מחקר: הפעלתם שרת קונטיינרים? הסתברות גדולה שיתקפו אותו תוך שעה
צוות המחקר של אקווה סקיוריטי מצא כי מחצית מהשרתים עם בעיות הגדרה ב-Docker API יותקפו על ידי בוטנטים תוך 56 דקות מרגע הפעלתם
עמי רוחקס דומבה
| 07/10/2021
קרדיט: מעיין פולג
האיומים הישירים על הענן מתרבים במהירות, והוא הופך למטרה מרכזית למתקפות. מרגע הפעלת שרת קונטיינרים לא מאובטח, יש 50% סיכוי שהוא יותקף בתוך כשעה בלבד. בעוד התוקפים ממשיכים לפתח את הטכניקות שלהם כל הזמן כדי ליצור התקפות מתוחכמות וממוקדות יותר, ארגונים רבים מותירים את עצמם חשופים.
דו״ח איומי ה-Cloud Native לשנת 2021 של אקווה סקיוריטי (Aqua’s 2021 Cloud Native Threat Report), המפתחת פתרונות אבטחת מידע לסביבות הענן, מנתח התקפות שנצפו בשטח ומצביע על מגמות מרכזיות של איומים על קונטיינרים ותשתיות ענן.
מספר ההתקפות על סביבות Cloud Native נמצא בעליה
היקף ההתקפות כנגד סביבות קונטיינרים ממשיך לגדול, והדבר מצביע על כך שעומדות מאחוריהן קבוצות תקיפה מאורגנות וממומנות היטב. צוות המחקר של אקווה סקיוריטי, צוות Nautilus, חשף במהלך ששת החודשים האחרונים של שנת 2020 לא פחות מ-17,521 התקפות של "מלכודות דבש" (Honeypots) בענן - גידול של 26% בהשוואה לתקופה המקבילה בחצי השנה הראשונה.
התוקפים ממשיכים לחפש אחר דרכים חדשות לתקוף סביבות Cloud Native, וכתוצאה מכך הם מרחיבים את התקיפה על ערוצי שרשרת האספקה ופיתוח התוכנה במערכות אינטגרציה ופריסה רציפה (CI/CD).
התקפה על מערכות אלה של תהליכים, מושכת מאוד את עברייני הסייבר מכיוון שהתקפה על רכיבים בשרשרת האספקה מאפשרים לגורמים העוינים להדביק יותר ארגונים במקביל, ולהשיג הפצה נרחבת של הקוד הזדוני אותו הם מנסים להפיץ. יתרה מכך, השימוש בכלי אבטחה שנועדו להגן על תהליכי בניה ב-CI/CD עדיין מוגבל ברוב הארגונים, כך שהסתרת ההתקפה במהלך שכזה תסתיים לעיתים קרובות בהצלחה.
ההתקפות הופכות למתוחכמות יותר
גורמים עוינים מתאימים את הטכניקות שלהם במהירות כדי למצוא מטרות פגיעות: למשל, 50% מהשרתים עם בעיות ההגדרה ב-Docker API יותקפו על ידי בוטנטים תוך 56 דקות מרגע הפעלתם. הדבר מדגים פעם נוספת את החשיבות של זיהוי ותיקון מהיר של בעיות הגדרה בענן, או של מניעה שלהן מראש בטרם ההפעלה.
התוקפים הגבירו את השימוש שלהם בטכניקות הסתרה וחמקנות כדי להימנע מחשיפה ועל מנת להגביר את הסיכוי להתקפה מוצלחת שתשיג השפעה רחבה. כדי להשיג את היעדים שלהם, מסתירים את תוכן ה-payloads על ידי קידוד או הצפנה, מריצים קוד זדוני ישירות מהזיכרון, ומשתמשים בכלים נוספים להשגת הרשאות גבוהות למחשב (rootkits).
כריה של מטבעות קריפטוגרפיים היא עדיין המטרה הנפוצה ביותר של המתקפות. יותר מ-90% מהמתקפות הן למעשה חטיפה של משאבים לצורך כריה. עם זאת, המחקר מזהה כי יעדים חדשים מתחילים להיות מסומנים. מתקפות רבות בוחרות להסתיר מטרות פוגעניות יותר, כגון יצירת דלתות אחוריות (backdoors), הפעלת malware, וגניבת הרשאות. לדוגמא, יותר מ- 40% מההתקפות שניתחנו באקווה כוללות יצירת פרצת דלת אחורית אצל הנתקף.
בדרך זו מנסים התוקפים להוציא את הרווח המרבי מכל מתקפה. בעוד כריית המטבעות משמשת לרווחיות בטווח הקצר, התוקפים מנסים בטווח הארוך להיכנס בדלת האחורית כדי להשיג גישה נוספת לסביבות ולרשתות של הקורבנות.
ארגונים שרוצים לשמור על עסקיהם צריכים לוודא שהם בונים מערך הגנה על שרשרת אספקת מערך הקונטיינרים ועל התשתית הארגונית מפני מתקפות עתידיות. ההבנה שהאיומים על סביבות ה-Cloud Native רק יתגברו היא הצעד הראשון בבניית אסטרטגיית אבטחה יעילה להגנה על סביבות אלה. ככל שהתקפות מתוחכמות יותר מופיעות בשטח, כך עולה החשיבות לאמץ גישה הוליסטית לאבטחה המופעלת על כל שלבי פיתוח והרצת היישומים.
