Saiba como a tecnologia Orca Security protege a infraestrutura da nuvem

As empresas migraram para a nuvem e adotaram arquiteturas nativas de cada infraestrutura pública. A mesma facilidade da nuvem que garantiu a continuidade dos negócios também facilita os ataques na nuvem, criando riscos como:

• Vulnerabilidades em cargas de trabalho e aplicativos
• Configurações incorretas de serviços de infraestrutura em nuvem, como buckets de armazenamento
• Uso e configuração inadequados de identidades e direitos de nuvem

A Orca Security conta com a a CDR - Cloud Detection e Response - uma tecnologia que analisa eventos na nuvem e comportamentos, unindo informações de telemetria, dados da tecnologia SideScanning, também da Orca, para analisar quais possíveis anomalias configuram ameaças.

O que é Detecção e Resposta na Nuvem (CDR)?

O Cloud Detection and Response (CDR) ajuda as empresas a detectar, investigar e responder aos invasores que violaram os controles de perímetro de recursos e aplicativos de nuvem. Ao fornecer dados contextualizados sobre eventos potencialmente maliciosos, especialistas podem acelerar a investigação, triagem e resposta a ameaças na nuvem.

Exemplos de como a Orca detecta ataques

 #1: Criação incomum de instâncias do EC2

Por meio de modelagem contínua e estudo de User and Entity Behavior Analytics (UEBA) no ambiente de nuvem, a plataforma Orca detecta uma anomalia no comportamento de uma função. 

 #2: Chamadas de API indicam ataque de enumeração

A plataforma Orca detecta chamadas de API com usuários incomuns. Após uma inspeção mais detalhada, a natureza das chamadas de API indica que pode haver um ataque de enumeração em andamento. Os ataques de enumeração [ou enumeration attack, no termo em inglês] são executados por invasores para descobrir informações sobre o ambiente que estão tentando comprometer, por exemplo, listando nós do EC2 na conta da nuvem para coletar informações sobre seus alvos, e posterior execução de movimento lateral. Esse tipo de ataque também lista buckets do S3 para tentar exfiltrar dados confidenciais.

 #3: IP malicioso tentando acessar a função Lambda

Por meio de monitoramento contínuo, a plataforma Orca detecta atividades suspeitas de um endereço IP malicioso que se comunica com uma função do AWS Lambda, tentando recuperar o código-fonte da função do Lambda.

 #4: Comportamento incomum no bucket do S3 com PIIs

Esse tipo de intrusão é um dos ataques na nuvem mais executados. Geralmente, inicia com uma função realzando uma chamada de API para um bucket S3 existente, embora nunca tenha feito isso antes. Dois dias depois, o mesmo bucket é habilitado para acesso público sem a necessidade de autenticação. 

Por meio da varredura do plano de dados, a plataforma já identifica que esse bucket contém PIIs. Como esse comportamento é uma técnica comum para exfiltração de dados, a Orca imediatamente escala o problema para que as equipes de SOC possam bloquear o acesso público ao bucket do S3 que contém PII.