Aggiornamenti recenti Novembre 22nd, 2024 9:00 AM
Nov 12, 2020 Alessandra Venneri Kaspersky Partner Space, RSS 1
Molte aziende utilizzano già un ambiente cloud composto da un cloud privato on-premises e risorse cloud pubbliche, ovvero un cloud ibrido. Tuttavia, quando si tratta di sicurezza informatica, le aziende tendono a concentrarsi maggiormente sulla protezione degli ambienti fisici o virtualizzati, prestando molta meno attenzione alla parte della loro infrastruttura che risiede nei cloud pubblici. Alcuni ritengono che debbano essere i fornitori del servizio su cloud a essere responsabili della protezione, altri pensano che i cloud pubblici siano sicuri fin dalla loro progettazione e che non richiedano alcuna protezione aggiuntiva. Ma entrambe le ipotesi sono errate: i cloud pubblici sono soggetti allo sfruttamento della vulnerabilità del software e della connessione di rete e alla compromissione delle informazioni degli account e del resto della nostra infrastruttura. Ecco perché.
L’RDP è attivo di default sulle istanze di Amazon e non supporta l’autenticazione a due fattori. È diventato il bersaglio di molti strumenti diversi per gli attacchi di forza bruta. Alcuni di essi si concentrano sui nomi utente di default più comuni (come “Administrator”) e realizzano migliaia di tentativi per indovinare l’accesso. Altri cercano di indovinare le credenziali dell’amministratore usando i cognomi e le password più comuni. Gli algoritmi di forza bruta possono limitare e randomizzare il numero di tentativi, con una pausa tra una serie di tentativi e l’altra, per evitare la rilevazione automatica. Un altro metodo di attacco è quello di forzare la password per il login dell’SSM-User, spesso programmato nelle istanze AWS.
Tentativi simili di attacchi di forza bruta puntano sempre ai servizi SSH, e sebbene SSH offra una protezione maggiore rispetto all’RDP (ad esempio, l’autenticazione a due fattori), un servizio configurato in modo incauto può facilmente fornire l’accesso a un soggetto dannoso che persiste nell’intento. Gli attacchi di forza bruta su SSH e RDP hanno rappresentato il 12% di tutti gli attacchi all’Internet delle Cose nella prima metà del 2019.
I cloud pubblici potrebbero esporvi a delle vulnerabilità. Ecco alcuni esempi di come una vulnerabilità in un software di terze parti offra ai cybercriminali la possibilità di eseguire il codice sull’istanza stessa.
Il 3 giugno 2019 è stata scoperta una vulnerabilità in Exim, un popolare server di posta elettronica comunemente utilizzato nei cloud pubblici. La vulnerabilità permetteva l’esecuzione di codici da remoto, se il server veniva eseguito come root, come avviene più comunemente, il codice dannoso introdotto sul server veniva eseguito con i permessi di root. Un altro esempio è l’hackeraggio nel 2016 del sito ufficiale di Linux Mint, che ha portato a modificare le distribuzioni per includere malware che includono una backdoor IRC con funzionalità DDOS. Il malware potrebbe anche essere utilizzato per scaricare payload dannosi su computer infetti. Altri casi segnalati riguardavano moduli node.js dannosi, container infetti nel Docker Hub e altro ancora.
I criminali informatici possono essere molto originali quando si tratta di trovare i punti di accesso alle infrastrutture, specialmente quando ce ne sono tante, tutte molto simili e con problemi simili, e tutte ritenute altamente sicure by design. Per ridurre e gestire il rischio in modo molto più efficace e per proteggere i sistemi operativi sulle vostre istanze cloud e dispositivi virtuali, gli antivirus di base e la protezione antimalware non sono sufficienti. Le best practice del settore impongono che ogni sistema operativo in un’infrastruttura necessiti di una protezione completa e multilivello e anche i fornitori di servizi cloud pubblici lo consigliano.
Kaspersky raccomanda di attuare i seguenti passaggi che possono aiutarli a rendere la propria azienda più sicura:
– Stabilire un metodo o un mezzo che permetta segnalazioni affidabili di violazioni o vulnerabilità
– Classificare i dati nel cloud e impiegare soluzioni preventive di violazione dei dati
– Effettuare la revisione della configurazione dell’infrastruttura, specialmente dove sono contenuti i dati e applicare giuste policy di sicurezza
– Preferire gli alert automatici alle modifiche non autorizzate nelle impostazioni di configurazione base del sistema
– Rafforzare l’autenticazione a più fattori per gli account degli amministratori
– Usare threat data feeds per bloccare connessioni di rete provenienti da indirizzi di rete dannosi o da nodi di uscita TOR / VPN noti
– Utilizzare un prodotto per la sicurezza dedicato alla protezione del cloud che rilevi le attività sospette nell’ambiente cloud, come Kaspersky Hybrid Cloud Security. Le soluzioni di sicurezza dovrebbero permettere il monitoraggio dell’integrità dei file e garantire quella dei file di sistema critici, così come il blocco degli attacchi di rete e il controllo delle applicazioni, con modalità “rifiuto” predefinita per bloccare l’esecuzione di applicazioni non autorizzate”.
Ott 24, 2024 0
Mar 14, 2024 0
Gen 08, 2024 0
Nov 29, 2023 0
Nov 22, 2024 0
Nov 21, 2024 0
Nov 20, 2024 0
Nov 19, 2024 0
Nov 22, 2024 0
Secondo una ricerca di F5 Labs, gli attacchi DDoS sono...Nov 21, 2024 0
Google ha annunciato di aver trovato 26 nuove...Nov 14, 2024 0
L’FBI ha lanciato un allarme: stando a un avviso...Nov 13, 2024 0
I ricercatori di Securonix hanno scoperto CRON#TRAP, una...Nov 12, 2024 0
Le minacce APT sono in aumento e in molti casi stanno...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Nov 22, 2024 0
Secondo una ricerca di F5 Labs, gli attacchi DDoS sono...Nov 21, 2024 0
Playlist e podcast sono l’esca ideale per attirare ignari...Nov 21, 2024 0
Google ha annunciato di aver trovato 26 nuove...Nov 20, 2024 0
Una campagna di spionaggio a opera di hacker cinesi ha...Nov 19, 2024 0
I ricercatori di Sekoia hanno individuato una nuova...
One thought on “Proteggere i cloud pubblici dalle vulnerabilità comuni”