ریسک بزرگ در تکثیر اعتبار، کلیدها

توسط 8pic · 18 مرداد 1402

زمان مطالعه: 6 دقیقه

با مجله هشت پیک با مقاله ی ریسک بزرگ در تکثیر اعتبار، کلیدها همراه ما باشید

دستی که نماد Google Cloud را در دست دارد.

بر اساس گزارش جدیدی از تیم اقدام سایبری Google Cloud که نشان می‌دهد، آسیب‌پذیری‌های اعتبارنامه 60 درصد از عوامل سازش را در میان کاربران Google Cloud تشکیل می‌دهند، اعتبارنامه‌ها پاشنه آشیل در امنیت سازمانی هستند. گروه امنیتی این شرکت در گزارش جدید Threat Horizons خود گفت که سخت شدن این نقاط نرم را می توان با توجه اولیه به جزئیات بدون اعتماد، از جمله نرده های محافظ مدیریت هویت قوی، به دست آورد.

علاوه بر این، تیم Google Cloud گزارش داد که مشکلات پیکربندی نادرست 19 درصد از عوامل سازش را تشکیل می‌دهند، که با سایر عوامل سازش‌کننده مانند رابط‌های برنامه‌نویسی اپلیکیشن یا رابط‌های کاربری حساسی که توسط snafus مانند فایروال‌های پیکربندی نادرست در معرض خطر قرار می‌گیرند، مرتبط است (شکل A ) .

شکل A

سه ماهه اول، 2023، عوامل سازش ابر. تصویر: Google Cloud

مت شلتون، رئیس تحقیقات و تحلیل تهدیدات در Google Cloud می‌گوید: «هر سه ماه شاهد فعالیت‌های یکسانی هستیم، اما مهاجمان در نحوه اجرای آن‌ها پیچیده‌تر می‌شوند. ما همچنان به IAM به عنوان مشکل شماره یک نگاه می کنیم و من گمان می کنم که در چند فصل آینده نیز شاهد آن باشیم. اعتبار حساب دزدیده شده و پیکربندی نادرست چیزی است که این روزها همه به دنبال آن هستند.»

پرش به:

فهرست مطالب این مقاله

مهاجمان عاشق سوء استفاده از پروژه های متقابل، کلیدهای بیش از حد مجاز هستند

در گزارشی که برای کاربران سازمانی Google Cloud طراحی شده است، تیم آمارهای هشدار سه ماهه اول سال 2023 ناشناس را از Chronicle، مجموعه نرم‌افزار به‌عنوان یک امنیت Google برای مراکز عملیات امنیتی، تجزیه و تحلیل کرد تا عوامل خطر سازش‌کننده را شناسایی کند.

هشدارهای غالب در سه ماهه اول سال 2023، که نزدیک به 75 درصد از هشدارها را تشکیل می‌دهند، مربوط به سوء استفاده از مجوزهای تولید توکن دسترسی بین پروژه‌ای بودند. به طور کلی، این یک مشکل مدیریت دسترسی به امتیازات است که اغلب شامل حساب‌های بیش از حد ارائه شده می‌شود، جایی که تیم‌های فناوری اطلاعات به دنبال افزایش زمان آپدیت و کاهش پیچیدگی با دادن دسترسی بیش از حد به حساب‌ها هستند که مفهوم کمترین امتیاز را نقض می‌کند.

شلتون اشاره کرد که حساب‌های بیش از حد تأمین‌شده با دسترسی بین پروژه‌ای مشترک هستند، توضیح داد که یک کاربر معمولاً یک حساب سرویس با مجوزهای بسیار زیاد ایجاد می‌کند تا کار را تسهیل کند. سپس مهاجم آن اعتبارنامه ها را می دزدد و سعی می کند اقداماتی مانند دسترسی به پروژه دیگری یا افزایش امتیازات را انجام دهد.

شلتون گفت: «حساب‌های بیش از حد ارائه شده معمولاً برای سرویس‌ها یا حساب‌های مدیریت دارای امتیاز اعمال می‌شوند، بنابراین پیامد شناسه سرقت‌شده بدتر از حساب کاربری نهایی است».

