Pozor: Chyby v konfiguraci cloudových služeb otevírají brány útočníkům!

Převážná část špatně či nevhodně nastavených parametrů ve veřejných cloudových službách, ale i v dalších on-line přístupných systémech, zůstává bez povšimnutí. Otevírá se tak nejen obrovský prostor pro nežádoucí aktivity útočníků, ale také pro nežádoucí kompromitaci dat bez cizího zavinění.

Pozor: Chyby v konfiguraci cloudových služeb otevírají brány útočníkům!


Většina úniků dat, jakkoli se díky zprávám médií může zdát pravý opak, nesouvisí s aktivitami počítačových hackerů nebo se škodlivými záměry demotivovaných zaměstnanců. Velmi často jde pouze o důsledky lidských pochybení, za nimiž stojí různé kombinace neznalosti, nezkušenosti nebo nepozornosti.

Současný rozmach cloudových technologií a služeb podstatně pozměnil a obohatil paletu kybernetických hrozeb, jimž organizace čelí. Výraznější dopady má samozřejmě na subjekty, jež využívají veřejný nebo hybridní model provozu. V souvislosti s ním se zvyšuje riziko ztrát a úniků dat, které zapříčiní chybná konfigurace cloudových služeb nebo nedostatečně odolné přihlašovací údaje uživatelů a správců. Samostatnou kapitolu představují známé, neznámé, ošetřené i neošetřené zranitelnosti systémů, jejichž zneužití motivuje počítačové útočníky od nepaměti.

Volně dostupný citlivý obsah

Na chybné konfigurace serverů, datových úložišť a cloudových služeb se zaměřila letošní studie Too Much Information: The Sequel z dílny společnosti Digital Shadows. Počet exponovaných souborů podle jejích zjištění vzrostl meziročně o 50 procent na 2,3 miliardy. Výzkumníci samozřejmě narazili také na citlivý obsah, jenž tvořily například daňové formuláře, detaily platebních karet, zdravotní dokumentace nebo patenty. Všechny tyto dokumenty byly v době tvorby studie, která vznikala počátkem roku 2019, dostupné on-line.

Zdrojem exponovaných souborů byly k internetu připojené úložné systémy, cloudové služby, synchronizační servery nebo sdílené složky serverů. Všechny z hlediska bezpečnosti spojovala jedna společná vlastnost, kterou je chybná konfigurace. Výzkumníci také připouštějí, že v některých případech došlo k jinému druhu pochybení. Daný soubor se na jinak korektně vystaveném a zveřejněném on-line úložišti vůbec neměl objevit.

Předchozí ročník studie společnosti Digital Shadows zaznamenal 1,5 miliardy v podstatě veřejně, ale nevhodně exponovaných dokumentů. Meziročně tedy došlo, při zachování metodiky průzkumu, k 50procentnímu nárůstu jejich počtu.

Výzkumníci narazili například na 4,7 milionu lékařských záznamů, z nichž většinu tvořila obrazová dokumentace. Ke snímkům a skenům byly samozřejmě povětšinou připojené osobní údaje pacien­tů. U jedné britské konzultační firmy z oboru IT objevili 212 tisíc souborů jejích klientů. Figurovaly mezi nimi také seznamy uživatelských jmen a hesel.

Exponované dokumenty a chybně konfigurované nebo zranitelné systémy rozhodně nezůstávají bez povšimnutí počítačových útočníků. Výzkumníci našli 17 milionů souborů, jež byly zašifrovány ransomwarem. Nemalou část z nich pravděpodobně tvořily zálohy. V rozvětvené rodině ransomwaru již vznikly specializované verze, které se na chybně konfigurovaná nebo zranitelná řešení zaměřují. Jde například o škodlivý kód NamPoHyu, jednu z variant ransom­waru MegaLocker, jenž cílí na zranitelnost rozšířených serverů Samba. Další příklad reprezentuje malware SamSam.

