Blog

ataques na nuvem

4 Exemplos de como a Orca Security pode detectar ataques na nuvem

As empresas migraram para a nuvem e adotaram arquiteturas nativas de cada infraestrutura pública. Essa mudança permitiu que as organizações escalassem com mais facilidade e enviassem o código para a produção mais rapidamente. No entanto, a mesma facilidade que garantiu a continuidade dos negócios também facilita os ataques na nuvem, criando riscos como:

  • Vulnerabilidades em cargas de trabalho e aplicativos
  • Configurações incorretas de serviços de infraestrutura em nuvem, como buckets de armazenamento
  • Uso e configuração inadequados de identidades e direitos de nuvem

Embora muitos desses pontos possam ser detectados por ferramentas de segurança na nuvem, a maioria das soluções se concentra em uma área de risco específica, como cargas de trabalho, configurações de serviço em nuvem ou direitos de identidade. Essa abordagem em silos significa que as ferramentas não podem ver como os riscos podem ser combinados com pontos fracos em outras camadas, criando pontos cegos que possibilitam ataques. 

Por conta dessa complexidade na nuvem, a Orca Security conta com a a CDR – Cloud Detection e Response – uma tecnologia que analisa eventos na nuvem e comportamentos, unindo informações de telemetria, dados da tecnologia SideScanning, também da Orca, para analisar quais possíveis anomalias configuram ameaças.

O que é Detecção e Resposta na Nuvem (CDR)?

O Cloud Detection and Response (CDR) ajuda as empresas a detectar, investigar e responder aos invasores que violaram os controles de perímetro de recursos e aplicativos de nuvem. Ao fornecer dados contextualizados sobre eventos potencialmente maliciosos, especialistas podem acelerar a investigação, triagem e resposta a ameaças na nuvem.

Como a CDR do Orca é diferente?

Ao contrário de outras soluções que analisam apenas eventos, comportamentos e riscos nas cargas de trabalho, a Orca também considera a configuração nativa da nuvem e os riscos de identidade para avaliar se os eventos indicam um possível ataque mal-intencionado e podem representar um risco sério para a organização.

Aproveitando um único modelo de dados unificado, o Orca é capaz de combinar e analisar as seguintes informações:

  • Logs do provedor de nuvem e feeds de inteligência de ameaças
  • Riscos em cargas de trabalho na nuvem, como malware e vulnerabilidades
  • Riscos em configurações e identidades, como risco de IAM, risco de movimento lateral e configurações incorretas
  • Conhecimento da localização das joias da coroa da empresa (PII, finanças e outros dados confidenciais)

Isso permite que a solução da Orca entenda todo o contexto de uma ocorrência e identifique rapidamente quais eventos e anomalias são potencialmente perigosos, versus aqueles que não são maliciosos.

Exemplos de como o Orca CDR detecta ataques na nuvem

Veja quatro exemplos abaixo de ataques na nuvem e como a tecnologia Orca CDR pode detectar anomalias em eventos e comportamentos para determinar se esses eventos indicam um ataque na nuvem em andamento.

#1: Criação incomum de instâncias do EC2

Por meio de modelagem contínua e estudo de User and Entity Behavior Analytics (UEBA) no ambiente de nuvem, a plataforma Orca detecta uma anomalia no comportamento de uma função. Normalmente essa função cria cerca de 1 ou 2 instâncias do EC2 por semana, mas hoje a Orca vê que a função já criou 12 instâncias do EC2. Além disso, a verificação de carga de trabalho da Orca detecta comandos suspeitos em uma das instâncias do EC2, indicando que há um minerador de criptografia em execução.

Dessa forma, a tecnologia da Orca Security determina que é altamente provável que uma atividade maliciosa esteja ocorrendo e gera um alerta de alta prioridade com a recomendação de investigação. Especificamente, a plataforma recomenda revisar a atividade da função que emite as chamadas de API, as instâncias do EC2 recém-criadas e o malware e, em seguida, determinar se as instâncias do EC2 devem ser encerradas e/ou as credenciais da função devem ser alternadas.

#2: A atividade de chamada da API indica o processo de enumeração

A plataforma Orca detecta chamadas de API com usuários incomuns. Após uma inspeção mais detalhada, a natureza das chamadas de API indica que pode haver um ataque de enumeração em andamento. Os ataques de enumeração [ou enumeration attack, no termo em inglês] são executados por invasores para descobrir informações sobre o ambiente que estão tentando comprometer, por exemplo, listando nós do EC2 na conta da nuvem para coletar informações sobre seus alvos, e posterior execução de movimento lateral. Esse tipo de ataque também lista buckets do S3 para tentar exfiltrar dados confidenciais.

Esse comportamento suspeito, combinado com a inteligência da plataforma que detecta que a função usada nas chamadas da API é excessivamente permissiva, aumenta o risco e o possível impacto nos negócios. Portanto, a Orca considera este um possível ataque da mais alta gravidade. Para interceptar e responder a esse ataque, um alerta é disparado com a recomendação de revisão das chamadas da API. Possíveis ações preventivas seriam reduzir as permissões da função usada nas chamadas de API e alternar as credenciais da função potencialmente sequestrada com um agente de usuário incomum.

 

#3: IP malicioso tentando acessar a função Lambda

Por meio de monitoramento contínuo, a plataforma Orca detecta atividades suspeitas de um endereço IP malicioso que se comunica com uma função do AWS Lambda, tentando recuperar o código-fonte da função do Lambda.

A partir de verificações anteriores, a plataforma Orca identifica que essa função do Lambda expõe os secrets da AWS e gera imediatamente um alerta crítico de possível atividade maliciosa. No alerta, há a recomendação de revisar a atividade da função da API, e proteger os secrets da AWS contra exposição, por exemplo, alterando o segredo exposto.

 

#4: comportamento de função incomum no bucket do S3 com PII

Esse tipo de intrusão é um dos ataques na nuvem mais executados. Geralmente, inicia com uma função realzando uma chamada de API para um bucket  S3 existente, embora nunca tenha feito isso antes. Dois dias depois, o mesmo bucket é habilitado para acesso público sem a necessidade de autenticação. Por meio da varredura do plano de dados, a plataforma já identifica que esse bucket contém PIIs. Como esse comportamento é uma técnica comum para exfiltração de dados, a Orca imediatamente escala o problema para que as equipes de SOC possam bloquear o acesso público ao bucket do S3 que contém PII.

 

Como você pode proteger a nuvem

Muitas soluções para proteção da nuvem não oferecem uma visão holística e abrangente do ambiente, concentrando-se apenas em monitorar acesso ou descobrir ameaças já conhecidas — ou até mesmo limitam-se a analisar aspectos abranges da LGPD. Os ataques na nuvem têm se tornado cada vez mais sofisticados, e é preciso contar com soluções avançadas para proteger esses ambientes. Conheça mais sobre a Orca Security e agende uma demo com a Evolutia.

A transformação começa agora.