Aqua Security, лидер в области нативной облачной безопасности, опубликовала новое исследование команды Nautilus.
Оно показывает продолжающийся рост кибератак, нацеленных на контейнерную инфраструктуру и цепочку поставок.
Согласно выводам исследования, эксплуатация уязвимой инфраструктуры контейнеров теперь может занимать менее одного часа. В «Отчете об угрозах в нативных облачных средах: атаки на инфраструктуру контейнеров» представлен подробный анализ того, как злоумышленники научились скрывать свои все более изощренные атаки.
«Ландшафт угроз постоянно меняется, так как злоумышленники расширяют свой арсенал с помощью передовых методов, позволяющих избежать обнаружения, — говорит Ассаф Мораг, ведущий дата-аналитик команды по исследованию угроз Nautilus. — Мы также видим, что киберпреступники имеют теперь более серьезные мотивы и стремятся нанести более крупный ущерб. Хотя майнинг криптовалюты по-прежнему является наиболее популярной целью, мы наблюдаем больше атак, связанных с заражением вредоносным ПО, установкой бэкдоров и кражей учетных данных».
Среди новых методов атак команда Nautilus обнаружила масштабную кампанию, нацеленную на автоматические процессы сборки SaaS сред разработки.
«Это не было распространенным вектором атак ранее, но, вероятно, ситуация изменится в 2021 году, потому что инструменты обнаружения и предотвращения для защиты сборки кода во время конвейеров CI/CD, к сожалению, пока не нашли широкого применения в большинстве организаций», — добавляет Мораг.
Результаты отчета стали вкладом в разработку новой матрицы контейнеров MITRE ATT&CK. База знаний MITRE ATT&CK используется во всем мире специалистами в области информационной безопасности для описания тактик, приемов и методов киберпреступников.
В отчете Aqua представлен подробный анализ атак, обнаруженных командой Nautilus. Основные выводы включают:
- Более изощренные атаки: злоумышленники расширили использование техник уклонения и обфускации, чтобы избежать обнаружения. К ним относятся загрузка бинарных файлов, запуск вредоносных программ прямо из памяти и использование руткитов.
- Ботнеты быстро находят и заражают новые хосты по мере того, как они становятся уязвимыми: 50% новых неправильно сконфигурированных API-интерфейсов Docker атакуются ботнетами в течение 56 минут после установки.
- Майнинг криптовалюты остается самой распространенной целью: более 90% вредоносных образов контейнеров осуществляют захват ресурсов.
- Рост использования бэкдоров: 40% атак связаны с созданием бэкдоров на хосте; злоумышленники внедряют специально разработанное вредоносное ПО, создают новых привелигированных пользователей и ключи SSH для удаленного доступа.
- Объем атак продолжает расти: за первое полугодие 2020 года количество ежедневных атак выросло в среднем на 26%.
Для анализа атак команда Nautilus использовала Aqua Dynamic Threat Analysis (DTA). Aqua DTA – это единственное в отрасли решение, которое динамически анализирует поведение образов контейнеров в песочнице, чтобы определить, содержат ли они скрытое вредоносное ПО. Это позволяет организациям выявлять и минимизировать атаки на нативные облачные среды, которые статические сканеры обнаружить не могут, причем задолго до развертывания в производственной среде.
Подробный анализ и выводы доступны в полной версии отчета “Cloud Native Threat Report: Attacks in the Wild on Container Infrastructure”.
О компании
Aqua Security — крупнейшая компания, занимающаяся исключительно нативной облачной безопасностью. Она предоставляет клиентам свободу внедрять инновации и вести свой бизнес с минимальными проблемами. Aqua Platform обеспечивает автоматизацию предотвращения, обнаружения и реагирования на протяжении всего жизненного цикла приложениий, обеспечивая защиту процесса сборки, облачной инфраструктуры и рабочих нагрузок, где бы они ни были развернуты. Клиенты Aqua — крупнейшие компании в сфере финансовых услуг, программного обеспечения, средств массовой информации, производства и розничной торговли, с развертываниями в широком спектре облачных провайдеров и современных технологических стеков.