W ramach Google Cloud Summit Poland 2025 Luke McNamara z firmy Google zaprezentował wnioski z najnowszej edycji raportu Cloud Threat Horizons za II połowę 2025 roku dotyczące zagrożeń z jakimi użytkownicy mogą się zetknąć nie tylko w Google Cloud, ale także w innych środowiskach chmurowych oraz rekomendacje, jak się przed nimi zabezpieczyć. Sęk w tym, że cyberprzestępcy udoskonalają taktyki unikania wykrycia, utrzymywania się w systemie i naruszania bezpieczeństwa łańcucha dostaw.
Środowiska chmurowe stoją w obliczu coraz bardziej wyrafinowanych zagrożeń, ponieważ cyberprzestępcy udoskonalają swoje metody wykradania danych, naruszania tożsamości i ataków na łańcuchy dostaw, jednocześnie poprawiając techniki unikania wykrycia i utrzymywania się w systemie. Kluczowe trendy są następujące:
- Podstawowe zabezpieczenia pozostają najsilniejszą formą ochrony: badania Google Cloud wskazują, że naruszenie danych uwierzytelniających i nieprawidłowa konfiguracja pozostają głównymi punktami wejścia dla hackerów, co podkreśla krytyczną potrzebę solidnego zarządzania tożsamością i dostępem oraz proaktywnego zarządzania podatnością na zagrożenia.
- Ataki na infrastrukturę kopii zapasowych: Grupy przestępcze kierujące się motywami finansowymi coraz częściej atakują systemy kopii zapasowych, stanowiąc wyzwanie dla tradycyjnych rozwiązań w zakresie odzyskiwania danych po awarii i podkreślając potrzebę stosowania odpornych rozwiązań, takich jak Cloud Isolated Recovery Environments (CIRE), aby zapewnić ciągłość działania.
- Zaawansowana inżynieria społeczna i omijanie uwierzytelniania wieloskładnikowego (MFA): Zaawansowani cyberprzestępcy wykorzystują inżynierię społeczną do kradzieży danych uwierzytelniających i plików cookies, omijając MFA w celu naruszenia bezpieczeństwa środowisk chmurowych w celu kradzieży środków finansowych, często atakując aktywa o wysokiej wartości.
- Niewłaściwe wykorzystanie zaufanych usług w chmurze do dostarczania plików-przynęt w celu ułatwienia infekcji złośliwym oprogramowaniem: Niedawno cyberprzestępcy wykorzystali pliki .desktop do zainfekowania systemów poprzez pobranie plików PDF-przynęt z legalnych serwisów przechowywania danych w chmurze od wielu dostawców. Jest to taktyka, która oszukuje ofiary, podczas gdy w tle pobierane są dodatkowe złośliwe ładunki.
- Ryzyko związane z łańcuchem dostaw rozszerzeń przeglądarki: Aby zwalczać zagrożenie ze strony cyberprzestępców wykorzystujących przejęte tokeny OAuth do omijania MFA i wprowadzania złośliwego kodu za pośrednictwem zautomatyzowanych potoków CI/CD, firma Google wprowadziła kontrolę Verified CRX Upload.
Aby skutecznie poruszać się po zmieniającym się krajobrazie zagrożeń, organizacje muszą nadać priorytet strategii głębokiej ochrony, koncentrującej się na bezpieczeństwie tożsamości, solidnych mechanizmach odzyskiwania danych, ciągłej czujności wobec wyrafinowanych taktyk inżynierii społecznej i oszustw oraz integralności łańcucha dostaw.
Podstawowe zabezpieczenia pozostają kluczowe
Najnowsze badania Google Cloud wskazują, że typowe luki w zabezpieczeniach, takie jak problemy z poświadczeniami i nieprawidłowe konfiguracje, są stale wykorzystywane przez hackerów w celu uzyskania dostępu do środowisk chmurowych. W pierwszej połowie 2025 r. słabe lub brakujące poświadczenia stanowiły główne zagrożenie, odpowiadając za 47,1 proc. incydentów. Kolejnymi najczęściej obserwowanymi wektorami początkowego dostępu były nieprawidłowe konfiguracje (29,4%) oraz naruszenia API/UI (11,8%). Następnymi najczęściej obserwowanymi wektorami początkowego dostępu były nieprawidłowe konfiguracje (29,4%) oraz naruszenia API/UI (11,8%).
