Google felhőbiztonsági jelentés

Editors' Pick
Geronimo

A Cloud Security Releases Threat Horizons Report for H1 2025 című jelentésében a Google Cloud Security a felhőszolgáltatások és azok védelme szempontjából fontos trendeket és kockázatokat azonosít, amelyek a kiberfenyegetések világában várhatóan domináns szerepet játszanak a következő időszakban.

A legfontosabb megfigyelések közé tartozik, hogy a támadók egyre inkább a felhasználói identitások és fiókok megszerzésére összpontosítanak, hogy hozzáférjenek érzékeny adatokhoz és rendszerekhez. A kutatók felhívják a figyelmet, hogy a fenyegetettségi szereplők fókusza változik, és már nem csupán a felhasználói belépési adatok ellopására és a konfigurációs hibák kihasználására összpontosítanak, hanem a túlprivilegizált szolgáltatói fiókokat is célba veszik. Ezek a fiókok olyan jogosultságokkal rendelkeznek, amelyek nem szükségesek a feladatuk elvégzéséhez, így a támadók könnyebben tudnak belépni és mozgást végezni az organizáció rendszereiben, komolyabb károkat okozva ezzel.

 A túlprivilegizált fiókok és nem megfelelő jogosultsági beállítások számos potenciális sebezhetőséget rejtenek, amelyek lehetővé teszik a támadók számára, hogy további támadásokat indítsanak vagy adatokat lopjanak. A felhőalapú környezetek biztonságának javítása érdekében a jelentés különös hangsúlyt fektet a helyes jogosultságkezelésre és az identitás-ellenőrzési mechanizmusok megerősítésére. Az identitás-eltulajdonítás már nem korlátozódik csupán a konfigurációs hibákra vagy gyenge jelszavakra alapozott jelszólopásra. A támadók mostanra már a hitelesítést követő tokenek vagy sütik elfogásával, illetve ellopásával férnek hozzá, hatékonyan kikerülve a hagyományos hitelesítési eljárásokat. Az identitás ellopásának leggyakoribb módszerei közé tartozik a szótár alapú brute force támadás, ellopott hitelesítő adatok újrahasznosítása, jelszószivárgás, phishing és szociális manipuláció. Egyetlen ellopott hitelesítő adat láncreakciót indíthat el, amely hozzáférést biztosít alkalmazásokhoz és adatokhoz, mind az on-premises, mind a felhőben. Ezt a hozzáférést a támadók tovább kihasználhatják az infrastruktúra kompromittálására távoli elérési szolgáltatásokon keresztül, manipulálhatják az MFA-t, és bizalmas jelenlétet alakíthatnak ki további szociális manipulációs támadásokhoz. Az ellopott hitelesítő adatokkal a támadók rosszindulatú alkalmazásokat regisztrálhatnak, hogy folyamatos hozzáférést biztosítsanak kommunikációs platformokhoz, vagy hosszú életű hitelesítő adatokat, például hozzáférési kulcsokat és tanúsítványokat szerezhetnek, tovább erősítve a támadásokat. Végső soron egyetlen ellopott hitelesítő adat lehetőséget ad a támadóknak, hogy átvándoroljanak az on-premises vagy felhő infrastruktúrákon, növeljék jogosultságaikat, és tartós jelenlétet építsenek ki, ami adatlopáshoz, zsaroláshoz és romboló tevékenységekhez vezethet.

A jelentés emellett az új típusú támadásokat is kiemeli, mint például a zsarolóprogramok célzott támadásai és az egyre elterjedtebb adatlopás. A kiberfenyegetések és a vállalatok védelmére vonatkozó legújabb trendek azonosítása érdekében a Google Cloud Security szakértői részletes javaslatokat adnak a megelőzésre és az incidenskezelésre. Külön hangsúlyt kapnak a hálózati védelmi és hozzáférés-kezelési technikák, amelyek az érzékeny adatok védelmét szolgálják, valamint a felhőalapú infrastruktúra biztonságának folyamatos monitorozása.

A Mandiant megfigyelései szerint a támadók egyre inkább zsarolják az áldozatokat azáltal, hogy az ellopott adataikat közzéteszik az úgynevezett Data Leak Sites (DLS) oldalakon. Ez a támadói taktika aggasztó, mivel az elmúlt évben azt tapasztalták, hogy a felhőtechnológiákat használó szervezeteket is érintette ez a tevékenység, nemcsak azokat, akik helyben tárolják adataikat. A DLS-ek elterjedése és az egyre bővülő zsarolási módszerek növekvő fenyegetést jelentenek minden szervezet számára, függetlenül attól, hogy hol tárolják az adataikat.

A 2024 harmadik negyedévében a Mandiant 1,242 áldozatot figyelt meg a DLS-en, ami majdnem elérte a 2023 harmadik negyedévében tapasztalt csúcsot (1,329 áldozat). Bár a számok némileg alacsonyabbak 2024 harmadik negyedévében, az összes DLS-be történt adatfelvitel száma 2024 januárja és szeptembere között már meghaladta a 2023-as évi adatokat (3,546 áldozat 2024-ben, szemben a 3,385-tel 2023-ban). A Mandiant előrejelzése szerint a DLS-en közzétett áldozatok száma 2024-ben meghaladja a 2023-as évet (4,521 áldozat), valószínűleg néhány száz áldozattal.

Ahogy egyre több áldozat és információ kerül fel a DLS-ekre, a kockázati kitettség is nő a szervezetek számára, mivel az érzékeny információk nyilvánosságra kerülnek. A támadások természetét és a DLS-en közzétett információk használatát figyelembe véve, a cikk a támadók alkalmazott taktikáira összpontosít, különösen a felhő környezetek kompromittálására.

A jelentés részletei alapján a felhőalapú szolgáltatások védelme érdekében a cégeknek folyamatosan frissíteniük kell biztonsági protokolljaikat és megfelelő védelmi intézkedéseket kell hozniuk a kiberfenyegetésekkel szemben.

FORRÁS