צוות המחקר של אקווה סקיוריטי מצא כי מחצית מהשרתים עם בעיות הגדרה ב-Docker API יותקפו על ידי בוטנטים תוך 56 דקות מרגע הפעלתם
קרדיט: מעיין פולג
האיומים הישירים על הענן מתרבים במהירות, והוא הופך למטרה מרכזית למתקפות. מרגע הפעלת שרת קונטיינרים לא מאובטח, יש 50% סיכוי שהוא יותקף בתוך כשעה בלבד. בעוד התוקפים ממשיכים לפתח את הטכניקות שלהם כל הזמן כדי ליצור התקפות מתוחכמות וממוקדות יותר, ארגונים רבים מותירים את עצמם חשופים.
דו״ח איומי ה-Cloud Native לשנת 2021 של אקווה סקיוריטי (Aqua’s 2021 Cloud Native Threat Report), המפתחת פתרונות אבטחת מידע לסביבות הענן, מנתח התקפות שנצפו בשטח ומצביע על מגמות מרכזיות של איומים על קונטיינרים ותשתיות ענן.
מספר ההתקפות על סביבות Cloud Native נמצא בעליה
היקף ההתקפות כנגד סביבות קונטיינרים ממשיך לגדול, והדבר מצביע על כך שעומדות מאחוריהן קבוצות תקיפה מאורגנות וממומנות היטב. צוות המחקר של אקווה סקיוריטי, צוות Nautilus, חשף במהלך ששת החודשים האחרונים של שנת 2020 לא פחות מ-17,521 התקפות של "מלכודות דבש" (Honeypots) בענן - גידול של 26% בהשוואה לתקופה המקבילה בחצי השנה הראשונה.
התוקפים ממשיכים לחפש אחר דרכים חדשות לתקוף סביבות Cloud Native, וכתוצאה מכך הם מרחיבים את התקיפה על ערוצי שרשרת האספקה ופיתוח התוכנה במערכות אינטגרציה ופריסה רציפה (CI/CD).
התקפה על מערכות אלה של תהליכים, מושכת מאוד את עברייני הסייבר מכיוון שהתקפה על רכיבים בשרשרת האספקה מאפשרים לגורמים העוינים להדביק יותר ארגונים במקביל, ולהשיג הפצה נרחבת של הקוד הזדוני אותו הם מנסים להפיץ. יתרה מכך, השימוש בכלי אבטחה שנועדו להגן על תהליכי בניה ב-CI/CD עדיין מוגבל ברוב הארגונים, כך שהסתרת ההתקפה במהלך שכזה תסתיים לעיתים קרובות בהצלחה.
ההתקפות הופכות למתוחכמות יותר
גורמים עוינים מתאימים את הטכניקות שלהם במהירות כדי למצוא מטרות פגיעות: למשל, 50% מהשרתים עם בעיות ההגדרה ב-Docker API יותקפו על ידי בוטנטים תוך 56 דקות מרגע הפעלתם. הדבר מדגים פעם נוספת את החשיבות של זיהוי ותיקון מהיר של בעיות הגדרה בענן, או של מניעה שלהן מראש בטרם ההפעלה.
התוקפים הגבירו את השימוש שלהם בטכניקות הסתרה וחמקנות כדי להימנע מחשיפה ועל מנת להגביר את הסיכוי להתקפה מוצלחת שתשיג השפעה רחבה. כדי להשיג את היעדים שלהם, מסתירים את תוכן ה-payloads על ידי קידוד או הצפנה, מריצים קוד זדוני ישירות מהזיכרון, ומשתמשים בכלים נוספים להשגת הרשאות גבוהות למחשב (rootkits).
כריה של מטבעות קריפטוגרפיים היא עדיין המטרה הנפוצה ביותר של המתקפות. יותר מ-90% מהמתקפות הן למעשה חטיפה של משאבים לצורך כריה. עם זאת, המחקר מזהה כי יעדים חדשים מתחילים להיות מסומנים. מתקפות רבות בוחרות להסתיר מטרות פוגעניות יותר, כגון יצירת דלתות אחוריות (backdoors), הפעלת malware, וגניבת הרשאות. לדוגמא, יותר מ- 40% מההתקפות שניתחנו באקווה כוללות יצירת פרצת דלת אחורית אצל הנתקף.
בדרך זו מנסים התוקפים להוציא את הרווח המרבי מכל מתקפה. בעוד כריית המטבעות משמשת לרווחיות בטווח הקצר, התוקפים מנסים בטווח הארוך להיכנס בדלת האחורית כדי להשיג גישה נוספת לסביבות ולרשתות של הקורבנות.
ארגונים שרוצים לשמור על עסקיהם צריכים לוודא שהם בונים מערך הגנה על שרשרת אספקת מערך הקונטיינרים ועל התשתית הארגונית מפני מתקפות עתידיות. ההבנה שהאיומים על סביבות ה-Cloud Native רק יתגברו היא הצעד הראשון בבניית אסטרטגיית אבטחה יעילה להגנה על סביבות אלה. ככל שהתקפות מתוחכמות יותר מופיעות בשטח, כך עולה החשיבות לאמץ גישה הוליסטית לאבטחה המופעלת על כל שלבי פיתוח והרצת היישומים.
