Ameaças comuns na nuvem: hospedagem de malware

Os líderes de TI empresarial não são os únicos que entendem o potencial da hospedagem em nuvem. Ela não só oferece os benefícios potenciais de maior tempo de atividade e escalabilidade para empresas legítimas, como também oferece os mesmos recursos para ciber criminosos e representa outro aspecto do crescente cenário de ameaças que as empresas devem enfrentar.

Os invasores geralmente usam serviços de hospedagem clandestinos para evitar serem detectados, mas não é incomum que eles recorram a serviços legítimos de hospedagem em nuvem para atender às suas necessidades. Os ciber criminosos podem usar uma conta de hospedagem gratuita ou comprometida para hospedar malware, enquanto usam a reputação do provedor de hospedagem como disfarce para dificultar o bloqueio de atividades maliciosas.

Vetores comuns de ataque em nuvem

Alguns exemplos de ataques que os atores de ameaças usam para atingir sistemas de nuvem são:

Ataque de negação de serviço distribuído (DDoS)

Ataques DDoS sobrecarregam um alvo com tráfego para interromper suas operações.

Explorando migrações ao vivo

As migrações ao vivo podem ser comprometidas de várias maneiras, como fazer alterações que deixam os sistemas migrados vulneráveis a ataques e criar várias migrações falsas para iniciar um ataque DoS.

Negação de serviço do hipervisor (DoS)

Este tipo de ataque DoS tem como alvo o hipervisor. Se bem-sucedido, ele pode afetar todas as máquinas virtuais (VMs) que um host está executando.

Ataque de hiperchamada

Um ataque de hiperchamada permite que um ator de ameaças tenha como alvo máquinas virtuais por meio do manipulador de hiperchamada e pode levar à execução de código malicioso com os privilégios do gerenciador de máquina virtual.

Hyperjacking

Esses ataques têm como objetivo assumir o controle do hipervisor. Esse ataque permitirá que um invasor modifique VMs e execute outras ações maliciosas, se for bem-sucedido. Essas ameaças à segurança ajudam a criar um cenário de ameaças desafiador contra o qual as organizações devem se defender. Para os invasores, permanecer discreto é uma prioridade crítica.

Além desses ataques, os atores de ameaças também aumentaram o uso de malware Linux para atingir ambientes de nuvem, especialmente ransomware.

Como funciona a hospedagem de malware

Essas ameaças à segurança ajudam a criar um cenário de ameaças desafiador contra o qual as organizações devem se defender. Para os invasores, permanecer discreto é uma prioridade. Tanto os criminosos eletrônicos quanto os adversários de intrusão direcionada aproveitam amplamente os serviços de nuvem legítimos para distribuir malware; os atores visados também usam esses serviços para comando e controle (C2).

Essa tática tem a vantagem de ser capaz de evitar detecções baseadas em assinatura, porque, geralmente, muitos serviços de verificação de rede confiam nos domínios de nível superior de serviços de hospedagem em nuvem. O uso de serviços de nuvem legítimos, incluindo aplicações de bate-papo, pode permitir que os adversários burlem alguns controles de segurança, misturando-se ao tráfego de rede normal. Além disso, o uso de provedores de hospedagem em nuvem para C2 permite que o adversário alterne ou remova cargas úteis de uma URL C2 afiliada com facilidade.

Como proteger seu ambiente contra hospedagem de malware

Instruir e treinar os funcionários

O treinamento de conscientização sobre segurança permite que os funcionários identifiquem táticas de engenharia social. Além disso, as equipes de segurança devem entender as tecnologias de nuvem e as vulnerabilidades, riscos e ameaças que podem levar a comprometimentos.

Fortalecer o controle de acesso

Proteger o acesso aos recursos da nuvem requer visibilidade de todo o ambiente da nuvem. As organizações devem usar serviços de gerenciamento de identidade e acesso (IAM) nativos de sua plataforma de nuvem para implementar controle de acesso detalhado e baseado em funções aos recursos de nuvem.

Pratique a segmentação de usuários ou redes para controlar a propagação de vírus

Comece com a segmentação básica de workloads na nuvem entre diferentes redes virtuais e permita apenas a comunicação necessária entre elas. Além disso, o tráfego de entrada para suas aplicações deve ser restringido usando firewalls de camada de rede ou de aplicação.

Implementar recursos de plataforma de proteção de aplicações nativas em nuvem (CNAPP) para detectar e responder

Um CNAPP é uma plataforma de software nativa em nuvem completa que simplifica o monitoramento, a detecção e a ação sobre potenciais ameaças e vulnerabilidades de segurança na nuvem. Um CNAPP combina várias ferramentas e recursos em uma única solução de software para minimizar a complexidade e facilitar as operações da equipe DevOps e DevSecOps, ao mesmo tempo em que oferece segurança de ponta a ponta para aplicações e nuvem durante todo o ciclo de vida da aplicação de integração contínua e entrega/implementação contínua (CI/CD).

A plataforma CrowdStrike Falcon® oferece poderosos recursos CNAPP para proteger containers e ajudar os desenvolvedores a identificar e corrigir rapidamente vulnerabilidades na nuvem.

Aproveite a investigação de ameaças na nuvem

A investigação de ameaças é a prática de procurar proativamente por ciberameaças ocultas na sua rede. A investigação de ameaças na nuvem faz uma busca profunda para encontrar atores mal-intencionados em seu ambiente que conseguiram passar pelas suas defesas iniciais de segurança na nuvem.