O ransomware cobra um preço enorme às organizações, e o ataque médio bem-sucedido custa a uma empresa quase US$ 4,5 milhões para ser remediado. O ransomware provavelmente continuará a aumentar e minar o valor da economia global em bilhões de dólares nos próximos anos.
Os ataques aumentaram e os pagamentos de ransomware continuam aumentando. Entre as vítimas mais prováveis estão instituições públicas, como universidades, hospitais e repartições governamentais. Isto ocorre provavelmente porque as agências de missão crítica são as que têm mais a perder e são menos propensas a ter investido na manutenção das suas contramedidas atualizadas.
Na verdade, esses altos custos são subnotificados porque a maioria das empresas não quer admitir que foi atingida por ransomware ou pagou um resgate, para que mais invasores não descubram que são um alvo fácil.
Fonte: Adobe Image Create
Assim como levar uma topada no dedo do pé, seria mais fácil para a maioria sair mancando como se nada tivesse acontecido. Na verdade, um dedo do pé ruim seria tolerável se o negócio não tivesse que ter um desempenho no nível de agilidade de um atleta profissional, e cada passo poderia causar imensa dor e baixo desempenho.
Como a maioria das empresas recorre ao Kubernetes e aos aplicativos nativos da nuvem para ganhar agilidade com rápidas velocidades de implantação e desempenho escalável, é fácil prever que suas equipes de segurança de TI testarão a resistência de cada conexão nativa da nuvem em busca de ransomware.
Das organizações pesquisadas para o Relatório de Tendências de Proteção de Dados 2023 da Veeam, 85% disseram ter sofrido um ataque cibernético nos 12 meses anteriores. Esses ataques também não se limitam a sistemas legados. O Kubernetes é cada vez mais alvo de ataques de malware, incluindo ransomware.
Em todos esses cenários, é fundamental ter um backup imutável e uma estratégia de recuperação de desastres em vigor, para que os negócios possam retornar rapidamente às operações normais se um ataque atingir o alvo. Quais são algumas das novas formas de padrões de ataque de ransomware nativos da nuvem a serem observados?
Kubernetes é um projeto de software de código aberto, assim como seu plano de controle subjacente, dimensionamento, segurança, gerenciamento de dados e outros componentes (o cenário nativo da nuvem dá uma visão geral).
No momento em que um projeto como o Kubernetes é aprovado para graduação e disponibilizado para download pelo CNCF, ele está endurecido e exaustivamente testado. Além disso, possui vários fornecedores de software e provedores de plataforma em nuvem que oferecem versões empresariais e de serviços gerenciados com suporte.
Isso não significa que exista uma maneira ideal e comummente acordada de configurar, implantar, gerenciar e proteger clusters Kubernetes e suas imagens e componentes de contêiner subjacentes.
A comunidade de código aberto tem excelentes colaboradores que trabalham para resolver vulnerabilidades e exposições comuns (CVEs) — geralmente em tempo parcial. Embora façam um ótimo trabalho no rastreamento de soluções, eles nunca serão capazes de se mover tão rápido quanto a comunidade de ransomware black-hat, que também tem acesso ao código-fonte aberto completo e bastante tempo para experimentar no próximo zero- exploração diária.
Além disso, devido à complexidade de configurar uma pilha completa de aplicativos baseados em Kubernetes, muitos desenvolvedores baixam ferramentas, receitas de configuração, componentes e códigos de exemplo para prosseguir com seu trabalho. Não há como ter certeza de que os milhares ou milhões de itens para download, mesmo em bibliotecas e repositórios bem executados, não estejam comprometidos com códigos maliciosos ou malware.
De certa forma, uma pilha monolítica é muito mais fácil de proteger nos seus limites. E, no pior cenário de um ataque de criptografia apocalíptico, os dados são tecnicamente mais fáceis de recuperar a partir de um backup físico.
As vulnerabilidades se espalham em fluxos de trabalho de configuração e implantação de infraestrutura como código (IaC) totalmente automatizados e, como pacotes potencialmente desatualizados ou suspeitos podem ser dimensionados horizontalmente em ambientes de nuvem, os riscos são muito maiores.
O Kubernetes ainda tem algumas vantagens de segurança. Namespaces dinâmicos, gerenciamento de segredos e a natureza aparentemente sem estado das cargas de trabalho de microsserviços que aumentam e desaparecem quando concluídas podem tornar mais difícil para os invasores encontrarem pontos de apoio em alguns casos.
Infelizmente, quando um aplicativo baseado em Kubernetes replica seu trabalho em centenas ou milhares de clusters, ele não é menos suscetível a ransomware do que os bons e velhos servidores locais protegidos por rede, máquinas virtuais (VMs) e seus recursos de armazenamento anexados.
Kirsten Newcomer, diretora de estratégia de nuvem e DevSecOps da Red Hat, compartilha um manual refrescante para evitar problemas na cadeia de suprimentos:
“Muitos clientes automatizaram suas implantações do OpenShift para que possam (e façam) reimplantar do zero regularmente. Isso pode ser a cada seis semanas ou a cada três meses. É claro que os aplicativos em contêineres também precisam ser reimplantados. No entanto, gerenciar tudo dessa forma minimiza o que você precisa para fazer backup. Apenas retenha dados com estado para seus aplicativos. Você não precisa fazer backup, etc.”
