Laporan Palo Alto Networks Unit 42 terbaru menemukan bahwa data sensitif ditemukan di 66% dari ember penyimpanan cloud. Data ini rentan terhadap serangan ransomware. Sans Institute baru -baru ini melaporkan bahwa serangan ini dapat dilakukan dengan menyalahgunakan kontrol keamanan penyimpanan penyedia cloud dan pengaturan default.
“Hanya dalam beberapa bulan terakhir, saya telah menyaksikan dua metode berbeda untuk melaksanakan serangan ransomware menggunakan apa pun kecuali fitur keamanan cloud yang sah,” memperingatkan Brandon Evans, konsultan keamanan dan instruktur bersertifikat SANS. Halcyon mengungkapkan kampanye serangan yang memanfaatkan salah satu mekanisme enkripsi asli Amazon S3, SSE-C, untuk mengenkripsi masing-masing ember target. Beberapa bulan sebelumnya, konsultan keamanan Chris Farris menunjukkan bagaimana penyerang dapat melakukan serangan serupa menggunakan fitur keamanan AWS yang berbeda, tombol KMS dengan materi kunci eksternal, menggunakan skrip sederhana yang dihasilkan oleh ChatGPT. “Jelas, topik ini adalah top-of-mind untuk aktor ancaman dan peneliti,” catat Brandon.
Untuk mengatasi ransomware cloud, Sans merekomendasikan organisasi untuk:
- Memahami kekuatan dan keterbatasan kontrol keamanan cloud: Menggunakan cloud tidak secara otomatis membuat data Anda aman. “Layanan cloud pertama yang digunakan kebanyakan orang adalah solusi cadangan file seperti OneDrive, Dropbox, iCloud, dan lainnya,” jelas Brandon. “Meskipun layanan ini biasanya memiliki kemampuan pemulihan file yang diaktifkan secara default, ini tidak berlaku untuk Amazon S3, Azure Storage, atau Google Cloud Storage. Sangat penting bagi para profesional keamanan untuk memahami bagaimana layanan ini bekerja dan tidak berasumsi bahwa cloud akan menyimpannya.”
- Blok Metode Enkripsi Cloud yang Tidak Didukung: AWS S3 SSE-C, AWS KMS material kunci eksternal, dan teknik enkripsi serupa dapat disalahgunakan karena penyerang memiliki kontrol penuh atas kunci. Organisasi dapat menggunakan kebijakan Identity and Access Management (IAM) untuk mengamanatkan metode enkripsi yang digunakan oleh S3, seperti SSE-KM menggunakan bahan utama yang di-host di AWS.
- Aktifkan cadangan, versi objek, dan penguncian objek: Ini adalah beberapa kontrol integritas dan ketersediaan untuk penyimpanan cloud. Tak satu pun dari mereka diaktifkan secara default untuk salah satu penyedia cloud Big 3. Jika digunakan dengan benar, mereka dapat meningkatkan peluang bahwa suatu organisasi dapat memulihkan datanya setelah serangan ransomware.
- Saldo keamanan dan biaya dengan kebijakan siklus hidup data: Fitur keamanan ini membutuhkan biaya. “Penyedia cloud tidak akan meng -host versi data atau cadangan Anda secara gratis. Pada saat yang sama, organisasi Anda tidak akan memberi Anda cek kosong untuk keamanan data,” kata Brandon. Masing -masing penyedia cloud Big 3 memungkinkan pelanggan untuk mendefinisikan kebijakan siklus hidup. Kebijakan -kebijakan ini memungkinkan organisasi untuk secara otomatis menghapus objek, versi, dan cadangan ketika mereka tidak lagi dianggap perlu. Waspadai, bagaimanapun, bahwa penyerang juga dapat memanfaatkan kebijakan siklus hidup. Mereka digunakan dalam kampanye serangan yang disebutkan sebelumnya untuk mendesak target untuk membayar tebusan dengan cepat.
Untuk mempelajari lebih lanjut, tonton Webcast Brandon, “Cloud tidak akan menyelamatkan Anda dari Ransomware: inilah yang akan terjadi”, dengan mengunjungi https://www.sans.org/webcasts/cloud-wont-save-youu-from-ransomware-heres-will–will/
Tertarik pada taktik tambahan untuk meringankan serangan di penyedia cloud Big 3? Lihat Kursus Brandon, Sec510: Kontrol Keamanan Cloud dan Mitigasi di Sans 2025 di Orlando atau Langsung Online April ini. Kursus ini juga tersedia dengan Brandon di akhir tahun di Baltimore, MD pada bulan Juni atau Washington, DC pada bulan Juli.
