Italiano
English
Français
Deutsch
Español
Português
日本語
한국어
Русский
CasaStudio Google Cloud: grande rischio nella proliferazione di credenziali e chiavi
Studio Google Cloud: grande rischio nella proliferazione di credenziali e chiavi
La tua email è stata inviata
Chiavi, credenziali e account, oh mio! Un nuovo studio di Google Cloud mostra che gli aggressori stanno prendendo di mira il punto debole delle aziende: la gestione degli accessi alle identità.
Le credenziali sono il tallone d'Achille della sicurezza aziendale, secondo un nuovo rapporto del Cybersecurity Action Team di Google Cloud, che ha rilevato che le vulnerabilità delle credenziali rappresentano il 60% dei fattori di compromissione tra gli utenti di Google Cloud. Il gruppo di sicurezza dell’azienda ha affermato, nel suo nuovo Threat Horizons Report, che il rafforzamento di questi punti deboli può essere raggiunto con un’attenzione di base ai dettagli zero-trust, compresi forti guardrail di gestione delle identità.
Inoltre, il team di Google Cloud ha riferito che i problemi di configurazione errata rappresentavano il 19% dei fattori di compromissione, che erano anche associati ad altri fattori di compromissione come le interfacce di programmazione delle applicazioni o le interfacce utente sensibili esposte allo stato selvatico da snafus come firewall mal configurati (Figura A).
Figura A
"Ogni trimestre assistiamo alle stesse attività, ma gli aggressori stanno diventando sempre più sofisticati nel modo in cui le implementano", ha affermato Matt Shelton, responsabile della ricerca e analisi delle minacce presso Google Cloud. “Continuiamo a vedere l’IAM come il problema numero uno e sospetto che continueremo a vederlo nei prossimi trimestri. Credenziali di account rubate e configurazioni errate sono ciò che tutti cercano in questi giorni", ha aggiunto.
Salta a:
Nel rapporto progettato per gli utenti aziendali di Google Cloud, il team ha analizzato le statistiche anonime degli avvisi del primo trimestre 2023 di Chronicle, la suite software-as-a-security di Google per i centri operativi di sicurezza, per identificare i fattori di rischio che inducono compromissioni.
Gli avvisi predominanti nel primo trimestre del 2023, che costituiscono quasi il 75% degli avvisi, riguardavano l’abuso tra progetti delle autorizzazioni di generazione dei token di accesso. In generale, si tratta di un problema di gestione dell’accesso ai privilegi, che spesso coinvolge account con provisioning eccessivo, in cui i team IT cercano di aumentare i tempi di attività e ridurre la complessità concedendo troppo accesso agli account, violando il concetto di privilegio minimo.
Shelton ha sottolineato che gli account con provisioning eccessivo sono comuni con l'accesso alle identità tra progetti, spiegando che molto spesso un utente crea un account di servizio con troppe autorizzazioni, per facilitare il lavoro. L'aggressore quindi ruba tali credenziali e tenta di intraprendere azioni come l'accesso a un progetto diverso o l'escalation dei privilegi.
"Gli account con provisioning eccessivo di solito si applicano agli account di servizio o di amministratore privilegiati, quindi la conseguenza dell'ID rubato è peggiore che se si trattasse di un account di un utente finale", ha affermato Shelton.
Un esempio di passo falso legato al provisioning eccessivo è l’uso eccessivo di chiavi Secure Shell, che forniscono accesso a protocolli di rete Secure Shell crittografati progettati per consentire alle macchine di comunicare su una rete aperta non protetta. Le chiavi SSH vengono utilizzate per eseguire azioni remote come trasferimenti di file, gestione della rete e accesso ai sistemi operativi.
"Se sono un amministratore che accede a un'istanza GCP Linux, ho una chiave privata sul mio endpoint che un malintenzionato può rubare e utilizzarla per accedere. Si tratta di un vettore di attacco che esiste da anni e anni. Ci siamo evoluti oltre, ma è ancora ampiamente utilizzato nel settore, come mostra il nostro rapporto", ha affermato Shelton. “È ancora un altro archivio di identità di cui devi tenere traccia. Nessuno mette una chiave SSH su un sistema a bassa priorità, è sempre il sistema Unix back-end che conserva i dati sensibili", ha affermato. (Figura B).
Figura B
Shelton ha affermato che una tattica migliore è utilizzare il nome utente e la password forniti con lo strumento IAM di Google. “Questo è zero trust. Ti garantisce di avere un account, una password con autenticazione a più fattori, una posizione centrale in cui puoi disattivarla o riattivarla e un luogo centrale in cui visualizzare i registri. Quindi la nostra raccomandazione è, sì, che IAM è uno dei principali vettori di compromissione, ma esistono strumenti basati sui principi Zero Trust che possono aiutarti a proteggere il tuo account”, ha affermato.