Encontrando caminhos de ataque em ambientes de nuvem

abr 19, 2022

Cloud Environments

A adoção em massa da infraestrutura em nuvem é plenamente justificada por inúmeras vantagens. Como resultado, hoje, os aplicativos de negócios, cargas de trabalho e dados são cada vez mais confidenciais e cada vez mais essas organizações estão migrando para o serviço em nuvem.

Os hackers, bons e ruins, notaram essa tendência e evoluíram efetivamente suas técnicas de ataque para corresponder a esse novo cenário de alvos tentador. Com a alta reatividade e adaptabilidade dos agentes de ameaças, é recomendável presumir que as organizações estão sob ataque e que algumas contas de usuários ou aplicativos já podem ter sido comprometidos.

Descobrir exatamente quais ativos estão em risco por meio de contas comprometidas ou ativos violados requer o mapeamento de possíveis caminhos de ataque em um mapa abrangente de todos os relacionamentos entre ativos.

Hoje, o mapeamento de possíveis caminhos de ataque é realizado com ferramentas de varredura como AzureHound ou AWSPX. Essas são ferramentas baseadas em gráficos que permitem a visualização de relacionamentos de ativos e recursos dentro do provedor de serviços de nuvem relacionado.

Ao resolver as informações de política, esses coletores determinam como caminhos de acesso específicos afetam recursos específicos e como a combinação desses caminhos de acesso pode ser usada para criar caminhos de ataque.

Esses coletores baseados em gráficos exibem resultados topológicos mapeando todas as entidades hospedadas em nuvem no ambiente e os relacionamentos entre elas.

As ligações entre cada entidade estabelecidas no gráfico resultante são analisadas de acordo com as propriedades do ativo para extrair a natureza exata do relacionamento e a interação lógica entre os ativos com base em:

  • A direção do relacionamento – é a direção da conexão do ativo X para o ativo Y ou vice-versa.
  • O tipo de relacionamento – é o ativo X:
  • Contido pelo ativo Y
  • Pode acessar o ativo Y
  • Pode atuar no ativo Y

O objetivo das informações fornecidas é ajudar os red teamers a identificar possíveis ameaças e privilegiar caminhos de ataque de escalação e os blue teamers a encontrar maneiras de bloquear a escalação crítica e parar um invasor.

A palavra-chave nessa frase é “assistência”. A saída de mapeamento abrangente que eles geram é um resultado passivo, na medida em que as informações precisam ser analisadas de maneira precisa e oportuna e postas em prática para mapear com eficácia possíveis caminhos de ataque e tomar medidas preventivas.

Embora as informações fornecidas pelos coletores específicos da nuvem iluminem a configuração incorreta no Privileged Access Management e as políticas defeituosas do Identity Access Manager (IAM) e possibilitem ações corretivas preventivas, elas não detectam possíveis camadas de permissão secundárias que um invasor poderia aproveitar para criar um caminho de ataque.

Isso requer recursos analíticos adicionais capazes de realizar análises detalhadas, por exemplo, de ativos contidos e os relacionamentos passivos relativos aos ativos contidos.

Por exemplo, se imaginarmos uma situação em que o usuário privilegiado A tem acesso ao cofre de chaves X, um coletor baseado em gráfico mapeará corretamente a relação entre o usuário A e o ativo X.

Nesse caso, não há relação direta entre o usuário A e os segredos contidos no cofre de chaves X. De acordo com a classificação acima, se chamarmos os ativos de segredos Y(1 a n), os relacionamentos descritos pelo coletor são:

  • O ativo Y está contido no ativo X
  • A direção da conexão entre o usuário A e o ativo X é A ⇒ X.

De uma perspectiva adversária, porém, obter acesso ao cofre de chaves tem o potencial de obter acesso a todos os ativos acessíveis por meio desses segredos. Em outras palavras, o mapa de relacionamento baseado em gráfico não identifica os relacionamentos entre o usuário A e os ativos Y(1 para n). Isso requer recursos analíticos que permitam a identificação dos relacionamentos entre ativos contidos em outros ativos e ativos externos ao ativo contido.

Nesse caso, descobrir exatamente quais ativos estão potencialmente em risco do usuário A requer mapear todos os ativos relacionados aos segredos armazenados no cofre de chaves X.

REFERÊNCIAS:

https://thehackernews.com/2022/04/finding-attack-paths-in-cloud.html

https://www.sciencedirect.com/topics/computer-science/cloud-environment