مشکل کلیدهای SSH

یکی از نمونه‌های اشتباه در تهیه بیش از حد، استفاده بیش از حد از کلیدهای پوسته ایمن است که دسترسی به پروتکل‌های شبکه پوسته امن رمزگذاری‌شده را فراهم می‌کند که به ماشین‌ها اجازه می‌دهد در یک شبکه باز ناامن ارتباط برقرار کنند. کلیدهای SSH برای انجام اقدامات از راه دور مانند انتقال فایل، مدیریت شبکه و دسترسی به سیستم عامل ها استفاده می شوند.

“اگر من مدیری هستم که وارد یک نمونه لینوکس GCP می شوم، یک کلید خصوصی در نقطه پایانی خود دارم که یک فرد شرور می تواند آن را بدزدد و از آن برای ورود به سیستم استفاده کند. این یک بردار حمله است که سال ها و سال ها وجود داشته است. ما فراتر از آن تکامل یافته‌ایم، اما همانطور که گزارش ما نشان می‌دهد، همچنان به طور گسترده در صنعت استفاده می‌شود.» شلتون گفت. این یک فروشگاه هویت دیگری است که باید آن را پیگیری کنید. هیچ‌کس کلید SSH را روی یک سیستم با اولویت پایین قرار نمی‌دهد، این کلید همیشه در سیستم یونیکس پشتی است که داده‌های حساس را نگه می‌دارد. ( شکل B ).

شکل B

سوء استفاده بین پروژه ای از دسترسی GCP یک خطر ایجاد کلید مجاز است. تصویر: Google Cloud

شلتون گفت تاکتیک بهتر استفاده از نام کاربری و رمز عبوری است که با ابزار Google IAM ارائه می شود. «این اعتماد صفر است. این تضمین می کند که یک حساب کاربری، یک رمز عبور با احراز هویت چند عاملی، یک مکان مرکزی که می توانید آن را غیرفعال یا دوباره فعال کنید و یک مکان مرکزی برای مشاهده گزارش ها دارید. بنابراین توصیه ما این است که، بله، IAM یکی از بردارهای سازش کلیدی است، اما ابزارهایی مبتنی بر اصول اعتماد صفر وجود دارد که می‌تواند به شما در محافظت از حسابتان کمک کند.»

شستشوی دست سایبری 20 ثانیه ای: راه های بهبود بهداشت IAM

گروه Google Cloud Security پیشنهادات کلیدی را برای بهبود بهداشت مدیریت هویت ارائه کرد:

برای جلوگیری از ذخیره سازی فایل های مخرب، ابزارهای حفاظت نقطه پایانی را نصب کنید.
انجام اسکن آسیب پذیری در زیرساخت های ابری خارجی و داخلی برای شناسایی دارایی های مشکوک و اصلاح آسیب پذیری های کشف نشده.
گزارش‌های ابری را بررسی کنید و مدیریت اعتبارنامه را بهبود ببخشید تا خطرات موجود و اصلی را که ممکن است باعث ایجاد خطرات امنیتی شده باشند، شناسایی و برطرف کنید.

بدافزارهایی که در کمین برنامه های اندروید هستند

محققان همچنین نمونه‌هایی از برنامه‌های اندروید را شناسایی کردند که قبل از دانلود بدافزار تلاش می‌کردند از شناسایی بدافزارهای فروشگاه Google Play فرار کنند. این تاکتیک که «نسخه‌سازی» نامیده می‌شود، شامل نسخه‌ای از یک برنامه است که قبل از انتشار یک به‌روزرسانی مخرب همان برنامه، اعتماد Play Store را به خود جلب می‌کند. گزارش Google Cloud به نوع بدافزار SharkBot اشاره کرد، بدافزار بانکی که انتقال پول را از دستگاه‌های در معرض خطر با استفاده از پروتکل سرویس انتقال خودکار آغاز می‌کند.

