Het complexe web van securitydreigingen voor de cloud
Cloud computing is volwassen geworden in IT. Echter, nu de cloudmarkt steeds complexer wordt, zien IT security-leiders door de bomen het bos nog wel?
Tijdens het derde kwartaal van 2019 heeft de cloud-markt een belangrijke mijlpaal behaald. Met een verhoging van 24% aan public cloud-bestedingen vergeleken met het kwartaal ervoor, werd meer dan de helft van de infrastructuuromzet van IT-vendoren gedaan in cloud in plaats van on-premises, aldus IDC. De boodschap was duidelijk: cloud computing is het nieuwe normaal geworden in IT. Maar nu de markt volwassen wordt, wordt het gebruik van cloud-technologie steeds complexer: multi- en hybride cloud set-ups zijn inmiddels heel gewoon. IT security-leiders hebben moeite om deze complexiteit te beheren en hun aandeel in het shared responsibility-model voor elkaar te krijgen met de beperkte in-house skills. Ze hebben ook te maken met een cybercrime underground die steeds meer cloud savvy wordt en klaar staat om elk gat in de beveiliging of fout in de configuratie uit te buiten.
Het komt erop neer dat organisaties security niet meer kunnen aanvliegen in de cloud zoals ze dat in hun legacy-omgevingen deden. Het moet namelijk proactief en agile gebeuren en vanaf de start ingebouwd zijn.
Een gedeelde verantwoordelijkheid
Organisaties migreren data en diensten naar de cloud voor een aantal goede redenen: meer efficiëntie, kostenreductie, het verbeteren van business agility en de customer experience. Toch is er nog een aantal misvattingen: cloud-infrastructuur kan zorgen voor een snellere time-to-market, maar het kan jaren duren om apps en servers volledig te migreren naar de cloud. IaaS providers hebben vaak ook betere security-mogelijkheden en -bronnen dan je je in-house kunt veroorloven, maar ze zetten niet zomaar alles in. Bedrijven zoals AWS, Azure en Google Cloud Platform (GCP) beveiligen dan wel de platforminfrastructuur, maar klanten zijn verantwoordelijk voor het beschermen van de data die daarop staat.
Dit is een misvatting die vaak voorkomt en zorgt voor een van de grootste bedreigingen voor de corporate cloud security van vandaag: foute configuraties. Elke dag identificeert Trend Micro 230 miljoen configuratiefouten die bedrijven onbedoeld kwetsbaar maken voor cryptojacking, digitale skimming, data exfiltratie, ransomware en meer. De default settings in AWS zijn gelukkig veilig. Alleen worden deze vaak veranderd onder grote druk van IT teams die interne workflows en processen willen stroomlijnen.
Een menselijk probleem
AWS S3 buckets zijn een van de meest voorkomende flashpoints voor kwaadaardige activiteiten en gebruikersfouten. Wanneer IT-admins deze publiek ‘writable’ maken, kunnen ze snel te maken krijgen met ellende zodra hackers besluiten om breed beschikbare scanning tools in te zetten. Dat is wat er gebeurde bij de LA Times toen de IT staff per ongeluk access control lists (ACL’s) fout configureerde met write-access voor de volledige bucket waar ook een subsite voor de krant stond. Een cybercrimineel ontdekte de fout en plaatste een Monero cryptocurrency mine in de JavaScript-code van de bucket.
Trend Micro analyseerde verkeer gedurende drie maanden en identificeerde een groot aantal gecompromitteerde, wereldwijde sites die ten minste een deel van hun website hosten op Amazon S3 buckets. Sommigen waren aangevallen door hackers met kwaadaardige JavaScripts ontworpen om gebruikersinformatie en kaartgegevens te verzamelen wanneer er betaald werd voor goederen. Zulke Magecart-campagnes hebben naar verluid tienduizenden e-commerce sites wereldwijd besmet, inclusief een breach bij British Airways waarvoor de luchtvaartmaatschappij mogelijk een GDPR-boete van 183 miljoen tegemoet kan zien.
Zelfs wanneer organisaties hun website niet in S3 buckets hosten, zijn er risico’s. Wanneer ze publiek ‘writable’ zijn kunnen AWS repositories misbruikt worden door cybercriminelen voor het hosten van command-and-control (C&C) servers, het opslaan van materiaal met kindermishandeling of gebruikt worden als toegangspunt voor het stelen van gevoelige, corporate informatie.
