Zibersegurtasunari buruz hitz egiten dugunean, gure enpresan ostatatutako zerbitzarietan pentsatzen dugu eta kanpoko munduarekiko duten esposizioaz eta gure sareko edozein baliabideren arriskuak izan dezakeen eraginaz kezkatzen gara. Dena den, dagoeneko asko dira hodeiko zerbitzuak edo sistema hibridoak erabiltzen dituztenak euren azpiegiturak zabaltzeko.
Gaur Azureri buruz hitz egingo dugu, eta zeintzuk diren erasotzaile batzuek erakunde bat arriskuan jartzeko baliatzen dituzten sarrera-puntu batzuk eta oinarrizko segurtasun-gomendio batzuk ere emango ditugu.
Sarrera-bektoreak Azure AD-ra
Aplikazio kalteberak + kudeatutako identitateak:
Azure sarritan erabiltzen da aplikazio zaharrak erakusteko eta segurtasun-geruza bat gehitzeko, hala ere, ahultasunak dituen aplikazio batek hodeira kargatzen duelako oraindik ere baditu. Kasu honetan, aplikazio bat Azuren inplementatzen denean, Managed Identity bat lotzen zaio hari, hau da, aplikazioak erabiliko duen Azure kontu bat eta hari beharrezko baimenak esleituko zaizkio baliabide ezberdinetara sartzeko, hala nola datu-baseak edo Erakundearen gako-gangak.
Erasotzaile batek aplikazioan RCE edo SSRF motako ahultasun bat ustiatzea lortzen badu, Kudeatutako Identitatearen Sarbide-tokena eskuratu ahal izango du, horrela kontu hau ordezkatu eta erakundera eta bere baliabideetara sartzeko erabili ahal izango du. , eta kontu mota hauek pertsona batek erabiltzeko asmoa ez duenez, ez dute MFArik.
Sarrerako bektore hau erabiltzeko aukerak murrizten saiatzeko, honako hau gomendatzen da:
- Agerian dauden aplikazioetan ahultasunak aztertu eta arintzea.
- Mugatu Kudeatutako Identitateen baimenak ahalik eta gehien.
- Managed Identities-en ekintzak kontrolatzea espero den erabileratik desberdina den edozein ekintza detektatzeko.
Azure Blobs agerian:
Azure blobak Azure plataformarako objektuak biltegiratzeko zerbitzua dira. Ohikoa da erabiltzaileek sortzen dituzten bloben baimenak behar bezala ez mugatzea, beraz, MicroBurst bezalako tresnak erabiliz zenbatu daitezke. Bestalde, esteken bidez blob horietarako sarbidea ere partekatzeko aukera dago. Baliabideak estekekin partekatzean, Partekatu gakoak edo Sarbide Partekatuaren Sinadura erabiliz egin daiteke, bi aukerak estekaren iraupena oso luzea izatea edo are inoiz iraungitzea ahalbidetu dezakete, horrela sortutako esteka lortzen duen edozein erasotzaileri sarbidea emanez.
Hona hemen zure erakundearen blobak babesteko gomendio batzuk:
- Hezi langileak baliabide horietan informazio sentikorra ez gordetzeko eta baimenak behar bezala kudeatzeko.
- Berrikusi maiz blob publikoak ez direla publikoak ziurtatzeko.
- Mugatu blobetarako esteken iraupena.
MFA falta + filtrazioak:
Direktorio aktibo lokalari buruz hitz egiten dugunean, normalean segurtasun-geruza bat egon ohi da erakundera sartu aurretik, sarerako sarbide fisikoa dela edo VPN bidez. Horregatik, kredentzial-filtrazioak gertatzen badira ere, erasotzaileek erakunderako sarbidea ere lortu behar dute. Hala ere, Azure zerbitzuak Interneten agerian daude, beraz, erasotzaile batek Active Directory kontu bat arriskuan jartzea lortzen badu, Azure domeinura sartu eta guztiz zenbatu ahal izango du barne sarerako sarbidea izan ez arren.
Bektore hau erabiliz erasoak izateko aukerak murrizteko, gomendatzen da:
-
Etengabe ikertu erakundearen agerian dagoen informazioa, arriskuan dauden kredentzialak detektatzeko, aldatu ahal izateko.
- Ezarri derrigorrezko MFA kontu guztietarako.
- Ezarri kontrolak Baldintzapeko Sarbide-politikan Azure domeinurako sarbidea baimendutako kokapenetatik soilik mugatzeko.
Phishing:
Phishing erasoak erasotzaileek erabiltzen dituzten taktika arruntak dira erabiltzaileak beren kredentzialak lor ditzaten engainatzeko. Horrez gain, Icit Consent Grant Attack bezalako teknikak erabil daitezke, horrela biktimaren kredentzialak lortu beharrean, erasotzailea erabiltzailearengandik Sarbide Token bat lortzen saiatzen da, domeinuko baliabideak atzitzeko erabil daitekeena. Teknika mota hauek erabiltzen dituzten phishing-erasoak oso arriskutsuak dira, izan ere, Microsoft-en legezko sistemak erabiltzen dira biktimak bere baimenak erasotzaileak kontrolatzen duen aplikazio batean delegatzeko eta, horrela, aipatutako Access Tokena lortzeko.
Eragina murrizteko, gomendatzen da:
- Langileak kontzientziatu phishing teknika horiei eta beste batzuei buruz, haiek ezagutzen eta saihesten ikas dezaten.
- Mugatu erabiltzailearen baimenak Azure domeinuan ahalik eta gehien.
Iraupena erabiltzailearen gonbidapenaren bidez:
Erasotzaile batek aktibo baterako sarbidea lortzen duenean, beti saiatzen da helburuan iraunkortasuna lortzen, horrela hasierako konpromisoaren ondoren zerrendatzen jarraitu ahal izango du. Iraupena ezartzeko hainbat teknika daude, baina errazena Azureren erabiltzaileak gonbidatzeko funtzioa erabiltzea da, lehenespenez Azure kontu batek kanpoko erabiltzaileak gonbida ditzakeelako. Erabiltzaile hauek ez dute baimen handirik izango, baina domeinuaren informazioa zerrenda dezakete.
Aringarri gisa, eginbide hau desgaitzea gomendatzen da, erabiltzaileek ezin diezaioten gonbidatuen sarbidea eman maizterri.
.png)
Hurrengora arte katamotzak, hodeian ikusiko gara!
.png)
