Molte aziende utilizzano già un ambiente cloud composto da un cloud privato on-premises e risorse cloud pubbliche, ovvero un cloud ibrido. Tuttavia, quando si tratta di sicurezza informatica, le aziende tendono a concentrarsi maggiormente sulla protezione degli ambienti fisici o virtualizzati, prestando molta meno attenzione alla parte della loro infrastruttura che risiede nei cloud pubblici. Alcuni ritengono che debbano essere i fornitori del servizio su cloud a essere responsabili della protezione, altri pensano che i cloud pubblici siano sicuri fin dalla loro progettazione e che non richiedano alcuna protezione aggiuntiva. Ma entrambe le ipotesi sono errate: i cloud pubblici sono soggetti allo sfruttamento della vulnerabilità del software, all’aggiornamento del repo poisoning, allo sfruttamento della connessione di rete e alla compromissione delle informazioni degli account e del resto della vostra infrastruttura. Ecco perché.
Vulnerabilità del RDP e del SSH
L’RDP è attivo di default sulle istanze di Amazon e non supporta l’autenticazione a due fattori. È diventato il bersaglio di molti strumenti diversi per gli attacchi di forza bruta. Alcuni di essi si concentrano sui nomi utente di default più comuni (come “Administrator”) e realizzano migliaia di tentativi per indovinare. Altri cercano di indovinare le credenziali dell’amministratore usando i cognomi e le password più comuni. Gli algoritmi di forza bruta possono limitare e randomizzare il numero di tentativi, con una pausa tra una serie di tentativi e l’altra, per evitare la rilevazione automatica. Un altro metodo di attacco è quello di forzare la password per il login dell’SSM-User, spesso programmato nelle istanze AWS.
Tentativi simili di attacchi di forza bruta puntano sempre ai servizi SSH, e sebbene SSH offra una protezione maggiore rispetto all’RDP (ad esempio, l’autenticazione a due fattori), un servizio configurato in modo incauto può facilmente fornire l’accesso a un soggetto dannoso che persiste nell’intento. Gli attacchi di forza bruta su SSH e RDP hanno rappresentato il 12% di tutti gli attacchi all’Internet delle Cose nella prima metà del 2019.
Vulnerabilità nei software di terze parti
I cloud pubblici potrebbero esporvi a delle vulnerabilità. Ecco alcuni esempi di come una vulnerabilità in un software di terze parti offra ai cybercriminali la possibilità di eseguire il codice sull’istanza stessa.
Il 3 giugno 2019 è stata scoperta una vulnerabilità in Exim, un popolare server di posta elettronica comunemente utilizzato nei cloud pubblici. La vulnerabilità permetteva l’esecuzione di codici da remoto Se il server veniva eseguito come root, come avviene più comunemente, il codice dannoso introdotto sul server veniva eseguito con i permessi di root. Un’altra vulnerabilità Exim, identificata nel luglio 2019, consentiva anche l’esecuzione di codici da remoto come root.
Un altro esempio è l’hackeraggio nel 2016 del sito ufficiale di Linux Mint, che ha portato a modificare le distribuzioni per includere malware che includonouna backdoor IRC con funzionalità DDOS. Il malware potrebbe anche essere utilizzato per scaricare payload dannosi su computer infetti. Altri casi segnalati riguardavano moduli node.js dannosi, container infetti nel Docker Hub e altro ancora.
Come ridurre i rischi
I criminali informatici possono essere molto originali quando si tratta di trovare i punti di accesso alle infrastrutture, specialmente quando ce ne sono tante, tutte molto simili e con problemi simili, e tutte ritenute altamente sicure by design. Per ridurre e gestire il rischio in modo molto più efficace, per proteggere i sistemi operativi sulle vostre istanze cloud e dispositivi virtuali, gli antivirus di base e la protezione antimalware non sono sufficienti. Le beste practices del settore impongono che ogni sistema operativo in un’infrastruttura necessiti di una protezione completa e multilivello e anche i fornitori di servizi cloud pubblici lo consigliano.
È qui che entra in gioco una soluzione di sicurezza come Kaspersky Hybrid Cloud Security. La nostra soluzione protegge i diversi tipi di workload in esecuzione su piattaforme diverse, utilizzando vari livelli di tecnologie di sicurezza tra cui hardening del sistema, prevenzione degli exploit, monitoraggio dell’integrità dei file, blocker degli attacchi di rete, antimalware statico, comportamentale e altro ancora. Qui troverete ulteriori informazioni sulla nostra soluzione.