กลุ่มผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยทางไซเบอร์จากบริษัท Hunters ภายใต้ทีมที่มีชื่อเสียงอย่าง Team Axon ได้เปิดเผยเทคนิคการค้นหาภัยคุกคามขั้นสูงในงานวิจัยที่ล้ำสมัยที่ชื่อว่า “Mastering Azure Managed Identities: Attack & Defense, Part 2” โดยมีเป้าหมายเพื่อระบุ และป้องกันการนำ Azure Managed Identities (MIs) ไปใช้ในทางที่ผิด
ในขณะที่สภาพแวดล้อมคลาวด์ยังคงขยายตัวอย่างต่อเนื่อง MIs ที่ถูกออกแบบมาเพื่อลดความซับซ้อนในการจัดการข้อมูล credential สำหรับบริการ Azure ให้ง่ายขึ้น ได้กลับกลายเป็นดาบสองคม ที่ให้ทั้งความปลอดภัยที่เพิ่มขึ้น และเป็นช่องทางในการโจมตีหากมีการกำหนดค่าผิดพลาด หรือถูกบุกรุก
งานวิจัยล่าสุดนี้ได้เปลี่ยนแนวทางจากการโจมตีเชิงรุก ซึ่งได้กล่าวถึงไปใน Part ที่ 1 มาเป็นการป้องกันเชิงรุก โดยเตรียมเครื่องมือที่ใช้งานได้จริงให้กับทีมรักษาความปลอดภัย เพื่อปกป้อง Azure ecosystems จากภัยคุกคามที่ระบุตัวตนได้
การรับมือกับภัยคุกคามที่ระบุตัวตนได้บนระบบคลาวด์
นักวิจัยได้เจาะลึกถึงความซับซ้อนในการระบุ และเฝ้าติดตามทั้ง System-Assigned Managed Identities (SAMIs) และ User-Assigned Managed Identities (UAMIs) โดยใช้แหล่งข้อมูลจาก log sources ของ Azure หลายประเภท เช่น Azure Sign-In Logs, Audit Logs, Activity Logs และ Microsoft Graph Activity Logs
โดยผ่านแผนการ MIs อย่างละเอียด ด้วยวิธีต่าง ๆ เช่น การสืบค้นผ่าน Azure CLI, การตรวจสอบบน Azure Portal และการวิเคราะห์ข้อมูลจาก Log โดยงานวิจัยนี้ได้วางรากฐานที่แข็งแกร่งสำหรับการจัดทำบัญชีรายชื่อของ Non-Human Identities - NHIs
สิ่งที่โดดเด่นคือ การพัฒนา query สำหรับการค้นหาภัยคุกคาม จำนวน 12 รายการ ที่มีความแม่นยำในระดับสูงถึงปานกลาง ซึ่งเขียนด้วยภาษา Snowflake SQL โดยมีเป้าหมายเพื่อตรวจจับพฤติกรรมที่น่าสงสัย เช่น การร้องขอ token โดยตรงจากเครื่อง VMs, การทำ enumeration ผ่าน Microsoft Graph และการใช้งาน token จากที่อยู่ IP หรือ endpoint ที่ผิดปกติ
Query เหล่านี้ถูกออกแบบไม่ขึ้นกับบริการใดบริการหนึ่งโดยเฉพาะ แต่จะมุ่งเน้นไปที่พฤติกรรมที่ผิดปกติมากกว่าแทนที่จะจำกัดเฉพาะเจาะจงกับ service logs เพื่อให้แน่ใจว่าสามารถนำไปประยุกต์ใช้ในวงกว้างยิ่งขึ้นในสภาพแวดล้อมต่าง ๆ ของ Azure ได้
ตัวอย่างเช่น มี query หนึ่งที่เชื่อมโยงกับการลงชื่อเข้าใช้ของ Managed Identity (MI) เข้ากับเหตุการณ์ที่เกิดขึ้นบน host เพื่อระบุการร้องขอ token โดยตรงผ่านเครื่องมืออย่าง PowerShell ในขณะที่อีก query หนึ่งได้กำหนด baseline สำหรับพฤติกรรมปกติของ MI เพื่อตรวจจับความเบี่ยงเบนที่อาจบ่งบอกถึงการยกระดับสิทธิ์ (privilege escalation) หรือการพยายามโจมตีต่อไปภายในระบบ (lateral movement)
การตรวจจับจากแหล่งข้อมูล Log Sources ต่าง ๆ ใน Azure
งานวิจัยฉบับนี้ยังแสดงให้เห็นถึงความสำคัญของการสืบสวนเหตุการณ์ด้านความปลอดภัย โดยให้แนวทางอย่างละเอียดสำหรับการติดตาม Managed Identities (MIs) ที่อาจถูกโจมตีผ่านการวิเคราะห์คำร้องขอ token การเชื่อมโยงกิจกรรมต่าง ๆ จาก log sources โดยใช้ตัวระบุ token ที่ไม่ซ้ำกัน และการประเมินขอบเขตความเสียหายจากสิทธิ์ที่ MI มีอยู่ (blast radius)
นอกจากนี้ Log ข้อมูลจากบริการต่าง ๆ เช่น Azure Key Vault และ Azure Storage ยังช่วยเสริมความสมบูรณ์ให้กับการสืบสวน โดยทำให้สามารถเปิดเผยการเข้าถึงทรัพยากรที่สำคัญโดยไม่ได้รับอนุญาต
ด้วยการผสานกลยุทธ์การป้องกันเหล่านี้ งานวิจัยนี้ได้จัดการกับความเสี่ยงของ NHI (Non-Human Identities) ที่มักถูกมองข้าม ซึ่งถือเป็นองค์ประกอบสำคัญอย่างยิ่งของพื้นฐานการโจมตีบนคลาวด์ (cloud attack surface)
ผลงานของ Team Axon นี้เป็นการต่อยอดจากงานวิจัยก่อนหน้าของ NetSPI และนักวิจัยรายอื่น ๆ เช่น การบรรยายของ Karl Fossaen ในงาน DEF CON 32 เพื่อผลักดันขีดจำกัดด้านความมั่นคงปลอดภัยบน Azure ให้ก้าวหน้ายิ่งขึ้น
ตามรายงานระบุว่า แพลตฟอร์ม SOC (Security Operations Center) ที่ขับเคลื่อนด้วย AI ของ Hunters เป็นพื้นฐานที่สนับสนุนความพยายามเหล่านี้ โดยทำให้การตรวจจับ และตอบสนองต่อภัยคุกคามเป็นไปโดยอัตโนมัติเพื่อเสริมศักยภาพให้กับทีมรักษาความปลอดภัยขนาดเล็ก
งานวิจัยนี้ไม่เพียงจุดประกายแนวคิดใหม่ ๆ เท่านั้น แต่ยังมอบเครื่องมือที่ใช้งานได้ทันที และมีประโยชน์จริงในการรับมือกับภัยคุกคามที่มีการพัฒนาตลอดเวลาในระบบคลาวด์ พร้อมตอกย้ำความจำเป็นในการเฝ้าระวังอย่างอย่างเข้มงวด และควรมีกลไกการป้องกันที่แข็งแกร่งในโลกไซเบอร์ยุคใหม่
ที่มา : gbhackers
You must be logged in to post a comment.