Многие компании уже используют гибридные облачные среды, в которые входят как локальные частные, так и публичные облака. Но когда речь заходит о кибербезопасности, они, как правило, уделяют гораздо больше внимания защите физических и локальных виртуальных сред, нежели той части инфраструктуры, которая располагается в публичном облаке. Некоторые руководители считают, что за безопасность облачных сервисов должны отвечать поставщики. Другие уверены, что публичные облака надежны сами по себе и не нуждаются в дополнительной защите. К сожалению, оба эти предположения ошибочны: публичные облака так же, как и другие компоненты инфраструктуры, уязвимы для таких угроз, как эксплойты, заражение репозиториев, сетевые атаки и компрометация учетных записей. Сейчас объясним почему.
Уязвимости в RDP и SSH
В средах Amazon по умолчанию включен доступ по протоколу RDP, который не поддерживает двухфакторную аутентификацию и поэтому часто подвергается брутфорс-атакам. Некоторые злоумышленники выбирают типичные дефолтные имена пользователей (такие как «Administrator») и осуществляют тысячи попыток подобрать нужную комбинацию. Другие пытаются угадать уникальное имя пользователя администратора, подставляя наиболее распространенные фамилии в пароли. Существуют алгоритмы, которые ограничивают и рандомизируют количество попыток и делают перерывы между ними, чтобы затруднить автоматическое обнаружение. Еще один метод — подбор пароля для аккаунта SSM-User, создаваемого программой SSM Agent, которая часто бывает предустановлена в средах AWS.
Аналогичным брутфорс-атакам постоянно подвергаются службы SSH. И хотя протокол SSH более надежен в сравнении с RDP (в частности, за счет двухфакторной аутентификации), некорректно сконфигурированная служба может запросто предоставить доступ вредоносному агенту. В первой половине 2019 года из всех атак на ханипоты «Лаборатории Касперского» в Интернете вещей 12% составили именно брутфорс-атаки на протоколы SSH и RDP.
Уязвимости в стороннем ПО
Уязвимости ПО — еще одна угроза для пользователей публичных облаков. Вот лишь некоторые примеры того, как злоумышленники задействовали уязвимости в сторонних программах, чтобы исполнить вредоносный код на виртуальных машинах в публичном облаке.
3 июня 2019 года была обнаружена уязвимость в Exim — популярном почтовом сервере, часто развертываемом в публичных облаках. Она предоставляла возможность удаленного исполнения кода. Если сервер был запущен с root-привилегиями (а в большинстве случаев так и было), вредоносный код, запускаемый на этом сервере, также исполнялся в root-режиме. В июле 2019 года в Exim была обнаружена еще одна уязвимость, позволявшая удаленно исполнять код с root-привилегиями.
Другой пример — взлом официального веб-сайта Linux Mint в 2016 году. В результате атаки были модифицированы дистрибутивы: злоумышленники внедрили IRC-бэкдор, позволявший также проводить DDOS-атаки и подгружать дополнительные вредоносные модули на зараженные машины. Кроме того, были обнаружены вредоносные модули node.js, зараженные контейнеры в Docker Hub и т. д.
Как уменьшить риски
Злоумышленники проявляют невероятную изобретательность, пытаясь найти новые точки входа в инфраструктуры. Когда инфраструктур много, все они спроектированы схожим образом, имеют одни и те же слабые места и при этом ошибочно считаются достаточно безопасными, задача киберпреступников многократно облегчается. Чтобы уменьшить риски и более эффективно ими управлять, необходимо обеспечить безопасность всех ваших виртуальных машин. Базовой защиты от вредоносного ПО в данном случае будет недостаточно. Практика показывает, что каждой операционной системе в инфраструктуре требуется комплексная многоуровневая защита. Такого же мнения придерживаются провайдеры публичных облачных служб.
Надежное решение, такое как Kaspersky Security для виртуальных и облачных сред, помогает реализовать этот подход. Оно защищает рабочие нагрузки на различных платформах и задействует технологии безопасности на нескольких уровнях: повышает общую устойчивость системы, предотвращает эксплойты, ведет мониторинг целостности файлов, блокирует сетевые атаки, проводит статический и поведенческий анализ вредоносного ПО и т. д. Более подробную информацию о нашем решении можно найти здесь.