Organisaties omarmen digitale transformatie snel, met de public cloud en containers als belangrijke strategieën. Traditionele infrastructuren verschuiven naar cloud-native platforms en gecontaineriseerde applicaties om efficiëntere workflows te creëren, kosten te besparen en veerkracht op te bouwen. Gartner voorspelt dat 95% van de nieuwe digitale workloads in 2025 op cloud-native platforms draait, een stijging van 30% ten opzichte van 2021. Tegen 2028 zal 70% van alle workloads in de cloud zijn, vergeleken met 25% nu.
De aandacht van aanvallers
De snelle adoptie van cloudtechnologieën trekt de aandacht van aanvallers. Omdat organisaties hun bedrijfskritische gegevens naar de cloud verplaatsen, richten zij zich in toenemende mate op deze nieuwe infrastructuren. Security-professionals zien niet alleen een stijging in de frequentie van aanvallen, maar ook in de complexiteit ervan. We meten deze complexiteit aan de hand van de groei in technieken die aanvallers gebruiken, zoals vastgesteld door de MITRE ATT&CK Foundation. Volgens de MITRE ATT&CK Foundation steeg het aantal aanvalstechnieken in de Cloud IaaS Matrix van 50 naar 61 en in de Containers Matrix van 28 naar 39 in de afgelopen tweeënhalf jaar. Deze verhoogde aandacht leidt ook tot meer gerapporteerde incidenten en inbreuken met betrekking tot cloud- en containeromgevingen. Volgens een recent rapport van Thales heeft 39% van de respondenten in zijn State of Cloud Security het afgelopen jaar te maken gehad met een cloudinbreuk.
Geautomatiseerde aanvallen
Een andere opvallende trend is het toenemende aantal geautomatiseerde aanvallen. SentinelOne ziet steeds vaker geautomatiseerde scripts, zoals automated ‘scraping of secrets’ voor credential harvesting, inclusief scannen op configuratiefouten, het inzetten van cryptominers en het uitbuiten van kwetsbaarheden op besturings- en app-niveau. Het LemonDuck-botnet kan bijvoorbeeld binnen twaalf seconden verkeerd geconfigureerde Docker-API’s aanvallen en op automatische wijze een kwaadaardige container inzetten voor cryptojacking. Automation en open-source tools zoals AlienFox en Predator AI verlagen de drempel voor aanvallers. Deze tools kunnen referenties uit onveilige omgevingen halen en misbruiken, wat het onrechtmatig verkrijgen van toegang tot systemen vergemakkelijkt.
Oorzaken van cloudincidenten
Met de toename van cloud-gerelateerde incidenten is het cruciaal om te kijken naar de meest voorkomende problemen en waar beveiligingsteams hun aandacht op moeten richten. De drie belangrijkste oorzaken van cloudincidenten zijn verkeerd geconfigureerde bedrijfsmiddelen die op het internet zijn aangesloten, gecompromitteerde referenties en kwetsbare webapps die in de cloud worden gehost.
- Verkeerd geconfigureerde bedrijfsmiddelen: Er was een lange periode van onbedoeld blootgestelde S3-buckets voordat Amazon wijzigingen aanbracht om standaardconfiguraties privé te maken. Ondanks toenemende controles en standaardinstellingen van cloudleveranciers en de opkomst van tools voor Cloud Security Posture Management (CSPM) blijven verkeerd geconfigureerde omgevingen wijdverspreid.
- Gecompromitteerde referenties: Het is niet verrassend dat veel cloudincidenten beginnen omdat een aanvaller toegang heeft gekregen tot referenties, vaak via credential harvesting. In 2023 meldde GitGuardian dat meer dan 1 miljoen gevallen van gelekte Google API-geheimen, 250.000 Google Cloud-geheimen en 140.000 AWS-geheimen op GitHub zijn ontdekt.
- Kwetsbare webapps in de cloud: Kwetsbaarheden op OS- en applicatieniveau blijven een belangrijke oorzaak van cloudincidenten. Hoewel ze niet uitsluitend gerelateerd zijn aan cloud en containers, zijn de toegenomen bekende exploiteerbare kwetsbaarheden (KEV) en kwetsbaarheden met proof-of-concept-exploits opmerkelijk. VulnCheck biedt een gedetailleerd overzicht van deze trends over de afgelopen tien jaar. Een opmerkelijke observatie is de snelheid waarmee aanvallers proof-of-concept-exploits overnemen. Een voorbeeld van CloudFlare laat zien dat aanvallers een PoC-exploit tegen TeamCity slechts 22 minuten na publicatie gebruikten.
De kracht van drie
Kwetsbaarheden, gecompromitteerde referenties en verkeerd geconfigureerde omgevingen zijn de belangrijkste oorzaken van incidenten. Bij geavanceerde cloudaanvallen spelen vaak tactieken en technieken een rol waarbij alle drie de bovenstaande oorzaken betrokken zijn. Veel aanvallen beginnen met een kwetsbaarheid op OS- of applicatieniveau die Remote Code Execution (RCE) mogelijk maakt. Populaire tactieken binnen cloudaanvallen omvatten het stelen van referenties en het wijzigen of uitschakelen van cloudservices. Diefstal van referenties is een effectieve manier om privilege-escalatie te bereiken en de omvang van de inbreuk te vergroten.
De snelle adoptie van cloudtechnologie brengt grote beveiligingsrisico’s met zich mee, waaronder toenemende complexiteit en geautomatiseerde aanvallen. Organisaties moeten zich richten op actieve beveiligingsmaatregelen – zoals beter configuratiebeheer, krachtige credential-beveiliging en snelle patching van kwetsbaarheden – om hun cloudomgevingen te beschermen tegen het groeiende aantal geavanceerde dreigingen.
Dit is een ingezonden bijdrage van SentinelOne. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.