Containers onder vuur
Containers zorgen voor een ander front in de oorlog tegen cybercrime. Deze lichtgewicht, geïsoleerde omgevingen worden in toenemende mate ingezet door DevOps teams als een eenvoudigere manier om snel nieuwe applicaties te testen en in te zetten en om hybride clouds te integreren. Docker is een van de meest populaire tools voor het creëren en inzetten van containers. Maar ook hier staan fouten aan de basis van grote cyber risico’s voor organisaties.
Trend Micro heeft een groot aantal Docker-servers ontdekt die open staan naar het publieke internet zonder enige vorm van beveiliging. Regelmatig vonden de onderzoekers Docker images waarop al cryptocurrency miners draaiden. Er zijn verschillende manieren waarop een hacker dit kan realiseren: bijvoorbeeld door het te installeren vanaf een image die de code bevat en is gehost op een repository zoals docker.io, of door gebruik te maken van een populaire base image zoals Alpine Linux of Ubuntu en door de malware tijdens het booten te installeren. Blootgestelde containerinfrastructuur kan ook hackers verleiden om andere malware te installeren, om data te stelen of om je infrastructuur te gijzelen. Onthoud: elke container op elk blootgesteld Docker-systeem kan ervoor zorgen dat data gelekt wordt en ervoor zorgen dat aanvallers toegang krijgen tot andere delen van het netwerk.
Blootgesteld door fouten
We vonden tevens bekende security-zwakheden in AWS Lambdas, lichtgewicht processen die voor een beperkte periode draaien, als onderdeel van serverless-architecturen. Sommige ontwikkelaars denken dat omdat de Lambdas-functienamen niet direct bekend zijn bij aanvallers, ze veiliger zijn en daarom weinig vragen op het gebied van authenticatie. De realiteit is dat deze redelijk eenvoudig te vinden zijn door de proxy server logs te inspecteren, de broncode van webpagina’s die Lambdas gebruiken uit te pluizen met een API gateway aan de backend, of door te ‘luisteren’ naar netwerkverkeer met een sniffer. Zodoende kunnen ze gevoelige gegevens blootstellen of aanvallers toegang verschaffen tot andere cloud-bronnen.
Een ander voorbeeld in cloud-infrastructuur is container orchestration platform Kubernetes. In slechts een maand tijd in 2019 vonden we meer dan 32.000 Kubernetes servers die wijd open stonden. Dit is zeker niet de bedoeling omdat het hackers de mogelijkheid geeft de infrastructuur op afstand te onderzoeken op kwetsbaarheden die hen vervolgens toegang kunnen geven.
Vanaf de start
De meeste fouten die we hier benoemen waren te voorkomen. Ze gaan niet eens in op de uitdagingen die te maken hebben met cloud credentials, die vaak gelekt worden via Pastebin en vergelijkbare sites en verhandeld worden op de zwarte markt. Het slechte nieuws is dat de trend van menselijke fouten in cloud security alleen maar zal toenemen wanneer organisaties vaker DevOps, containers en IaaS zullen omarmen in hun proces van digitale transformatie en groei.
Om het onbedoeld blootstellen van corporate data en systemen richting het internet, en daarmee ook aan black hats, te vermijden, moeten IT-leiders eerst hun cloud-infrastructuur leren begrijpen. Overweeg cloud deployment scripts zoals AWS CloudFormation om te zien hoe het allemaal in elkaar grijpt, welke controlemechanismen er zijn by default en waar mogelijk hiaten zijn. Vervolgens is het zaak om best practises te volgen zoals least privilege access policies en om een Cloud Security Posture Management (CSPM) tool toe te passen om foute configuraties goed en continu te kunnen monitoren.
Afsluitend, integreer security in je DevOps-cultuur. Dat is makkelijker gezegd dan gedaan, vooral omdat security de reputatie heeft van het blokkeren van innovatie. Maar met de nieuwe, API-gedreven security services die nu beschikbaar zijn, hoeven ontwikkelaars niet in te boeten op snelheid en flexibiliteit voor betere bescherming. De voordelen van de cloud zijn onmiskenbaar, maar ze kunnen snel ondermijnd worden wanneer multi-layered security niet vanaf de start is ingebouwd.