевые сегменты или ошибки в настройке управления доступом.
📌Компрометация сторонних сервисов. Злоумышленники могут атаковать сторонние сервисы, которые интегрируются с облачными средами, например приложения SaaS, чтобы получить первоначальный доступ к облачной инфраструктуре.
Снижение рисков первоначального доступа
📌Комплексные политики доступа. Установление и соблюдение комплексных политик доступа может помочь контролировать, кто и на каких условиях имеет доступ к облачным ресурсам.
📌Регулярные аудиты и проверки. Проведение регулярных аудитов и проверок журналов доступа и разрешений может помочь выявить и устранить потенциальные уязвимости до того, как они будут использованы.
📌Обучение по вопросам безопасности. Обучение сотрудников рискам фишинга и социальной инженерии может снизить вероятность компрометации учётных данных.
📌Endpoint Security. Обеспечение безопасности и актуальности всех устройств с доступом к облачным сервисам, может помешать злоумышленникам использовать уязвимости конечных точек для получения первоначального доступа.
📌Обнаружение аномалий. Внедрение систем обнаружения аномалий помогает выявить необычные модели доступа или попытки входа в систему, которые могут указывать на попытку взлома.
