توصلت دراسة حديثة إلى أن الجهات الشريرة قد تستغل الرؤية الجنائية الغير كافية في منصة Google Cloud Platform للوصول إلى بيانات حساسة.
أفاد تقرير شركة Mitiga للاستجابة لحوادث السحابة بأن شركة GCP للأسف لا توفر مستوى كافٍ من الرؤية في سجلات تخزين البيانات الخاصة بها، مما يجعل من الصعب على المؤسسات الحصول على تحقيق جنائي فعال ومواجهة الهجمات على البيانات.
يقوم البنوك بشن هجمات مسبقة على الشرط بأن يكون الخصم قادرًا على السيطرة على إدارة الهوية والوصول (IAM) في المؤسسة المستهدفة باستخدام طرق مثل الهندسة الاجتماعية للوصول إلى بيئة GCP.
مشكلتنا هي أن سجلات الوصول إلى التخزين في برنامج شركاء Google المعتمدون لا توفر شفافية كافية فيما يتعلق بالوصول المحتمل إلى الملفات وقراءة الأحداث، والتي يتم تجميعها كنشاط الحصول على كائن واحد بدلاً من تفصيلها.
تقول الباحثة في المعهد معيتيقة فيرونيكا مارينوف: يجري استخدام نفس الحدث لمجموعة متنوعة من أنواع الوصول، بما في ذلك: قراءة الملف، تنزيل الملف، نسخ الملف إلى خادم خارجي، [و] قراءة البيانات الوصفية للملف.
يمكن أن يسمح هذا النقص في التمييز بجمع البيانات الحساسة من قبل المهاجم دون كشفه، وهذا يعود بشكل أساسي إلى عدم توفر أي طريقة للتمييز بين الأنشطة الضارة والشرعية للمستخدم.
في حالة الهجوم الافتراضي، يمكن للمهاجم استخدام واجهة سطر الأوامر جوجل gsutil لنقل البيانات الثمينة من دلو تخزين المؤسسة المستهدفة إلى حاوية تخزين خارجية داخل المؤسسة.
عرضت Google بعد ذلك نصائح التخفيف التي تتضمن عناصر التحكم في الخدمة السحابية الافتراضية (VPC) واستخدام رؤوس قيود المؤسسة لتقييد طلبات الموارد السحابية.
يأتي هذا التقرير في وقت كشفت فيه Sysdig عن حملة هجومية معقدة تسمى SCARLETEEL والتي استهدفت بيئات الحاويات لسرقة البيانات والبرمجيات الحصرية.