Những mối đe dọa cần biết khi triển khai đám mây

Kiểu tấn công phức tạp này được đưa tin khá nhiều vào năm 2020 với điển hình là Sunburst Attack. Nó liên quan đến tính năng di chuyển ngang mà không bị phát hiện trên đám mây. Để thực hiện được kiểu tấn công này đòi hỏi phải có nhiều kiến thức và kỹ thuật vì kẻ tấn công di chuyển sâu hơn vào mạng để lấy dữ liệu nhạy cảm và những tài sản có giá trị cao.

Thông thường, với các cuộc tấn công ngang hàng (lateral attack) thì đầu tiên kẻ tấn công sẽ chiếm quyền truy nhập vào các cặp khóa và thiết lập thông tin xác thực tạm thời bằng các lệnh riêng biệt. Tiếp đó, chúng thể sử dụng tấn công brute force để chiếm các đặc quyền truy nhập cấp thấp vào tài khoản rồi tiến hành tìm kiếm những hoạt động di chuyển ngang để thực hiện các lệnh tương tự khi chúng di chuyển trong toàn hệ thống với mục đích nâng cao các đặc quyền và vai trò chức năng của mình. Chúng lặp lại điều này đến khi có được quyền truy xuất các cơ sở dữ liệu và thông tin khác mới thôi.

Để giảm tính khả thi của những kịch bản tấn công này thì điều quan trọng là phải hạn chế các quyền đối với những vai trò và nội dung của bạn, chỉ cho phép những hoạt động cần thiết. Điều này giúp giảm rủi ro trong vấn đề có thể leo thang các đặc quyền của tin tặc. Ngoài ra, nên tạo các cảnh báo về những hành vi bất thường để thể cho thực hiện hành động nhanh hơn và có thể sự dụng tính tự động hóa để ngăn chặn tấn công.

Những cuộc tấn công cấy mã

Các cuộc tấn công như chèn SQL, cấy lệnh và cấy mã vào hệ điều hành vẫn là những rủi ro cho các tổ chức, cho dù các môi trường dịch vụ vi mô là truyền thống hay hiện đại. Thách thức của việc ngăn chặn các cuộc tấn công cấy mã ngày càng gia tăng do những vùng chứa phức tạp và các chức năng serverless (mô hình thực thi điện toán đám mây trong đó nhà cung cấp đám mây tự động quản lý việc phân bổ và cung cấp máy chủ) được bổ sung vào một  môi trường.

Hệ phương pháp của các cuộc tấn công là như nhau, đều là một ứng dụng xử lý dữ liệu đầu vào từ một nguồn không đáng tin cậy. Tuy nhiên, với microservices (các dịch vụ nhỏ, tách biệt), đầu vào được kích hoạt thông qua nhiều sự kiện và đây là một thách thức cho quản lý thủ công. Điều này có nghĩa là chúng ta không được chỉ dựa vào các biện pháp kiểm soát bảo mật và lớp ứng dụng nguyên khối, mà phải đảm bảo mã được an toàn và không dễ bị tấn công injection (cấy mã).

Với những mã có lỗ hổng, các tin tặc có thể dễ dàng lợi dụng lỗ hổng đó để khai thác môi trường. Ví dụ, bằng cách truy nhập vào môi trường, một kẻ tấn công có thể thao túng mã hàm điều khiển sử dụng kỹ thuật injection để thực hiện một cuộc tấn công. Để giảm thiểu kiểu tấn công này, ít nhất phải có những đặc quyền đối với mã để đảm bảo không ai có thể thực hiện hoặc truy nhập ngoài phạm vi cho phép. Điều quan trọng nữa là tiến hành quét mã tự động để xác định các lỗ hổng trong bất kỳ vùng chứa hoặc thư viện nào mà bạn sử dụng.

Xác thực bị phá vỡ

Với microservices, bạn có hàng trăm chức năng khác nhau chạy riêng biệt, mỗi chức năng có mục đích riêng và được kích hoạt từ các sự kiện khác nhau. Mỗi chức này này yêu cầu giao thức xác thực riêng nên dễ xảy ra lỗi.

Những kẻ tấn công sẽ tìm kiếm những tài nguyên bị quên lãng hoặc mã dư thừa hay mở các API có những lỗ hổng bảo mật đã biết để chiếm quyền truy nhập vào môi trường. Điều này cho phép chúng chiếm quyền truy nhập vào trang web có nội dung hoặc tính năng nhạy cảm mà không cần xác thực hợp lệ.

Mặc dù nhà cung cấp dịch vụ sẽ xử lý phần lớn quy trình quản lý và khôi phục mật khẩu, nhưng các khách hàng phải đảm bảo rằng những tài nguyên của họ phải được cấu hình đúng cách. Tuy nhiên, mọi thứ trở nên phức tạp hơn khi tính năng không được kích hoạt từ yêu cầu của người dùng cuối mà lại là từ quy trình ứng dụng theo cách bỏ qua lược đồ xác thực.

