Kwetsbare cloudservers al binnen de minuut slachtoffer van aanvallen

Een onderzoek met opzettelijk kwetsbaar gemaakte cloudservers toont aan dat hackers minder dan een minuut nodig hebben om hun aanvallen te starten, en dat die vanaf de ontdekking van de kwetsbare server tegen een hoog tempo blijven doorlopen.

Beveiligingsbedrijf Sophos plaatste een maand lang verschillende ‘Honeypot’-servers in AWS-datacenters in onder andere Ierland, Frankfurt en Londen. Honeypots zijn servers vermomd als aantrekkelijke doelwitten voor hackers. Securityspecialisten gebruiken ze om cybercriminelen aan te trekken en zo hun gedrag te analyseren.

Snel ontdekt

Sophos ontdekte dat het gemiddeld 40 minuten duurt voordat een kwetsbare server wordt aangevallen, maar in sommige gevallen stond malware al na minder dan één minuut aan de voordeur. Die snelle responstijd van de criminelen komt er omdat ook zij geautomatiseerde infrastructuur gebruiken. Die scant automatisch op kwetsbare servers en probeert verbolgens binnen te dringen. Zodra aanvallers voet aan grond krijgen binnen één server, proberen ze die te misbruiken om steeds verder door te dringen binnen de IT-infrastructuur van een organisatie.

Zodra hackers een kwetsbare server lokaliseerden, ontstond er een overvloed aan aanvallen. Sophos spreekt van gemiddeld dertien aanvalspogingen per minuut. Tijdens de looptijd van het project, waarbij ook servers in andere AWS-datacentra wereldwijd werden gebruikt, registreerde de beveiligingsspecialist maar liefst 5 miljoen aanvalspogingen.

Eigen verantwoordelijkheid

Het onderzoek met de honeypots toont volgens Sophos aan hoe ook publieke cloudinfrastructuur kwetsbaar is. Bovendien illustreren de aanvallen het belang van een goede zichtbaarheid op de cloudinfrastructuur, en daar wordt volgens de beveiligingsspecialist vandaag vaak te nonchalant mee omgesprongen. De publieke cloudprovider is immers niet verantwoordelijk voor de totale beveiliging van jouw infrastructuur. Hij zorgt er voor dat het platform is dichtgetimmerd, maar het is aan de gebruiker om alle diensten juist te configureren, goede policies in te stellen, detectieregels uit te rollen authenticatiesystemen uit te werken en idealiter zelfs een AI-sausje over het geheel te gieten om logs in de gaten te houden. Een hack-poging kan immers zo eenvoudig zijn dan een blootgesteld loginportaal te bombarderen met veelgebruikte wachtwoorden.

Sophos registreerde een heleboel van dergelijke aanvallen, en maakte van de informatie gebruik om een mooi lijstje op te stellen van de meest geprobeerde wachtwoorden. Vind je het jouwe in onderstaand lijstje, onderneem dan onmiddellijk actie en denk vervolgens even na over je IT-levenskeuzes.