Cloud and Container | De serie ‘Aanval en Verdediging’

SentinelOne is leverancier van autonome endpoint-bescherming middels een enkelvoudige agent die preventie, detectie, respons en opsporings-functionaliteit combineert. SentinelOne analyseert het gedrag van endpoints met behulp van slimme zelflerende algoritmes waardoor ook de nieuwste, onbekende malware wordt ontdekt. Door een geheel geautomatiseerd proces dat gestart worden bij detectie van afwijkend gedrag, zorgt deze security oplossing voor een significante vermindering van het security management. Zeer eenvoudig uit te rollen en managen.

Cloud en container | Aanval en verdediging: Een nieuwe blogserie van SentinelOne

Omdat cloudtechnologieën steeds meer de ruggengraat van moderne ondernemingen vormen, is het van vitaal belang om te begrijpen hoe aanvallers deze omgevingen misbruiken en om best practices voor beveiliging te beoordelen voor robuuste beveiliging. Dit is de aanleiding voor de lancering van de nieuwe blogserie “Cloud en container | Aanval en verdediging” van het Cloud Security Research Team van SentinelOne. In deze serie worden de ins en outs van cloudbeveiliging vanuit het perspectief van zowel bedreigingsactoren als verdedigers onderzocht.

Inzicht in het huidige landschap van cloudadoptie

Organisaties omarmen de digitale transformatie snel, waarbij de acceptatie van de publieke cloud en containers een hoeksteenstrategie is geworden. Door de overstap naar cloud-native platforms, containertoepassingen en andere moderne opslagoplossingen kunnen bedrijven hun applicaties efficiënter beheren en tegelijkertijd kosten laag houden en veerkracht opbouwen. SentinelOne geeft enkele statistieken weer, zoals dat Gartner verwacht dat tegen 2025 meer dan 95% van de nieuwe digitale workloads op cloud-native platforms zal draaien, vergeleken met 30% in 2021.

Adoptie stimuleert focus op bedreigingen en toenemende verfijning

De snelle groei van cloudtechnologieën heeft de aandacht van dreigingsactoren getrokken. Cyberverdedigers zien een toename in zowel de frequentie als de verfijning van aanvallen op cloudomgevingen. Het aantal waargenomen technieken voor cloud- en containeraanvallen is gestegen, wat wijst op een groeiende focus van aanvallers op cloudinfrastructuren. Dit resulteert in meer gerapporteerde incidenten en inbreuken, zoals blijkt uit het Thales State of Cloud Security-rapport, waarin 39% van de respondenten aangeeft het afgelopen jaar een cloudinbreuk te hebben ervaren.

Een toename van automatisering

Een opkomende trend in cloudaanvallen is het gebruik van automatisering. Aanvallers maken steeds vaker gebruik van geautomatiseerde scripts om bijvoorbeeld inloggegevens te verzamelen, misconfiguraties te scannen en cloudservices te exploiteren. Een voorbeeld is het LemonDuck-botnet, dat binnen twaalf seconden verkeerde Docker-API’s kan aanvallen en een frauduleuze container implementeert voor cryptojacking. Automatisering verlaagt de drempel voor aanvallers en maakt het makkelijker om deze omgevingen te compromitteren.

Wie richt zich op de cloud?

Dreigingsactoren die zich richten op cloud- en containeromgevingen komen uit verschillende hoeken, van e-crime tot natiestaten. E-crimegroepen, zoals The Com, hebben bewezen bijzonder bedreven te zijn in het compromitteren van cloudinfrastructuren. Natiestaten, zoals China en Rusland, hebben ook aanzienlijke middelen ingezet om cloudproviders te doorbreken, met speciale programma’s zoals de Tianfu Cup die aanzienlijke beloningen biedt voor cloudkwetsbaarheden.

Belangrijkste oorzaken van cloudincidenten

SentinelOne bespreekt de drie belangrijkste oorzaken van cloudincidenten: verkeerd geconfigureerde assets die blootgesteld worden aan het internet, gecompromitteerde inloggegevens en kwetsbare web-apps die in de cloud worden gehost. Verkeerd geconfigureerde cloud-assets, zoals S3-buckets, blijven een veelvoorkomend probleem. Daarnaast blijven gehackte inloggegevens, vaak door slecht beveiligde ontwikkelingspraktijken, een belangrijke oorzaak van veel incidenten. Kwetsbare web-apps en OS-niveau kwetsbaarheden spelen ook een cruciale rol in cloudinbreuken.

De kracht van drie | Geavanceerde cloudaanvallen

Geavanceerde cloudaanvallen maken vaak gebruik van een combinatie van de bovengenoemde oorzaken: kwetsbaarheden, gecompromitteerde inloggegevens en verkeerd geconfigureerde omgevingen. Populaire tactieken binnen deze aanvallen zijn het stelen van inloggegevens en het uitschakelen of wijzigen van cloudservices. In de praktijk is dit bijvoorbeeld te zien bij het misbruiken van AWS-referenties om nieuwe gebruikers aan te maken of het uitschakelen van cloudmonitoringdiensten om detectie te vermijden.

Blijf op de hoogte van de volgende blog

De serie gaat verder met een diepgaande “Attack”-post over Kubernetes (K8s) privilege escalation, een kritieke zorg binnen cloud-native omgevingen. Kubernetes, een kerncomponent van veel cloudinfrastructuren, biedt unieke beveiligingsuitdagingen die in de volgende blog in detail zal onderzocht worden.

Lees de volledige blog voor meer details.

de volledige blog


Wilt u graag meer informatie over SentinelOne of een offerte opvragen?
Neem dan contact op via +31 (0)499 462121 of mail naar info@exclusive-networks.nl