Việc áp dụng hàng loạt cơ sở hạ tầng đám mây hoàn toàn được chứng minh bởi vô số lợi thế. Do đó, ngày nay, các ứng dụng kinh doanh, khối lượng công việc và dữ liệu nhạy cảm nhất của các tổ chức đều nằm trong đám mây.
Tin tặc, tốt và xấu, đã nhận thấy xu hướng đó và phát triển hiệu quả các kỹ thuật tấn công của họ để phù hợp với bối cảnh mục tiêu trêu ngươi mới này. Với khả năng phản ứng và thích ứng cao của các tác nhân đe dọa, nên giả định rằng các tổ chức đang bị tấn công và một số tài khoản hoặc ứng dụng người dùng có thể đã bị xâm phạm.
Việc tìm ra chính xác tài sản nào có nguy cơ thông qua tài khoản bị xâm nhập hoặc tài sản bị xâm phạm đòi hỏi phải lập bản đồ các đường dẫn tấn công tiềm ẩn trên một bản đồ toàn diện về tất cả các mối quan hệ giữa các tài sản.
Ngày nay, việc lập bản đồ các đường dẫn tấn công tiềm năng được thực hiện bằng các công cụ quét như AzureHound hoặc AWSPX. Đó là các công cụ dựa trên đồ thị cho phép hình dung các mối quan hệ tài sản và tài nguyên trong nhà cung cấp dịch vụ đám mây có liên quan.
Bằng cách giải quyết thông tin chính sách, những người thu thập này xác định cách các đường dẫn truy cập cụ thể ảnh hưởng đến các tài nguyên cụ thể và cách kết hợp các đường dẫn truy cập này có thể được sử dụng để tạo các đường dẫn tấn công.
Các bộ thu thập dựa trên đồ thị này hiển thị các kết quả tôpô ánh xạ ra tất cả các thực thể được lưu trữ trên đám mây trong môi trường và mối quan hệ giữa chúng.
Các liên kết giữa mỗi thực thể được thiết lập trong biểu đồ kết quả được phân tích theo thuộc tính của tài sản để rút ra bản chất chính xác của mối quan hệ và tương tác hợp lý giữa các tài sản dựa trên:
Hướng mối quan hệ – là hướng kết nối từ tài sản X đến tài sản Y hoặc ngược lại. Loại mối quan hệ – là tài sản X: Được chứa bởi tài sản Y Có thể tiếp cận tài sản Y Có thể hành động trên tài sản Y…
Mục tiêu của thông tin được cung cấp là để hỗ trợ những người hợp tác màu đỏ xác định các con đường tấn công leo thang đặc quyền và di chuyển bên tiềm năng và những người đồng đội màu xanh lam trong việc tìm cách ngăn chặn sự leo thang quan trọng và ngăn chặn kẻ tấn công.
Từ khóa trong câu đó là “hỗ trợ”. Kết quả lập bản đồ toàn diện mà chúng tạo ra là một kết quả thụ động, không đồng nghĩa với việc thông tin cần được phân tích và hành động chính xác, kịp thời để lập bản đồ hiệu quả các đường tấn công tiềm ẩn và thực hiện các biện pháp phòng ngừa.
Mặc dù thông tin được cung cấp bởi những người thu thập dành riêng cho đám mây sẽ làm sáng tỏ việc định cấu hình sai trong các chính sách Quản lý quyền truy cập đặc quyền và Trình quản lý truy cập danh tính (IAM) bị lỗi và cho phép hành động sửa chữa trước, nó không phát hiện được các lớp quyền thứ cấp tiềm năng mà kẻ tấn công có thể sử dụng để khắc đường tấn công.
Điều này đòi hỏi khả năng phân tích bổ sung để có thể thực hiện phân tích chuyên sâu, ví dụ, về tài sản chứa và các mối quan hệ thụ động liên quan đến tài sản chứa. Cymulate hiện đang phát triển một bộ công cụ vận hành một cách tiếp cận khám phá tích cực hơn để thực hiện phân tích chuyên sâu hơn nhiều.
Ví dụ: nếu chúng ta tưởng tượng một tình huống trong đó người dùng A có đặc quyền có quyền truy cập vào kho khóa X, bộ thu thập dựa trên biểu đồ sẽ lập bản đồ chính xác mối quan hệ giữa người dùng A và nội dung X.
Trong trường hợp này, không có mối quan hệ trực tiếp nào giữa người dùng A và các bí mật có trong kho chìa khóa X. Theo phân loại ở trên, nếu chúng ta gọi các tài sản bí mật là Y (1 đến n), thì các mối quan hệ được mô tả bởi người thu thập là:
Nội dung Y được chứa bởi Nội dung X Hướng kết nối giữa người dùng A và nội dung X là A ⇒ X.
Tuy nhiên, từ góc độ đối thủ, việc có được quyền truy cập vào kho tiền chính có tiềm năng giành được quyền truy cập vào tất cả các tài sản có thể truy cập thông qua những bí mật đó. Nói cách khác, bản đồ mối quan hệ dựa trên biểu đồ không xác định được mối quan hệ giữa người dùng A với nội dung Y (1 đến n). Điều này đòi hỏi khả năng phân tích cho phép xác định các mối quan hệ giữa các tài sản có trong tài sản khác và tài sản bên ngoài tài sản chứa.
Trong trường hợp này, việc tìm ra chính xác tài sản nào có khả năng gặp rủi ro từ người dùng A đòi hỏi phải lập bản đồ tất cả các tài sản liên quan đến bí mật được lưu trữ trong kho tiền khóa X.
Một loạt các khả năng xác thực bảo mật liên tục của Cymulate được thống nhất trong nền tảng Quản lý tư thế bảo mật mở rộng (XSPM) đã được các nhà nghiên cứu đỏ áp dụng để tự động hóa, mở rộng quy mô và tùy chỉnh các kịch bản và chiến dịch tấn công. Luôn tìm kiếm những cách thức mới để giúp họ vượt qua những thách thức như vậy, Cymulate cam kết liên tục làm phong phú bộ công cụ nền tảng với các khả năng bổ sung.
Khám phá các khả năng của XSPM một cách thoải mái khi bạn rảnh rỗi.
Lưu ý: Bài báo này được viết bởi Cymulate Research Labs.
.