به گفته شلتون، انواع SharkBot که در Google Play ظاهر شدند، عملکرد کمتری داشتند، یک تکنیک پنهان‌سازی که شناسایی برنامه‌های مشکوک را سخت‌تر می‌کند.

«نسخه‌سازی کار بزرگی است. شلتون گفت گوگل زمان و تلاش زیادی را برای بررسی برنامه‌ها در فروشگاه Google Play صرف کرده است. چیزی که معمولاً اتفاق می افتد این است که یک برنامه در فروشگاه Google Play منتشر می شود. بررسی می شود، کاملا بی خطر است و هیچ بدافزاری در آن وجود ندارد. سپس، با استفاده از … نسخه‌سازی، پس از نصب آن بر روی دستگاه کاربر، معمولاً به‌عنوان مثال، یک بازی یا ابزار مصرف‌کننده، و به یک سایت شخص ثالث دسترسی پیدا می‌کند، [برنامه] پس از اینکه برنامه تشخیص داد کاربر یک کاربر است، کدهای مخرب را دانلود می‌کند. وی افزود: هدف ارزشمندی است و بدخواهانه انجام می دهد.

او گفت که این مشکل نه تنها برای افراد بلکه برای شرکت ها نیز وجود دارد. این اپلیکیشن ها نه تنها پول می دزدند و تراکنش های مالی انجام می دهند، بلکه می توانند اطلاعات را نیز به سرقت ببرند.

این من را شب ها بیدار نگه می دارد، زیرا افراد از طریق تلفن های شخصی خود وارد حساب های کاری می شوند و این دزدان اطلاعات اعتبارنامه های آن تلفن را می گیرند و برای مهاجم ارسال می کنند. شلتون می‌گوید و این دقیقاً به روایتی برمی‌گردد که اعتبارنامه‌های دزدیده شده، نه تنها در فضای ابری، بلکه در موبایل، کلیدی هستند.

آسیب پذیری در خط لوله CI/CD DevOps

گزارش گوگل همچنین آسیب‌پذیری‌های DevOps را در فرآیند یکپارچه‌سازی/توسعه مستمر بررسی می‌کند و اشاره می‌کند که به خطر افتادن اعتبار و رمز احراز هویت اغلب عواملی در حوادث کد منبع هستند.

براساس مطالعه.

دفاع در عمق بسیار مهم است

شلتون گفت تمرکز بر پروتکل‌های بدون اعتماد و اصول دفاعی عمیق می‌تواند راه طولانی در مسدود کردن مهاجمان از ریشه داشته باشد.

آنچه این گزارش نشان می‌دهد این است که همانطور که سال‌ها و سال‌ها [بر اساس فرض] انجام داده‌ایم، در ابر باید دفاع را عمیقاً تمرین کنیم – باید استراتژی‌های شناسایی را لایه‌بندی کنیم و به کل چشم‌انداز تهدید نگاهی بیندازیم. شما باید همیشه مصالحه را فرض کنید و یک استراتژی امنیتی با چندین لایه بسازید.»

شلتون همچنین گفت که یک نکته مهم از این گزارش این است که حتی زمانی که مهاجمان پیچیده تر می شوند، به ویژه در مورد آهنربای حمله اصلی – مجوزها و بهره برداری از آسیب پذیری های IAM به طور کلی – پروتکل های بدون اعتماد بسیار مهم هستند.

«این به بهداشت سایبری برمی گردد. امروز، شما باید اصول را به خوبی تمرین کنید.» “ما کمی در مورد حملات پیچیده صحبت می کنیم، اما در پایان روز، یک دشمن فقط باید حداقل حداقل را انجام دهد تا به آنها کمک کند تا به اهداف خود دست یابند.”

امیدواریم از این مقاله مجله هشت پیک نیز استفاده لازم را کرده باشید و در صورت تمایل آنرا با دوستان خود به اشتراک بگذارید و با امتیاز از قسمت پایین و درج نظرات باعث دلگرمی مجموعه مجله 8pic باشید