A empresa israelense Ermetic, especializada em segurança de infraestrutura em nuvem, anunciou ontem 8/10/2021)os resultados de um estudo conduzido por seu departamento de pesquisa sobre a postura de segurança em ambientes AWS e sua vulnerabilidade a ataques de ransomware. Em praticamente todas as organizações participantes, a Ermetic encontrou identidades que, se comprometidas, colocariam em risco pelo menos 90% dos buckets S3 em uma conta da AWS.
Na verdade, mais de 70% dos ambientes no estudo tinham máquinas que foram expostas publicamente à Internet e estavam vinculadas a identidades cujas permissões poderiam ser exploradas para permitir que as máquinas executassem ransomware.
Veja isso
Varredura encontra 4 mil buckets S3 expondo dados confidenciais
Problema de MFA bloqueou acesso a recursos Microsoft
- No geral, todos os ambientes empresariais estudados tinham identidades em risco de serem comprometidas e que poderiam executar ransomware em pelo menos 90% dos buckets em uma conta da AWS
- Mais de 70% dos ambientes tinham máquinas que foram expostas publicamente à Internet e identidades cujas permissões permitiam que as máquinas expostas executassem ransomware
- Mais de 45% dos ambientes tinham identidades de terceiros com a capacidade de executar ransomware, elevando seus privilégios ao nível de administrador (uma descoberta surpreendente com implicações de longo alcance além do foco do ransomware desta pesquisa)
- Quase 80% dos ambientes continham usuários IAM com chaves de acesso habilitadas que não tinham sido usadas por 180 dias ou mais e tinham a capacidade de executar ransomware
As mitigações recomendadas pela empresa no estudo foram as seguintes:
- Implementar privilégios mínimos – impor uma estratégia de permissão que com o mínimo de direitos necessários para que as identidades desempenhem suas funções de negócios, o que reduzirá drasticamente a exposição de buckets S3 a ransomware
- Eliminar fatores de risco – aplicar as melhores práticas para evitar / remover configurações incorretas comuns que podem ser exploradas por ransomware para comprometer identidades e usar seus direitos para executar malware
- Utilizar Logging and Monitoring – usar ferramentas para identificar ações sensíveis que podem fornecer detecção precoce e resposta se um ataque de ransomware estiver em andamento
- Prevenção de Exclusão – usar recursos prontos para uso e configurações disponíveis para buckets S3, como MFA-Delete ou Object Locks para evitar exclusões maliciosas
- Replicação de bucket – configurar buckets confidenciais para fazer backup automático de seu conteúdo em um bucket separado, seguro e dedicado para restauração
Com agências de notícias internacioniais