Утечка данных из облака
Что такое Утечка данных из облака?
Утечка данных из облакаНесанкционированное копирование или перенос данных из облачного аккаунта, обычно через API объектного хранилища, снапшоты, репликацию или подконтрольные злоумышленнику аккаунты.
Утечка данных из облака — это этап вторжения, на котором атакующие перемещают данные из скомпрометированных облачных сервисов в свою инфраструктуру. Типичные техники включают S3 GetObject и Sync, передачу снапшотов EBS или RDS на сторонние аккаунты через SharePermission, кросс-аккаунт репликацию, экспорт через BigQuery и Athena, публикацию бакетов и подписанные URL с длительным сроком действия. Исходящий трафик можно прятать внутри легитимных сервисов вроде объектного версионирования или средств резервного копирования. Защита включает минимально привилегированный IAM, deny-правила на кросс-аккаунт sharing, VPC endpoint с SCP, шифрование клиентскими ключами, обнаружение аномалий трафика и DLP-сканирование.
● Примеры
- 01
Злоумышленник с украденными IAM-учетными данными запускает aws s3 sync против важного бакета.
- 02
Передача снапшота RDS на внешний аккаунт AWS для выгрузки таблиц клиентов.
● Частые вопросы
Что такое Утечка данных из облака?
Несанкционированное копирование или перенос данных из облачного аккаунта, обычно через API объектного хранилища, снапшоты, репликацию или подконтрольные злоумышленнику аккаунты. Относится к категории Облачная безопасность в кибербезопасности.
Что означает Утечка данных из облака?
Несанкционированное копирование или перенос данных из облачного аккаунта, обычно через API объектного хранилища, снапшоты, репликацию или подконтрольные злоумышленнику аккаунты.
Как работает Утечка данных из облака?
Утечка данных из облака — это этап вторжения, на котором атакующие перемещают данные из скомпрометированных облачных сервисов в свою инфраструктуру. Типичные техники включают S3 GetObject и Sync, передачу снапшотов EBS или RDS на сторонние аккаунты через SharePermission, кросс-аккаунт репликацию, экспорт через BigQuery и Athena, публикацию бакетов и подписанные URL с длительным сроком действия. Исходящий трафик можно прятать внутри легитимных сервисов вроде объектного версионирования или средств резервного копирования. Защита включает минимально привилегированный IAM, deny-правила на кросс-аккаунт sharing, VPC endpoint с SCP, шифрование клиентскими ключами, обнаружение аномалий трафика и DLP-сканирование.
Как защититься от Утечка данных из облака?
Защита от Утечка данных из облака обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Утечка данных из облака?
Распространённые альтернативные названия: Облачный egress, Утечка бакетов.
● Связанные термины
- cloud-security№ 190
Кража облачных токенов
Хищение OAuth-, SAML- или подписывающих токенов у облачной службы идентификации и их повторное использование для выдачи себя за пользователей или сервисы без паролей.
- cloud-security№ 186
Утечка облачных ключей
Случайная публикация долгоживущих облачных ключей доступа в открытых репозиториях, контейнерных образах, логах или клиентском коде, часто эксплуатируемая в течение минут.
- cloud-security№ 505
Повышение привилегий IAM
Злоупотребление существующими облачными IAM-разрешениями для получения более высоких прав, часто через изменение политик, передачу ролей или самоприсвоение административных прав.
- cloud-security№ 187
SSRF к облачным метаданным
Атака подделки серверных запросов, при которой через уязвимое приложение виртуальная машина обращается к сервису метаданных облачного провайдера и крадет временные учетные данные.
● См. также
- № 211Container Escape
- № 079Атака на AWS IMDSv1
- № 598Атака на кластер Kubernetes
- № 255Находка CSPM