Để xử lý vấn đề này, điều quan trọng là phải theo dõi liên tục ứng dụng của bạn, bao gồm cả luồng ứng dụng để bạn có thể xác định những sự kích hoạt ứng dụng. Từ đó, bạn sẽ muốn tạo và phân loại các cảnh báo khi những tài nguyên không có các quyền thích hợp, có các quyền dư thừa hoặc hành vi kích hoạt bất thường hay không tuân thủ.

Cấu hình bảo mật sai

Trong các ứng dụng truyền thống, lỗi cấu hình bảo mật (misconfiguration) có thể xảy ra ở mọi cấp độ: mạng, máy chủ web, các máy chủ ứng dụng, vùng chứa… Đối với đám mây, bộ nhớ và cơ sở dữ liệu được mã hóa theo mặc định. Tuy nhiên, để tăng cường bảo mật, các khách hàng có thể cung cấp các khóa mã hóa riêng hoặc tạo sự phân chia trong kiến trúc nhiều người thuê.

Điều quan trọng là phải hiểu một số sắc thái. Những trình kích hoạt hủy liên kết, những tệp tin không được bảo vệ và các thư mục ảnh hưởng tới bảo mật của bạn như thế nào? Ví dụ như một kẻ tấn công có thể xác định một vùng cấu hình sai để chiếm quyền truy nhập và gây từ chối dịch vụ hoặc rò rỉ dữ liệu nhạy cảm.

Để giảm thiểu điều này, hãy đảm bảo tận dụng các dịch vụ tích hợp sẵn từ nhà cung cấp đám mây của bạn cũng như các dịch vụ bên thứ ba để quét các tài khoản đám mây nhằm xác định những tài nguyên công cộng. Hãy xem lại các tài nguyên này và xác minh chúng đã được kiểm soát truy nhập và tuân thủ những hướng dẫn thực hiện tối ưu. Ngoài ra cũng cần tạo các cảnh báo và thiết lập các cách để giám sát liên tục môi trường đám mây để nếu phát hiện hành vi bất thường hoặc sai cấu hình thì nó có thể nhanh chóng được giải quyết.  Đối với microservices, hãy tìm các trình kích hoạt không liên kết và các tài nguyên không kết nối tới các chức năng, đảm bảo cũng thiết lập thời gian chờ ở mức thấp nhất theo yêu cầu của tính năng và luôn luôn tuân thủ cấu hình tối ưu nhất.

Những lỗ hổng của bên thứ ba

Với việc thực thi microservices đang ngày một tăng cao, các nhà phát triển có nhiều quyền kiểm soát hơn đối với cơ sở hạ tầng đám mây và do đó phải chịu nhiều trách nhiệm liên quan tới bảo mật hơn.

Đám mây là nói tới sự linh hoạt và di chuyển nhanh. Các ứng dụng và chức năng có thể được khởi chạy chỉ bằng một cái nhập chuột, điều này thường có nghĩa là mã và các API đang được sao chép. Nếu tiềm ẩn lỗ hổng bên trong, các quyền chính hay dự phòng được xây dựng trong các kho mã có thể dễ dàng được tích hợp vào môi trường ứng dụng đám mây.

Tuy nhiên, nó không dễ dàng như thiết lập một cổng an ninh hay kiểm tra QA. Điều đó sẽ chỉ làm chậm lại sự phát triển và mất đi đi tính linh hoạt của đám mây. Đây là nơi mà tích hợp hệ thống và tự động hóa đóng một vai trò quan trọng. Điều quan trọng không kém là các nhóm bảo mật phải sớm thiết lập các giải pháp tự động vào CI/CD. Họ phải đảm bảo các chuẩn tốt nhất và các biện pháp tuân thủ được tích hợp vào tài nguyên trước khi triển khai.

Hệ thống cũng phải đảm bảo rằng mã được quét lỗ hổng trước khi khởi chạy. Sau đó, trong thời gian chạy, điều quan trọng là phải liên tục quét môi trường theo thời gian thực để nhanh chóng xác định các lỗ hổng bất cứ khi nào có thể và tự động khắc phục vấn đề.

Kết luận

Theo 451 Research, 90% khối lượng công việc ngày nay diễn ra trên đám mây và những cách thức triển khai cơ sở hạ tầng đám mây sẽ tiếp tục được phát triển và mở rộng.

Điều quan trọng là các nhóm bảo mật phải hiểu được bối cảnh mối đe dọa sẽ phát triển như thế nào với các mô hình triển khai mới xuất hiện và các bề mặt tấn công đang thay đổi. Hơn nữa, họ phải tích hợp các nhóm chức năng chéo của mình để tối ưu hóa các quy trình và công cụ bảo mật. Điều này sẽ đảm bảo bảo mật  không ngừng phát triển và tiến trình phát triển đó không gây nguy hiểm cho bảo  mật mạng./.