Zlonamjerna eksfiltracija podataka pomoću AWS S3 Replication servisa
AWS S3 servis je postao s vremenom kompleksniji, s mnogo više značajki i integracija, što otežava osiguravanje svih njegovih mogućnosti. Jedna od tih mogućnosti je izrada i upravljanje backup-a u raznim regijama i na različitim računima. Replikacija s više računa (cross-account) može pomoći organizacijama pri oporavku od gubitka podataka (primjer toga je ransomware napad). U pogrešnim rukama, usluga replikacije može omogućiti akterima prijetnji da eksfiltriraju podatke na nepouzdane lokacije.
Tvrtka Vectra, specijalizirana za detektiranje prijetnji i reagiranje na njih, detaljno opisuje ovu vrstu napada, koju naziva zloupotrebom funkcionalnosti („feature abuse“).
Problem je i u slaboj vidljivosti: kako bi kontrolirale troškove, organizacije ne omogućuju S3 logging na svim "bucketima", već samo na onim koji su im najvrjedniji.
U takvim slučajevima, S3 evidentira samo pisani trag (tzv. putObject) u "bucket" koji je odredište, a koji kontrolira zlonamjerni akter sa ciljem eksfiltracije podataka.
CloudTrail, AWS-ov okvir za praćenje i evidentiranje, zabilježit će samo čitanje (tzv. getObject) na izvornom "bucketu", zbog čega žrtva neće biti svjesna činjenice da se dogodilo "daljinsko" pisanje ili eksfiltracija na udaljenu zlonamjernu lokaciju.
Ovakvo selektivno evidentiranje događaja rezultirat će rupom u vidljivosti eksfiltracije S3 sustava (pa će, kako je već spomenuto, proći neotkriveno) budući da događaj putObject neće biti zapisan u izvornom računu.
Security timovi moraju dakle proširiti područje nadziranja da im ne promakne ovakva replikacija, te da bi mogli osigurati sveobuhvatno nadziranje podataka.
Ovi i slični problemi pokazuju koliko je važno proširiti vidljivost na poslužitelje i usluge u oblaku, otprilike na isti način kao što se to radi za kontrolu endpointova s XDR-om i mogućnostima praćenja ponašanja. Amazon, Azure i Google infrastrukturne usluge u oblaku postaju sve složenije i akteri koji traže nove načine za upad u IT sustav i krađu podataka sigurno će ih zlorabiti.
Pročitajte više o eksfiltraciji podataka pomoću AWS S3 Replication Service na Vectrinom blogu.
![[Webinar] NIS2, CER, CRA - kako se snaći u šumi novih propisa o kibersigurnosti?](https://static.wixstatic.com/media/6681e7_73dcd91e1a2b4d428120b92ad9214dce~mv2.jpg/v1/fill/w_305,h_305,fp_0.50_0.50,q_90,enc_auto/6681e7_73dcd91e1a2b4d428120b92ad9214dce~mv2.jpg)
