חברת אקווה סקיוריטי (Aqua Security), המפתחת פתרונות אבטחת מידע לסביבות הענן, פרסמה לאחרונה מחקר חדש של צוות מחקר איומי הסייבר שלה, נאוטילוס, שמראה כי התוקפים ממשיכים למצוא דרכים חדשות לתקוף בסביבות הענן. על פי המחקר, התוקפים בענן החלו לאמץ טכניקות מתוחכמות יותר המשלבות מרכיבי התקפה מרובים, כשהם מרחיבים את הפעילות הקיימת גם לטכנולוגיית כגון קוברנטיס (Kubernetes)  ותקיפה של שרשרת האספקה (Supply chain) של תוכנה. דו״ח שפרסמו צוות נאוטילוס בנוגע "לאיומים על סביבות Cloud Native לשנת 2022, אשר סוקר טכניקות המשמשות לתקיפת שרשראות אספקת תוכנה ושירותי קוברנטיס", מספק תובנות על מגמות סייבר עכשוויות, כמו גם לקחים חשובים עבור העוסקים באבטחת מידע בכל הנוגע לאיומים הקיימים כיום על סביבות Cloud Native.

מהמחקר עולה כי גורמים עוינים החלו לעשות שימוש בטקטיקות, טכניקות והליכים (TTPs) חדשים, שנועדו באופן ספציפי לתקיפות על סביבות ענן. בעוד שבאחוז ניכר (כ- 95%) מן ההתקפות נצפו נוזקות לכריית מטבעות דיגיטליים, צוות נאוטילוס מצביע כי לפחות מחצית מההתקפות כללו גם שימוש במתקפות מסוג דלתות אחוריות (backdoors), בכלי Rootkit ובכלים לגניבת פרטי התחברות – מגמה שנמצאת בעלייה לעומת שנים קודמות, שמהווה סימן לכך שתוכניות התוקפים אינן כוללות רק את כריית המטבעות הדיגיטליים. נוזקות אבטחה מסוג דלתות אחוריות, אשר מאפשרות לתוקף גישה למערכת מרחוק לצד ביסוס נוכחות מתמדת בסביבה המותקפת, היו שכיחות ב-54% מסך ההתקפות (עלייה של 9% בהשוואה ל-2020). בנוסף, כמחצית מתמונות (images) הקונטיינרים הזדוניות (51%) שנותחו על ידי החוקרים הכילו תוכנות תולעת (worms), המאפשרות לתוקפים באופן אוטומטי להדביק מכונות אחרות נוספות מכל מכונה חדשה שהם מדביקים, ובכך להרחיב את המתקפה שלהם באופן משמעותי (עלייה של 10% לעומת 2020).

מגמה שבלטה במיוחד במחקר היא שהתוקפים מחפשים להרחיב את מטרותיהם כך שיכללו גם סביבות קוברנטיס (Kubernetes) וכן סביבות של שיטות משולבות אינטגרציה, מסירה ופריסה רציפות (CI/CD). ב-2021, 19% מתמונות הקונטיינרים הזדוניות שנותחו נועדו לתקוף שירותי קוברנטיס, כולל תהליכי kubelets ושרתי API, עלייה של 9% בהשוואה לשנה שעברה.

"ממצאים אלה מדגישים כי תקיפות בסביבות Cloud Native, הם חלק מהמציאות היומיומית של העבודה בענן, וכי התוקפים עובדים חדשות לבקרים לשפר ולפתח טכניקות חדשות ומתוחכמות יותר", אמר אסף מורג, ראש תחום מודיעין סייבר וניתוח נתונים בצוות המחקר נאוטילוס של אקווה סקיוריטי. לדברי מורג, "שטח התקיפה הנרחב שקיים בקוברנטיס מושך תוקפים פוטנציאליים, וברגע שהם חודרים פנימה הם מחפשים את הפירות שהכי קל לקטוף". 

במהלך המחקר ביצע צוות נאוטילוס של אקווה שימוש נרחב במלכודות דבש (מכונות עם חולשות שונות מובנות או טעויות קונפיגורציה שמאפשרות לתוקף כניסה קלה) כדי לחקור התקפות שטרם תועדו, כמו גם התקפות נגד שרשראות אספקת תוכנה בסביבות Cloud Native. בנוסף לכך, הצוות בחן קבצי תמונות קונטיינרים וחבילות שונות במאגרים ציבוריים כגון DockerHub, NPM ו-Python Package Index. כמו כן, צוות המחקר השתמש במוצר ניתוח האיומים הדינאמי (DTA) של אקווה סקיוריטי כדי לנתח כל אחת מהמתקפות שנצפו. פתרון ה-DTA הוא פתרון ארגז החול (Sandbox) הראשון בתעשייה המעריך באופן דינאמי התנהגויות של תמונות קונטיינרים כדי לקבוע האם נעשה בהן שימוש כדי להסתיר נוזקות. יכולת זו מאפשרת לארגונים לזהות ולצמצם נזקי התקפות שסורקי נוזקות סטטיים אינם יכולים לזהות.

"המסקנה העיקרית העולה מדו"ח זה היא שהתוקפים בענן פעילים כיום מאוד – ואף יותר מתמיד – במיוחד כשזה מגיע לניצול חולשות של יישומים, טעויות בקונפיגורציה ומערכי קוד פתוח הנפוצים מאוד בענן", אמר מורג. "העוסקים באבטחת מידע, מפתחים וצוותי Devops מוכרחים לגייס פתרונות אבטחה שבנויים לתת מענה לאתגרים אלו בסביבות Cloud Native. שימוש באמצעי אבטחה פרואקטיביים ומניעתיים יאפשר לחזק את סביבות הענן של הארגון ויגן עליהן באופן אולטימטיבי".