Chybné konfigurace veřejných cloudů

Specifický pohled na bezpečnost infrastrukturních cloudových služeb nabídla společnost McAfee ve své studii Cloud-Native: The Infrastructure-as-a-Ser­vice Adoption and Risk. Podle jejích zjištění zůstává většina chybných konfigurací nepovšimnuta. Pouze jedno procento problémů s cloudovou infrastrukturou je hlášeno a řešeno. Z těchto hodnot lze usoudit, že na celém světě existuje bezpočet organizací, které odebírají služby IaaS a potenciálně čelí únikům dat, špio­náži nebo jiným útokům, o jejichž průběhu nemají ponětí.

Specialisté společnosti McAfee se v rámci přípravy studie dotazovali jednoho tisíce IT profesionálů z jedenácti zemí a současně zpracovali data od
30 milionů uživatelů svých bezpečnostních cloudových řešení Mvision. Zástupci oslovených organizací se domnívali, že v průměru zaznamenali a řešili 37 konfiguračních problémů měsíčně. Data z provozu bezpečnostního řešení ovšem naznačují, že se reálný počet problémů s IaaS pohybuje kolem 3,5 tisíce za měsíc.

90 procent respondentů průzkumu narazilo na bezpečnostní problémy s infrastrukturními cloudovými službami. Ale jen 26 procent uvedlo, že je jejich organizace schopna dělat relevantní konfigurační audity. Více než čtvrtina dotazovaných organizací odstraňuje zjištěné konfigurační problémy často déle než 24 hodin. V některých případech jde dokonce o desítky dnů.

K nejčastějším problémům v nastavení infrastrukturních cloudových služeb patří neomezené přístupy k portům a nevyužití disponibilních bezpečnostních prvků. Nedostatečný vhled do provozu a užití cloudových služeb v důsledku zvyšuje riziko kompromitace dat.

Řešení DLP – Data Loss Prevention podle informací společnosti McAfee zaznamenala v případě infrastruktury jako služby 248procentní meziroční nárůst výskytu incidentů, při nichž hrozila ztráta dat. Například u 42 procent monitorovaných datových úložišť v prostředí IaaS šlo o důsledek jejich chybné konfigurace.

Problematika konfigurací cloudové infrastruktury zjevně nepředstavuje téma s omezeným časovým dopadem, což dokládají i data analytiků. Globální obrat
trhu veřejných cloudových služeb letos podle informací společnosti Gartner vzroste meziročně o 17,5 procenta. Dosáhne hodnoty 214,3 miliardy dolarů. Nejvyšší růst si v rámci trhu připíše segment infrastruktury jako služby. Konkrétně půjde o 27,5 procenta. Z loňských 30,5 miliardy dolarů navýší svůj obrat na letošních 38,9 miliardy.

Regiony, poskytovatelé a legislativa

Nejvíce exponovaných souborů objevili výzkumníci firmy Digital Shadows ve Spojených státech (326 milionů), Francii (151 milionů) a v Japonsku (77 milionů). Mnoho tamních organizací podle jejich zjištění přechází na cloudový model a potýká se s problémy v oblasti konfigurace a zabezpečení dat mimo vlastní infrastrukturu. Často se mylně domnívají, že se principy cloudové bezpečnosti významně liší od tradičního přístupu k on-premise řešením.

Mnoho organizací podle specialistů firmy McAfee přehlíží model sdílené odpovědnosti, s nímž v oblasti zabezpečení cloudová infrastruktura operuje. Domnívají se, že celou problematiku komplexně zajišťuje poskytovatel služby. V tomto ohledu se ale mýlí a odpovědnost za chybné nastavení systémů nebo za nezavedení odpovídajících bezpečnostních opatření na ně nepřenesou. Na situaci ale reagují i sami poskytovatelé cloudových služeb. Například společnost Amazon zavedla ochranný prvek Block Public Access. Výskyt exponovaných souborů v její infrastruktuře, konkrétně v S3 buckets, meziročně poklesl z jednotek milionů na jednotky tisíc.

Specialisté společnosti Digital Shadows přiznávají jisté dílčí zlepšení stavu i legislativním opatřením. Podle jejich mínění se na výrazném meziročním snížení počtu exponovaných dokumentů v Lucembursku a Nizozemsku podílí pravděpodobně důsledné zavedení opatření, jež vyžaduje unijní nařízení o ochraně osobních údajů neboli GDPR.


Úvodní foto: leowofert (Fotolia.com)




Komentáře