Check Point Research отмечает рост атак на облачные сети на 48% в 2022 году по сравнению с 2021 годом.
Основные моменты:
- Check Point Research (CPR) изучает облачные сети и обнаруживает значительный рост на 48% числа атак на организацию в 2022 году по сравнению с 2021 годом.
- Попытки атак на облачные сети, особенно с использованием уязвимостей, показывают более широкое использование новых CVE.
- Основные CVE оказали большее влияние на облачные сети по сравнению с локальными.
- CPR обращает внимание на самые важные 7 столпов надежной облачной безопасности
Высоко в облаках не всегда мирно
В течение последних нескольких лет компания Check Point Research (CPR) следила за эволюцией ландшафта облачных угроз, а также за постоянным распространением облачной инфраструктуры в корпоративных средах.
Целых 98% глобальных организаций используют облачные сервисы, и примерно 76% из них имеют многооблачные среды, в которых представлены услуги от двух или более поставщиков облачных услуг.
В последние годы внедрение облачных технологий в целом быстро росло, и COVID-19 ускорил этот переход.
С нормализацией удаленной работы компаниям необходимо было иметь возможность поддерживать и предоставлять критически важные услуги своим удаленным сотрудникам.
С переходом в облако возникает потребность в облачной безопасности как крупнейшей адаптации технологии, поэтому увеличивается количество атак на нее. Эти облачные приложения должны быть защищены от атак, а размещенные в облаке данные должны быть защищены от несанкционированного доступа в соответствии с применимыми нормами.
В этом году был показательный примеро том, насколько важной может быть эта защита, когда самая разветвленная мобильная сеть Таиланда, AIS, случайно оставила незащищенной базу данных из восьми миллиардов интернет-записей, что привело к одному из самых дорогостоящих взломов, когда-либо зарегистрированных, устранение которого обошлось компании в 58 миллиардов долларов.
В ноябре ФБР и CISA сообщили в совместном бюллетене, что неназванная группа угроз, поддерживаемая Ираном, взломала организацию Федеральной гражданской исполнительной власти (FCEB) для развертывания вредоносного ПО для криптомайнинга XMRig.
Злоумышленники скомпрометировали федеральную сеть после взлома неисправленного сервера VMware Horizon с помощью эксплойта, нацеленного на уязвимость удаленного выполнения кода Log4Shell (CVE-2021-44228).
Рост числа атак на облачные сети
Изучая ландшафт облачных сетей за последние два года, мы видим значительный рост на 48% количества атак на организацию, испытанных в 2022 году, по сравнению с 2021 годом. В регионах мы видим, что в Азии наблюдается наибольший рост в годовом исчислении с ростом на 60%, за ней следует Европа, где наблюдается существенный рост на 50%, и Северная Америка с 28%.
Влияние более новых и крупных CVE выше в облачных сетях по сравнению с локальными
Хотя текущее количество атак на облачные сети по-прежнему на 17% ниже, чем в необлачных сетях, при переходе к типам атак, особенно к эксплойтам уязвимостей, наблюдается более широкое использование новых CVE (опубликовано в 2020–2022 гг.). ) по сравнению с локальными сетями для попыток атак на облачные сети. Разницу между двумя типами сетей можно увидеть на изображении ниже.
Процент атак с использованием последних уязвимостей ( данные за 2020–2022 гг.)Дальнейший анализ конкретных известных глобальных уязвимостей показывает, что некоторые основные CVE оказали более сильное влияние на облачные сети по сравнению с локальными. Например, уязвимость Text4shell (CVE-2022-42889), которая была раскрыта в октябре и вскоре после этого была использована, показала на 16 % большее влияние на облачные среды по сравнению с ее влиянием на локальные сети. Эта уязвимость, основанная на функциональности Apache Commons Text, позволяет проводить атаки по сети без необходимости каких-либо определенных привилегий или взаимодействия с пользователем.
Дополнительные примеры известных CVE, раскрытых в этом году, которые показали аналогичную тенденцию:
- Удаленное выполнение кода VMware Workspace (CVE-2022-22954) — влияние на облачные сети на 31 % больше .
- Удаленное выполнение кода Microsoft Exchange Server (CVE-2022-41082) — влияние на облачные сети на 17 % больше .
- F5 BIG IP (CVE-2022-1388) — на 12 % выше влияние на облачные сети .
