Русский
English
Français
Deutsch
Español
Italiano
Português
日本語
한국어
ДомИсследование Google Cloud: большой риск распространения учетных данных и ключей
Исследование Google Cloud: большой риск распространения учетных данных и ключей
Ваше письмо отправлено
Ключи, учетные данные и учетные записи, о боже! Новое исследование Google Cloud показывает, что злоумышленники преследуют слабое место предприятия: управление доступом к идентификационным данным.
Согласно новому отчету группы действий по кибербезопасности Google Cloud, учетные данные являются ахиллесовой пятой в корпоративной безопасности, согласно которой уязвимости учетных данных составляют 60% факторов компрометации среди пользователей Google Cloud. Группа безопасности компании в своем новом отчете «Горизонты угроз» заявила, что усиление этих уязвимых мест может быть достигнуто путем уделения основного внимания деталям нулевого доверия, включая надежные меры защиты управления идентификацией.
Кроме того, команда Google Cloud сообщила, что проблемы с неправильной конфигурацией составляют 19% факторов компрометации, которые также были связаны с другими факторами компрометации, такими как интерфейсы прикладного программирования или конфиденциальные пользовательские интерфейсы, открытые для дикой природы из-за суеты, например неправильно настроенные брандмауэры (Рисунок А).
Рисунок А
«Каждый квартал мы видим одни и те же действия, но злоумышленники становятся все более изощренными в их реализации», — сказал Мэтт Шелтон, руководитель отдела исследования и анализа угроз в Google Cloud. «Мы по-прежнему рассматриваем IAM как проблему номер один, и я подозреваю, что мы продолжим видеть это в течение следующих нескольких кварталов. Украденные учетные данные и неправильные настройки — это то, к чему сегодня все стремятся», — добавил он.
Перейти к:
В отчете, предназначенном для корпоративных пользователей Google Cloud, команда проанализировала анонимную статистику оповещений за первый квартал 2023 года из Chronicle, пакета программного обеспечения Google как средства обеспечения безопасности для центров управления безопасностью, чтобы выявить факторы риска, способствующие компрометации.
Преобладающие оповещения в первом квартале 2023 года, составляющие почти 75% оповещений, были связаны с межпроектным злоупотреблением разрешениями на создание токенов доступа. В общих чертах, это проблема управления привилегированным доступом, часто связанная с избыточными учетными записями, когда ИТ-команды стремятся увеличить время безотказной работы и снизить сложность, предоставляя слишком большой доступ к учетным записям, нарушая концепцию наименьших привилегий.
Шелтон отметил, что избыточные учетные записи часто встречаются при межпроектном доступе к удостоверениям, объяснив, что пользователь очень часто создает учетную запись службы со слишком большим количеством разрешений, чтобы облегчить работу. Затем злоумышленник крадет эти учетные данные и пытается предпринять такие действия, как доступ к другому проекту или повышение привилегий.
«Избыточные учетные записи обычно применяются к учетным записям служб или привилегированных администраторов, поэтому последствия кражи идентификатора хуже, чем если бы это была учетная запись конечного пользователя», — сказал Шелтон.
Одним из примеров ошибки при избыточном выделении ресурсов является чрезмерное использование ключей защищенной оболочки, которые обеспечивают доступ к зашифрованным сетевым протоколам защищенной оболочки, предназначенным для обеспечения возможности взаимодействия компьютеров в незащищенной открытой сети. Ключи SSH используются для выполнения удаленных действий, таких как передача файлов, управление сетью и доступ к операционным системам.
«Если я являюсь администратором и вхожу в экземпляр GCP Linux, у меня на конечной точке есть закрытый ключ, который злоумышленник может украсть и использовать для входа в систему. Это вектор атаки, который существует уже много лет. Мы продвинулись дальше этого, но, как показывает наш отчет, он по-прежнему широко используется в отрасли», — сказал Шелтон. «Это еще одно хранилище личных данных, за которым нужно следить. Никто не помещает ключ SSH в систему с низким приоритетом, он всегда находится на серверной системе Unix, где хранятся конфиденциальные данные», — сказал он. (Рисунок Б).
Рисунок Б
Шелтон сказал, что лучшая тактика — использовать имя пользователя и пароль, которые идут в комплекте с инструментом Google IAM. «Это нулевое доверие. Это гарантирует, что у вас есть одна учетная запись, один пароль с многофакторной аутентификацией, центральное место, где вы можете отключить или повторно включить ее, а также централизованное место для просмотра журналов. Поэтому наша рекомендация: да, IAM — один из ключевых векторов компрометации, но существуют инструменты, основанные на принципах нулевого доверия, которые могут помочь вам защитить вашу учетную запись», — сказал он.