Português
English
Français
Deutsch
Español
Italiano
日本語
한국어
Русский
LarEstudo do Google Cloud: grande risco na proliferação de credenciais e chaves
Estudo do Google Cloud: grande risco na proliferação de credenciais e chaves
Seu e-mail foi enviado
Chaves, credenciais e contas, meu Deus! Um novo estudo do Google Cloud mostra que os invasores estão perseguindo o ponto fraco da empresa: o gerenciamento de acesso de identidade.
As credenciais são o calcanhar de Aquiles na segurança empresarial, de acordo com um novo relatório da equipe de ação de segurança cibernética do Google Cloud, que descobriu que as vulnerabilidades de credenciais são responsáveis por 60% dos fatores de comprometimento entre os usuários do Google Cloud. O grupo de segurança da empresa disse, em seu novo Relatório de Horizontes de Ameaças, que o fortalecimento desses pontos fracos pode ser alcançado com atenção básica aos detalhes de confiança zero, incluindo fortes proteções de gerenciamento de identidade.
Além disso, a equipe do Google Cloud relatou que problemas de configuração incorreta foram responsáveis por 19% dos fatores de comprometimento, que também foram associados a outros fatores de comprometimento, como interfaces de programação de aplicativos ou interfaces de usuário sensíveis expostas à natureza por confusões como firewalls mal configurados (Figura A).
Figura A
“A cada trimestre vemos as mesmas atividades, mas os invasores estão cada vez mais sofisticados na forma como as implementam”, disse Matt Shelton, chefe de pesquisa e análise de ameaças do Google Cloud. “Continuamos a ver o IAM como o problema número um e suspeito que continuaremos a ver isso nos próximos trimestres. Credenciais de contas roubadas e configurações incorretas são o que todo mundo procura hoje em dia”, acrescentou.
Pule para:
No relatório desenvolvido para usuários corporativos do Google Cloud, a equipe analisou estatísticas de alerta anônimas do primeiro trimestre de 2023 do Chronicle, o pacote de software como segurança do Google para centros de operações de segurança, para identificar fatores de risco indutores de comprometimento.
Os alertas predominantes no primeiro trimestre de 2023, constituindo quase 75% dos alertas, foram para abuso entre projetos de permissões de geração de token de acesso. Em termos gerais, este é um problema de gestão de acesso privilegiado, frequentemente envolvendo contas sobreprovisionadas, onde as equipas de TI procuram aumentar o tempo de atividade e reduzir a complexidade concedendo demasiado acesso às contas, violando o conceito de privilégio mínimo.
Shelton destacou que contas superprovisionadas são comuns com acesso de identidade entre projetos, explicando que um usuário normalmente cria uma conta de serviço com muitas permissões, para facilitar o trabalho. O invasor então rouba essas credenciais e tenta realizar ações como acessar um projeto diferente ou aumentar privilégios.
“Contas superprovisionadas geralmente se aplicam a contas de serviço ou de administrador privilegiado, portanto, a consequência do ID roubado é pior do que se fosse uma conta de usuário final”, disse Shelton.
Um exemplo de erro de provisionamento excessivo é o uso excessivo de chaves de shell seguras, que fornecem acesso a protocolos de rede de shell seguros criptografados, projetados para permitir que máquinas se comuniquem em uma rede aberta e insegura. As chaves SSH são usadas para realizar ações remotas, como transferência de arquivos, gerenciamento de rede e acesso a sistemas operacionais.
“Se eu sou um administrador fazendo login em uma instância do GCP Linux, tenho uma chave privada em meu endpoint que um bandido pode roubar e usá-la para fazer login. Esse é um vetor de ataque que existe há anos e anos. Evoluímos além disso, mas ainda é amplamente utilizado na indústria, como mostra nosso relatório”, disse Shelton. “É mais um armazenamento de identidade que você precisa acompanhar. Ninguém coloca uma chave SSH em um sistema de baixa prioridade, está sempre no sistema Unix de back-end que contém dados confidenciais”, disse ele. (Figura B).
Figura B
Shelton disse que uma tática melhor é usar o nome de usuário e a senha que acompanham a ferramenta Google IAM. “Isso é confiança zero. Ele garante que você tenha uma conta, uma senha com autenticação multifator, um local central onde você pode desativá-lo ou reativá-lo e um local central para visualizar os logs. Portanto, nossa recomendação é: sim, o IAM é um dos principais vetores de comprometimento, mas existem ferramentas baseadas nos princípios de confiança zero que podem ajudá-lo a proteger sua conta”, disse ele.