- Atlassian Confluence — Remote Code Execution (CVE-2022-26134) — влияние на облачные сети на 4 % выше
7 столпов надежной облачной безопасности
В то время как поставщики облачных услуг предлагают множество встроенных функций и услуг облачной безопасности, дополнительные сторонние решения необходимы для обеспечения защиты облачных рабочих нагрузок корпоративного уровня от взломов, утечек данных и целевых атак в облачной среде. Интегрированный облачный или сторонний стек безопасности обеспечивает централизованную видимость и детальный контроль на основе политик, необходимые для реализации следующих передовых отраслевых практик, перечисленных ниже:
1. Элементы управления безопасностью облачных сетей с нулевым доверием в логически изолированных сетях и микросегментах
Развертывайте критически важные для бизнеса ресурсы и приложения в логически изолированных разделах облачной сети поставщика, таких как виртуальные частные облака (AWS и Google) или vNET (Azure). Используйте подсети для микросегментации рабочих нагрузок друг от друга с детализированными политиками безопасности на шлюзах подсети. Используйте выделенные каналы глобальной сети в гибридных архитектурах и используйте статические определяемые пользователем конфигурации маршрутизации для настройки доступа к виртуальным устройствам, виртуальным сетям и их шлюзам, а также общедоступным IP-адресам.
2. Сдвиньте вашу безопасность влево
Обеспечьте безопасность и соответствие требованиям на раннем этапе жизненного цикла разработки. Благодаря тому, что проверки безопасности интегрированы в конвейер развертывания постоянно, а не в конце, DevSecOps может находить и устранять уязвимости безопасности на ранней стадии, ускоряя выход организации на рынок.
3. Обеспечьте гигиеничность кода с помощью управления уязвимостями
Установите защитные политики, гарантирующие, что ваше развертывание соответствует корпоративным политикам гигиены кода. Эти политики будут предупреждать об отклонении от политики и могут блокировать развертывание несовместимых артефактов. Создайте процессы исправления, предупредив команду разработчиков о несовместимых артефактах с помощью соответствующего исправления.
Используйте инструменты, позволяющие исследовать уязвимости, и SBOM (ведомость материалов программного обеспечения) для быстрого выявления ресурсов с критическими уязвимостями.
4. Избегайте неправильной настройки благодаря непрерывному сканированию позы
Поставщики облачной безопасности обеспечивают надежное управление состоянием облачной безопасности , последовательно применяя правила управления и соответствия требованиям к виртуальным серверам. Это помогает убедиться, что они настроены в соответствии с передовыми методами и правильно разделены с помощью правил управления доступом.
5. Защита всех приложений (и особенно облачных распределенных приложений) с активным предотвращением с помощью IPS (системы предотвращения вторжений) и брандмауэра веб-приложений следующего поколения.
Не позволяйте вредоносному трафику достигать ваших серверов веб-приложений. Благодаря автоматическому обновлению правил WAF в ответ на изменения поведения трафика и развертыванию ближе к микросервисам, на которых выполняются рабочие нагрузки.
6. Улучшенная защита данных с помощью многоуровневой защиты.
Усовершенствованная защита данных с шифрованием на всех транспортных уровнях, защищенные общие файлы и обмен данными, непрерывное управление рисками соответствия и поддержание надлежащей гигиены ресурсов хранения данных, например обнаружение неправильно настроенных сегментов и прекращение бесхозных ресурсов, обеспечат этот дополнительный уровень безопасности для облачного ландшафта организации.
7. Аналитика угроз, которая обнаруживает и устраняет известные и неизвестные угрозы в режиме реального времени.
Сторонние поставщики облачной безопасности добавляют контекст к большим и разнообразным потокам облачных журналов, интеллектуально сопоставляя агрегированные данные журналов с внутренними данными, такими как системы управления активами и конфигурациями, сканеры уязвимостей и т. д., и внешними данными, такими как общедоступные угрозы. аналитические каналы, базы данных геолокации и т. д. Они также предоставляют инструменты, которые помогают визуализировать и анализировать ландшафт угроз и способствуют более быстрому реагированию на инциденты. Алгоритмы обнаружения аномалий на основе ИИ применяются для обнаружения неизвестных угроз, которые затем подвергаются криминалистическому анализу для определения их профиля риска. Оповещения в режиме реального времени о вторжениях и нарушениях политик сокращают время исправления, иногда даже запуская рабочие процессы автоматического исправления.
Check Point CloudGuard предлагает унифицированную встроенную облачную защиту для ваших приложений, рабочих нагрузок и сети, что дает вам уверенность в автоматизации безопасности, предотвращении угроз и управлении состоянием — на скорости и в масштабе облака.
Статистика и данные, использованные в этом отчете, представляют собой данные, обнаруженные технологиями предотвращения угроз Check Point , сохраненные и проанализированные в ThreatCloud . ThreatCloud предоставляет информацию об угрозах в режиме реального времени, полученную от сотен миллионов датчиков по всему миру, по сетям, конечным точкам и мобильным устройствам. Интеллектуальные данные дополняются механизмами на основе искусственного интеллекта и эксклюзивными исследовательскими данными Check Point Research — аналитического и исследовательского подразделения Check Point Software.