NCSA Webboard
    • ล่าสุด
    • แท็ก
    • ฮิต
      • ติดต่อสำนักงาน
    • ลงทะเบียน
    • เข้าสู่ระบบ

    แคมเปญต่อเนื่องที่กําหนดเป้าหมายบัคเก็ต Amazon Web Services S3

    Cyber Security News
    1
    1
    362
    โหลดโพสเพิ่มเติม
    • เก่าสุดไปยังใหม่สุด
    • ใหม่สุดไปยังเก่าสุด
    • Most Votes
    ตอบ
    • ตอบโดยตั้งกระทู้ใหม่
    เข้าสู่ระบบเพื่อตอบกลับ
    Topic นี้ถูกลบไปแล้ว เฉพาะผู้ใช้งานที่มีสิทธิ์ในการจัดการ Topic เท่านั้นที่จะมีสิทธิ์ในการเข้าชม
    • NCSA_THAICERTN
      NCSA_THAICERT
      แก้ไขล่าสุดโดย

      Cyber Security Agency of Singapore (CSA) มีรายงานเกี่ยวกับแคมเปญแรนซัมแวร์ที่กําหนดเป้าหมายฟังก์ชัน Amazon Web Services S3 Bucket ผู้ใช้'koและผู้ดูแลระบบควรทําตามขั้นตอนต่อไปนี้เพื่อป้องกัน โดยการใช้ประโยชน์จากคุณสมบัติการจัดเก็บเวอร์ชัน (versioning) และการเข้ารหัส (encryption) แฮกเกอร์สามารถเข้าถึงข้อมูลโดยไม่ได้รับอนุญาตผ่านการโจมตีข้อมูลระบุตัวตนและการจัดการการเข้าถึง (IAM) ที่ถูกขโมย หรือการใช้บทบาท IAM ที่ตั้งค่าการอนุญาตไว้มากเกินไป หลังจากได้รับสิทธิ์เข้าถึงแล้ว ข้อมูลต้นฉบับจะถูกทำให้ไม่สามารถใช้งานได้จนกว่าจะจ่ายค่าไถ่ หรือมีการเปิดใช้งานฟีเจอร์ S3 versioning ซึ่งช่วยให้เหยื่อสามารถกู้คืนข้อมูลได้ วิธีนี้ใช้ประโยชน์จากการใช้งาน AWS อย่างแพร่หลายในองค์กร ทำให้กระบวนการกู้คืนข้อมูลมีความซับซ้อนมากขึ้น และส่งผลกระทบหนักหน่วงในกรณีที่มีการตั้งค่าความปลอดภัยที่อ่อนแอ

      วิธีการที่แฮกเกอร์เข้าถึงข้อมูล

      • การเข้าถึงในขั้นต้นมักเกิดจาก:
        ข้อมูล IAM ที่ถูกขโมย
        บทบาท IAM ที่กำหนดสิทธิ์การเข้าถึงมากเกินไป
        แฮกเกอร์อาจใช้วิธีการโจมตีแบบฟิชชิง (phishing) วิศวกรรมสังคม (social engineering) หรือใช้ประโยชน์จากการตั้งค่าที่ผิดพลาดเพื่อเข้าถึงบัญชี AWS และเมื่อพวกเขาได้สิทธิ์เข้าถึงแล้ว จะใช้ฟีเจอร์ใน AWS เองเพื่อดำเนินการโจมตี
        ผลกระทบจากการโจมตี

      • องค์กรที่ได้รับผลกระทบจากแรนซัมแวร์นี้จะต้องเผชิญกับ:
        การหยุดชะงักทางปฏิบัติการอย่างรุนแรง เนื่องจากข้อมูลใน S3 bucket ถูกเข้ารหัสและไม่สามารถเข้าถึงได้
        ความเสียหายทางการเงิน ซึ่งอาจรวมถึงค่าไถ่ เวลากู้คืนที่ยืดเยื้อ และความเสียหายต่อชื่อเสียง
        การพึ่งพาพื้นที่จัดเก็บข้อมูลบนคลาวด์ทำให้ผลกระทบของการโจมตีรุนแรงขึ้น โดยเฉพาะในกรณีที่ไม่มีแผนสำรองข้อมูลทางเลือก
        ขั้นตอนในการป้องกันระบบของคุณ

      • ตรวจสอบและปรับปรุงนโยบาย IAM:
        ใช้หลักการกำหนดสิทธิ์ที่จำเป็นเท่านั้น (least privilege) เพื่อลดสิทธิ์การเข้าถึง
        ตรวจสอบการอนุญาตของ IAM เป็นประจำและเพิกถอนสิทธิ์ที่ไม่จำเป็น
        เปิดใช้งานการยืนยันตัวตนแบบหลายขั้นตอน (MFA):

      บังคับใช้ MFA สำหรับบัญชีผู้ใช้และบัญชี root ทั้งหมดเพื่อเพิ่มความปลอดภัย

      • ตรวจสอบสภาพแวดล้อมของ AWS:
        ใช้ AWS CloudTrail เพื่อล็อกและติดตามกิจกรรมบัญชีทั้งหมด
        เปิดใช้งาน AWS GuardDuty เพื่อตรวจจับพฤติกรรมที่น่าสงสัยและภัยคุกคามที่อาจเกิดขึ้น

      • สำรองข้อมูลและกู้คืนข้อมูล:
        จัดเก็บข้อมูลสำรองที่ไม่สามารถแก้ไขได้เป็นประจำ เช่น ใช้ S3 Object Lock เพื่อป้องกันไม่ให้ข้อมูลถูกลบหรือเขียนทับ
        เปิดใช้งาน S3 versioning เพื่อเก็บข้อมูลหลายเวอร์ชันใน bucket
        ทดสอบกระบวนการกู้คืนข้อมูลเป็นระยะเพื่อเตรียมพร้อมรับมือ

      • จำกัดการเข้าถึง S3 Bucket:
        ตั้งค่านโยบาย bucket เพื่อจำกัดการเข้าถึงให้เข้มงวด
        บังคับใช้การเข้ารหัสข้อมูลทั้งหมดที่จัดเก็บไว้

      • จำกัดการใช้ SSE-C:
        หลีกเลี่ยงการใช้ Server-Side Encryption with Customer-Provided Keys (SSE-C) ซึ่งผู้โจมตีอาจใช้เพื่อเข้ารหัสข้อมูลด้วยกุญแจของตนเองและปิดกั้นเหยื่อ

      อ้างอิง
      https://www.csa.gov.sg/alerts-and-advisories/alerts/al-2025-006

      สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand 1ff51d85-28bb-4324-83ae-3282d280fc06-image.png

      1 การตอบกลับ คำตอบล่าสุด ตอบ คำอ้างอิง 0
      • First post
        Last post