Van logboeken tot runtimebescherming

Serverloze omgevingen, die gebruikmaken van services zoals AWS Lambda, bieden ongelooflijke voordelen op het gebied van schaalbaarheid, efficiëntie en verminderde operationele overhead. Het beveiligen van deze omgevingen is echter een enorme uitdaging. De kern van de huidige serverloze beveiligingspraktijken draait vaak om twee belangrijke componenten: logmonitoring en statische analyse van code of systeemconfiguratie. Maar hier is het probleem daarmee:

1. Logboeken vertellen slechts een deel van het verhaal

Logboeken kunnen externe activiteiten volgen, maar bieden geen inzicht in de interne uitvoering van functies. Als een aanvaller bijvoorbeeld kwaadaardige code injecteert in een serverloze functie die geen interactie heeft met externe bronnen (bijvoorbeeld externe API’s of databases), zullen traditionele loggebaseerde tools deze inbreuk niet detecteren. De aanvaller kan ongeautoriseerde processen uitvoeren, bestanden manipuleren of bevoegdheden escaleren, allemaal zonder loggebeurtenissen te activeren.

2. Detectie van statische misconfiguratie is onvolledig

Statische tools die controleren op verkeerde configuraties zijn ideaal voor het opsporen van problemen zoals overdreven tolerante IAM-rollen of gevoelige omgevingsvariabelen die aan de verkeerde partijen worden blootgesteld. Deze tools kunnen echter geen rekening houden met wat er in realtime gebeurt, exploits detecteren wanneer ze plaatsvinden, of afwijkingen van verwacht gedrag detecteren.

Real-World implicaties van de beperkte cloudbeveiliging die beschikbaar is voor serverloze omgevingen

Voorbeeld 1: Injectie van kwaadaardige code in een Lambda-functie

Een aanvaller injecteert met succes kwaadaardige code in een Lambda-functie, in een poging een ongeautoriseerd subproces voort te brengen of een verbinding tot stand te brengen met een extern IP-adres.

  • Probleem: Traditionele beveiligingstools die afhankelijk zijn van logmonitoring zullen deze aanval waarschijnlijk missen. Logboeken houden doorgaans externe gebeurtenissen bij, zoals API-aanroepen of netwerkverbindingen, maar leggen geen interne acties vast, zoals het uitvoeren van code binnen de functie zelf. Als gevolg hiervan blijven de acties van de aanvaller (of het nu gaat om het manipuleren van bestanden, het escaleren van bevoegdheden of het uitvoeren van ongeautoriseerde processen) onzichtbaar, tenzij ze een externe gebeurtenis activeren, zoals een uitgaande API-aanroep.
  • Oplossing: Om deze aanval effectief te kunnen detecteren en voorkomen, hebben beveiligingsteams tools nodig die in realtime inzicht bieden in de interne activiteiten van de functie. Een runtime-activiteit voor sensormonitoring kan malafide processen identificeren en beëindigen voordat ze escaleren, waardoor proactieve, realtime bescherming wordt geboden.

Voorbeeld 2: misbruik maken van kwetsbare open source-bibliotheken

Een Lambda-functie is afhankelijk van een open-sourcebibliotheek met een bekende kwetsbaarheid, die een aanvaller kan misbruiken om externe code uit te voeren.

  • Probleem: Hoewel statische analysetools bekende kwetsbaarheden in de bibliotheek zelf kunnen signaleren, hebben ze geen inzicht in hoe de bibliotheek wordt gebruikt in de runtime-omgeving. Dit betekent dat zelfs als er een kwetsbaarheid wordt geïdentificeerd in codescans, de real-time exploitatie van die kwetsbaarheid onopgemerkt kan blijven als er geen externe gebeurtenis (zoals een netwerkverzoek of API-oproep) bij betrokken is.
  • Oplossing: een sensor die is ontworpen om de interne werking van de functie te bewaken, kan detecteren wanneer de bibliotheek tijdens runtime wordt misbruikt of actief wordt geëxploiteerd. Door het functiegedrag voortdurend te analyseren, kan de sensor afwijkende acties identificeren en de exploit blokkeren voordat deze het systeem in gevaar brengt.

De verschuiving die moet plaatsvinden in 2025

Cloudbeveiliging breidt zich snel uit, waardoor organisaties betere bescherming en detectie- en responsmaatregelen krijgen tegen geavanceerde cloudaanvallen. Serverloze omgevingen hebben hetzelfde type bescherming nodig omdat ze in de cloud zijn gebouwd.

Door over te stappen van reactieve, op logs gebaseerde beveiligingsmaatregelen naar proactieve, runtimegerichte bescherming, kunnen beveiligingsteams beginnen met het implementeren van moderne cloudbeveiligingspraktijken in hun serverloze omgevingen.

Introductie van Sweet’s AWS Lambda serverloze sensor

Sweet Security erkent de beperkingen van traditionele beveiligingstools en heeft een baanbrekende sensor ontwikkeld voor serverloze omgevingen met AWS Lambda. Deze sensor pakt de blinde vlekken aan die inherent zijn aan loggebaseerde en statische analysemethoden door diepgaande, realtime monitoring van Lambda-functies aan te bieden.

Runtimebewaking en zichtbaarheid

De sensor van Sweet bewaakt de runtime-activiteit van serverloze functies. Door systeemoproepen, intern functiegedrag en interacties binnen de Lambda-omgeving te observeren, biedt de sensor volledig inzicht in hoe de functie zich op een bepaald moment gedraagt.

Kwaadaardig gedrag in realtime blokkeren

Sweet identificeert verdachte activiteiten, zoals het voortbrengen van ongeautoriseerde processen of het verbinden met externe IP’s, en blokkeert deze voordat er schade wordt aangericht.

Het detecteren van afwijkingen in functiegedrag

De Lambda-sensor van Sweet bewaakt de interne werking van de functie in realtime, detecteert elk misbruik van de bibliotheek en blokkeert de exploit voordat deze het systeem in gevaar kan brengen.

In een tijd waarin serverloos computergebruik de ruggengraat van cloud-native architecturen aan het worden is, is het vermogen om deze omgevingen in realtime te beveiligen van cruciaal belang. Traditionele, op logs gebaseerde en statische beveiligingstools zijn niet langer voldoende om bescherming te bieden tegen geavanceerde, dynamische aanvallen. Met de innovatieve sensor van Sweet Security hebben organisaties nu de mogelijkheid om proactief bedreigingen in realtime te monitoren, detecteren en voorkomen, waardoor ze het vertrouwen krijgen om serverloos computergebruik te omarmen terwijl ze hun omgevingen veilig houden.

Wilt u zich voorbereiden op 2025? Neem vandaag nog contact op met Sweet Security!

Thijs Van der Does