Zogenaamde cloud native IT-architectuur creëert nieuwe dreigingen voor organisaties, zo waarschuwen beveiligingsonderzoekers. Meer dan de helft van de ontwikkelaars en beveiligingsprofessionals verwacht dat de risico’s voor hun organisaties het komende jaar zullen toenemen, zo blijkt uit onderzoek van Snyk, leverancier van beveiligingstools.

Bij beveiligingslekken gaat het niet langer alleen om data. Steeds vaker zijn criminele groepen ook op zoek naar het stelen van inloggegevens, waaronder inloggegevens voor cloudinfrastructuur. Hierbij wordt ook steeds vaker social engineering gebruikt. Een voorbeeld hiervan is de inbraak bij Uber in 2022.

Hoe werd Uber gehackt?
Bij Uber werd social engineering van medewerkers gebruikt om toegang te krijgen tot VPN-gegevens, het intranet van Uber en Amazon Webservices. Uber maakt gebruik van multifactorauthenticatie (MFA). De aanvaller heeft mogelijk deze controles kunnen omzeilen door een nepdomein aan te maken en verificatiecodes door te sturen naar het echte domein met behulp van een manipulator-in-the-middle (MitM)-aanval.
Volgens de 18-jarige hacker werd de hack opgestart door een Uber-medewerker meer dan een uur lang te spammen met push-verificatieverzoeken, voordat hij via een ander kanaal werd overgehaald om een van de verzoeken te autoriseren.
Vervolgens werd een netwerkshare gevonden met powershell scripts die de gebruikersnaam en het wachtwoord van een systeembeheerder bevatten. Met behulp van deze informatie was het voor de hacker mogelijk om wachtwoorden te ontfutselen en toegang te krijgen tot onder andere Uber’s AWS (Amazon Web Services), Onelogin en GSuite omgevingen).

Inloggegevens voor clouddiensten soms makkelijk te vinden
Hackers zoeken steeds vaker naar inloggegevens voor cloudservices door te zoeken naar ‘open S3 buckets’, ‘blob storage’ of andere openbare opslagsites, maar ook naar GitHub-repositories, SSH (Secure Shell) en SSL kwetsbaarheden en zelfs in posts van ontwikkelaars op sites als Stack Overflow. Het is dus van groot belang om geen inloggegevens naar deze diensten te sturen.
De situatie wordt nog moeilijker gemaakt door het zogenaamde shared responsibility-model voor cloudbeveiliging. Ontwikkelaars en hun managers vertrouwen te vaak op de beveiligingsmaatregelen van de cloudaanbieder, in plaats van ervoor te zorgen dat hun infrastructuur en code veilig is. Volgens het onderzoek heeft 80 procent van de organisaties het afgelopen jaar een ‘ernstig incident’ meegemaakt. Daarvan heeft 33 procent te maken gehad met een datalek in de cloud.

Applicatiebeveiliging en cloudbeveiliging werken niet samen
Hoewel organisaties en hun ontwikkelaars de noodzaak van applicatiebeveiliging steeds beter begrijpen, wordt cloudbeveiliging te vaak apart behandeld in plaats van als onderdeel van hetzelfde probleem. Hierdoor werken teams niet goed samen of zijn niet op de hoogte van elkaars werkzaamheden.

Hoe kunnen beveiligingsrisico’s worden beperkt?
It security wordt dus steeds belangrijker, dat is duidelijk. Wat kunnen bedrijven doen om de risico’s te minimaliseren? Allereerst is het belangrijk dat ontwikkelaars binnen een organisatie zich houden aan de vijf basisprincipes van cloudbeveiliging: het kennen van de bedrijfsomgeving, het focussen op preventie en secure design van software, ontwikkelaars de juiste bevoegdheden geven, compliance automatiseren en ervoor zorgen dat security teams dat meten wat belangrijk is.

Beveiligingscontroles inbouwen
Om te kunnen voldoen aan deze basisprincipes van cloudbeveiliging moeten organisaties beveiligingscontroles eerder in de tijdlijn van een project inbouwen. Bedrijven moeten een veilige ontwikkelingscyclus voor de cloud in kaart brengen, met behulp van Infrastructure as Code (IaC)-tools en CI/CD-pijplijnen.
Infrastructure as Code (IaC) is het beheren en aanbieden van infrastructuur via code in plaats van via handmatige processen. Hierbij kunnen ook beveiligingsmaatregelen worden meegenomen in de ontwikkeling. Dit kan al worden meegenomen bij het opzetten van de cloud infrastructuur. Het geeft bijvoorbeeld de mogelijkheid om security policies in de configuratie van de infrastructuur mee te nemen.