Środki zaradcze
Aby zaradzić początkowym wektorom dostępu, Google zaleca strategię głębokiej ochrony skupiającą się na silnej kontroli tożsamości, proaktywnym zarządzaniu zagrożeniami i podatnościami oraz kompleksowym nadzorze stanu bezpieczeństwa.
Kontrola zarządzania tożsamością i dostępem (IAM):
- Regularnie kontroluj uprawnienia przyznane zarówno użytkownikom, jak i kontom usług, aby zidentyfikować i usunąć nadmierny dostęp zgodnie z zasadą minimalnych uprawnień.
- Chroń aplikacje przed wypełnianiem poświadczeń, wykraczając poza kontrole na poziomie sieci. Zabezpiecz aplikacje, wdrażając Identity-Aware Proxy (IAP), aby zwiększyć ochronę dzięki modelowi Zero Trust.
- Proaktywnie monitoruj wycieki danych uwierzytelniających.
Widoczność i proaktywne środki kontroli:
- Utrzymuj ujednolicony widok środowiska chmury, aby monitorować nieprawidłowe konfiguracje, luki w zabezpieczeniach i aktywne zagrożenia.
- Utrzymuj solidny program zarządzania podatnościami i poprawkami.
Chmurowe rozwiązania do tworzenia kopii zapasowych i odzyskiwania danych w obliczu nowoczesnych zagrożeń cybernetycznych
Destrukcyjne ataki cybernetyczne, takie jak ransomware, często wykraczają poza zakłócenia techniczne i mogą skutkować znacznymi przestojami w działalności gospodarczej oraz stratami finansowymi spowodowanymi przerwami w operacjach. Cyberprzestępcy działający z motywów finansowych celują nie tylko w systemy produkcyjne i dane, ale także infrastrukturę i platformy kopii zapasowych, co podkreślono w raporcie M-Trends 2025.
Zespoły reagowania na incydenty w Mandiant Consulting obserwują, że bardziej tradycyjne podejścia do odzyskiwania po awarii, koncentrujące się przede wszystkim na technicznym przywracaniu danych, często nie radzą sobie z złożonościami związanymi z odzyskiwaniem po incydencie cybernetycznym, a szczególnie z potrzebą ponownego ustanowienia zaufania w relacjach z podmiotami trzecimi. Warto zauważyć, że coraz częściej grupy zagrożeń motywowane finansowo celują w infrastrukturę kopii zapasowych jako element wspierający realizację swoich głównych celów. Np. UNC2165, który wykorzystywał różne rodziny ransomware, w tym RANSOMHUB, uzyskał dostęp do chmurowych baz danych ofiar. Dodatkowo zaobserwowano UNC4393, wcześniej związany z ransomware BASTA, oraz UNC2465, wcześniej związany z wieloma rodzinami ransomware, w tym DARKSIDE i LOCKBIT, które celują w platformy kopii zapasowych.
Typowe wyzwania związane z odzyskiwaniem danych
Eksperci z Google zauważyli, że typowe problemy z odzyskiwaniem, szczególnie po dużych atakach cybernetycznych takich jak ransomware, często wynikają z kilku istotnych kwestii, w tym braku dostępności danych kopii zapasowych, ograniczeń mocy produkcyjnej spowodowanych dochodzeniami kryminalistycznymi, wydłużonego czasu odzyskiwania, braku dostępnych planów odzyskiwania w przypadku przechowywania ich w środowisku produkcyjnym oraz nieokreślonych celów czasowych odzyskiwania (RTO) i punktów odzyskiwania (RPO).
Dodatkowo, ransomware może wpływać na różne zależności infrastrukturalne, takie jak usługi uwierzytelniania (Active Directory), DNS, DHCP, platformy wirtualizacyjne oraz narzędzia bezpieczeństwa, które są niezbędne do interakcji z systemami kopii zapasowych w celu orkiestracji, co prowadzi do konieczności przeprowadzenia szeregu działań naprawczych w zakresie usług infrastrukturalnych, zanim można będzie uzyskać dostęp do systemów kopii zapasowych.
Wojciech Gryciuk
