Uit het nieuwste Palo Alto Networks Unit 42 Cloud Threat -rapport bleek dat gevoelige gegevens worden gevonden in 66% van de emmers van de cloudopslag. Deze gegevens zijn kwetsbaar voor ransomware -aanvallen. Het SANS Institute heeft onlangs gemeld dat deze aanvallen kunnen worden uitgevoerd door de opslagbeveiligingscontroles en standaardinstellingen van de cloudprovider te misbruiken.
“In de afgelopen maanden ben ik getuige geweest van twee verschillende methoden voor het uitvoeren van een ransomware -aanval met behulp van niets anders dan legitieme cloudbeveiligingsfuncties”, waarschuwt Brandon Evans, beveiligingsadviseur en SANS -gecertificeerde instructeur. Halcyon onthulde een aanvalscampagne die gebruik maakte van een van de native coderingsmechanismen van Amazon S3, SSE-C, om elk van de doelemmers te coderen. Een paar maanden eerder demonstreerde beveiligingsadviseur Chris Farris hoe aanvallers een vergelijkbare aanval konden uitvoeren met behulp van een andere AWS -beveiligingsfunctie, KMS -toetsen met extern sleutelmateriaal, met behulp van eenvoudige scripts gegenereerd door Chatgpt. “Het is duidelijk dat dit onderwerp van top-of-mind is voor zowel dreigingsacteurs als onderzoekers”, merkt Brandon op.
Om cloud -ransomware aan te pakken, beveelt SANS organisaties aan om:
- Begrijp de kracht en beperkingen van cloudbeveiligingscontroles: Het gebruik van de cloud maakt uw gegevens niet automatisch veilig. “De eerste cloudservices die de meeste mensen gebruiken, zijn oplossingen voor het back -up van bestanden zoals OneDrive, Dropbox, iCloud en anderen”, legt Brandon uit. “Hoewel deze services meestal bestandsherstelmogelijkheden zijn die standaard zijn ingeschakeld, is dit niet het geval voor Amazon S3, Azure Storage of Google Cloud Storage. Het is van cruciaal belang voor beveiligingsprofessionals om te begrijpen hoe deze diensten werken en niet aan te nemen dat de cloud hen zal opslaan.”
- Blokkeer niet -ondersteunde cloud -coderingsmethoden: AWS S3 SSE-C, AWS KMS External Key Material, en vergelijkbare coderingstechnieken kunnen worden misbruikt omdat de aanvaller volledige controle heeft over de toetsen. Organisaties kunnen het beleid voor identiteit en toegangsbeheer (IAM) gebruiken om de coderingsmethode te verplichten die door S3 wordt gebruikt, zoals SSE-KM’s met behulp van sleutelmateriaal gehost in AWS.
- Schakel back -ups, objectversie en objectvergrendeling in: Dit zijn enkele van de integriteits- en beschikbaarheidscontroles voor cloudopslag. Geen van hen is standaard ingeschakeld voor een van de Big 3 Cloud -providers. Als ze correct worden gebruikt, kunnen ze de kans vergroten dat een organisatie zijn gegevens kan herstellen na een ransomware -aanval.
- Bijkomende beveiliging en kosten met het beleid voor het levenscyclus van gegevens: Deze beveiligingsfuncties kosten geld. “De cloudproviders gaan uw gegevensversies of back -ups niet gratis hosten. Tegelijkertijd zal uw organisatie u geen lege controle geven voor gegevensbeveiliging”, zegt Brandon. Met elk van de Big 3 Cloud Providers kunnen klanten een levenscyclusbeleid definiëren. Met dit beleid kunnen organisaties automatisch objecten, versies en back -ups verwijderen wanneer ze niet langer noodzakelijk worden geacht. Houd er echter rekening mee dat aanvallers ook het levenscyclusbeleid kunnen benutten. Ze werden gebruikt in de eerder genoemde aanvalscampagne om het doel aan te dringen om het losgeld snel te betalen.
Bekijk voor meer informatie de webcast van Brandon: “De cloud zal u niet opslaan van ransomware: hier is wat WILL”, door https://www.sans.org/webcasts/cloud-wont-save-you-ransomware-heres-will/ te bezoeken/
Geïnteresseerd in extra tactieken voor het verminderen van aanvallen bij de Big 3 Cloud Providers? Bekijk de cursus van Brandon, SEC510: Cloud Security Controls and Mitigations op SANS 2025 in Orlando of Live Online in april. Deze cursus is ook beschikbaar bij Brandon later in het jaar in Baltimore, MD in juni of Washington, DC in juli.