“Claro, você precisa proteger o acesso aos repositórios onde armazena seus playbooks (ou arquivos Terraform) e arquivos de configuração. Também seu repositório de contêineres para suas imagens. E, idealmente, você assinaria todos esses arquivos para poder verificar sua integridade.”
As permissões são tanto um problema prático quanto um problema tecnológico.
As empresas migram explicitamente para o Kubernetes porque desejam migrar rapidamente. Ao fazer isso, eles criam extensas bibliotecas de aplicativos, infraestrutura e código de implantação. Para acompanhar toda essa automação e arquitetura, é preciso decidir exatamente quem (ou o que) pode ter acesso.
Um dos aspectos mais difíceis de alcançar a automação completa da implantação é configurar regras de gerenciamento de acesso e identidade (AIM), que são complexas o suficiente quando você lida apenas com tokens de sessão e políticas de acesso de usuário.
Nos ambientes Kubernetes, a maioria dos sinais e mensagens são máquinas conversando com máquinas. Os operadores perdem de vista o estado das sessões dos usuários, à medida que as chamadas e os dados da API são transmitidos entre microsserviços efêmeros e possivelmente amplamente distribuídos, cada um executando suas próprias funções como cargas de trabalho. Como o local onde reside a implementação física não é mais relevante, as regras de autorização geralmente são personalizadas.
O AIM fornece o vetor mais comum para hackers, já que praticamente todo ataque de ransomware envolve uma verificação de permissões inconsistentes e, em seguida, uma escalada de privilégios, como aconteceu na recente exploração de execução remota de código do Siloscape para contêineres do Windows.
Para limitar as permissões, tente implementar políticas consistentes e altamente granulares de controle de acesso baseado em função (RBAC) e controle de acesso baseado em atributos (ABAC), com os princípios orientadores de acesso com privilégios mínimos e modelos de confiança zero limitando acesso não autorizado e até mesmo inesperado. tipos de atividade.
Os chatbots de inteligência artificial (IA) são muito bons em personalização e, por meio da pesquisa sobre comunicação empresarial, eles entendem como interagir com humanos e sistemas empresariais. Graças à IA conversacional prontamente disponível e à ambiguidade moral de um chatbot, os malfeitores têm agora o parceiro cibernético perfeito no crime.
Assustadoramente, mesmo script kiddies não qualificados podem usar ChatGPT ou outras rotinas de automação baseadas em IA para escrever código de malware e adaptar e executar ataques sofisticados, uma vez treinados usando um universo de códigos existentes e scripts de shell encontrados na Dark Web.
Com o aprendizado de máquina, os bots ruins estão cada vez mais inteligentes em engenharia social. Eles podem escrever um e-mail de phishing convincente ou um diálogo de bate-papo com base em conversas anteriores de suporte técnico e atendimento ao cliente que podem enganar os funcionários e efetivamente fazer engenharia social para entrar em uma conta ou fazer com que alguém baixe um item que obtém privilégios de rede para entregar cargas úteis.
O pior de tudo é que há quase zero esforço humano ou custo incremental para os bots que procuram constantemente explorações e atacam de forma automatizada, portanto, espere que sua frequência se multiplique exponencialmente.
Diante de tantas maneiras de explorar dados críticos nativos da nuvem, a melhor apólice de seguro é uma abordagem proativa para gerar backups regulares que sejam imutáveis — o que significa que eles não podem ser apagados, criptografados ou alterados, não importa o que um invasor tente fazer no computador. rede.
Kasten by Veeam oferece uma solução de backup desenvolvida especificamente para dados de aplicativos baseados em Kubernetes, fornecendo backups imutáveis e criação automática e orientada por políticas desses backups.
À medida que a espinha dorsal digital global é suportada pelo desenvolvimento nativo da nuvem, as empresas continuarão a apressar-se para fornecer novas funcionalidades de aplicações e serviços de dados ao mercado. Nesse ritmo de mudança, é inevitável que alguns ataques de ransomware inovadores sejam perdidos e as implantações do Kubernetes sejam atingidas onde prejudicam.
Ainda assim, não faz sentido apoiar os vendedores de ransomware pagando-os. Hoje em dia, alguns malfeitores nem sequer se preocupam em criptografar dados, já que ninguém deveria acreditar que um hacker irá limpar a bagunça que eles deixaram para trás. Em vez disso, os cibercriminosos estão extorquindo o segundo ou terceiro pagamentos para não destruir os dados ou a infraestrutura afetada.
A melhor maneira de proteger seus sistemas e dados críticos e evitar paralisações fatais? Suponha que um novo ataque de ransomware provavelmente acontecerá amanhã e sempre tenha backup e recuperação de desastres fortes e baseados em imutabilidade para maximizar suas chances de recuperação de dados bem-sucedida.
YOUTUBE.COM/THENEWSTACK
A tecnologia avança rápido, não perca um episódio. Inscreva-se em nosso canal no YouTube para transmitir todos os nossos podcasts, entrevistas, demonstrações e muito mais.
SE INSCREVER
