Security Professionals - ipfw add deny all from eindgebruikers to any

Public Cloud Repatriation

08-10-2024, 16:23 door Erik van Straten, 8 reacties
Uit https://www.eetimes.eu/cloud-repatriation-on-the-rise-83-of-cios-plan-workload-shifts-in-2024/ (bron: [1]):
Cloud Repatriation on the Rise: 83% of CIOs Plan Workload Shifts in 2024
October 2, 2024 Ignacio M. Llorente
[...]
The shift toward cloud repatriation reflects a growing concern for achieving consistent security policies, optimizing cloud spending and avoiding unnecessary waste as enterprises seek more cost-effective and flexible IT infrastructure solutions. This movement of workloads back from the public cloud represents a refinement of their cloud strategies—not a rejection of the public cloud itself.
[...]

M.i. onvermijdelijk. Big Tech is er allesbehalve in geslaagd om de publieke cloud veilig toegankelijk te maken; medewerkers phishen is véél te eenvoudig (zie bijv. https://thehackernews.com/2024/08/how-to-stop-aitm-phishing-attack.html).

[1]: Erik Jonker in (https://mastodon.social/@ErikJonker/113272035789297353).
Reacties (8)
08-10-2024, 17:31 door Anoniem
Ik denk dat het weinig te maken heeft met het veilig toegankelijk maken van de cloud. Dat wordt ook niet in het artikel genoemd als voornaamste reden van de terugtrekkende beweging. Als ik kijk naar de bedrijven waar ik de afgelopen 10 jaar heb gewerkt, dan gaat het denk ik veel meer om de volgende punten:

- blind alles in de cloud brengen, want "dat is de toekomst". On-prem is "de oude wereld", zonder duidelijke onderbouwing waarom die cloud zo zaligmakend is (sneller, goedkoper, eenvoudiger, betere integratie etc., zonder goed onderbouwde kwantificering van die baten)
- geen idee hebben dat de kosten in de cloud fors hoger uitvallen dan initieel gedacht
- de kennis is niet aanwezig om veel/ alles naar de cloud te verhuizen. De cloud is een totaal ander vakgebied met andere requirements die aan beheerders en ontwikkelaars worden gesteld
- veel applicaties blijven een mengeling van on-prem en cloud. Je gooit geen complete on-prem infra weg van miljoenen voor een onzekere cloud toekomst met flinke CSP lock-in
- de nodige applicaties werken on-prem gewoon beter
- ...

Het verbaast me niks dat deze trend gaande is. Het patroon van de Gartner hype cycle (https://en.wikipedia.org/wiki/Gartner_hype_cycle) wordt ook hier gevolgd. De cloud is nuttig, maar zeker niet zaligmakend.
08-10-2024, 23:56 door Erik van Straten
@Anoniem 17:31: ik ben het ermee eens dat security niet de enige overweging is, maar wel één die steeds meer problemen oplevert.

Bijvoorbeeld uit [1] (bron, en minder technisch: [2]):
Mamba 2FA: A new contender in the AiTM phishing ecosystem
Discover Mamba 2FA, a previously unknown adversary-in-the-middle (AiTM) phishing kit, sold as phishing-as-a-service (PhaaS).

October 7 2024, by Grégoire Clermont and Sekoia TDR
[...]
Capabilities of the Mamba 2FA phishing platform
The Mamba 2FA phishing platform features similar capabilities to the other popular AiTM phishing-as-a-service offerings of the cybercrime ecosystem:

• It handles two-step verifications for non-phishing-resistant MFA methods such as one-time codes and app notifications;

• It supports Entra ID, AD FS, third-party SSO providers, and consumer Microsoft accounts;

• For enterprise accounts, it dynamically reflects the organisation’s custom login page branding (logo, background image);

• The stolen credentials and cookies are instantly sent to the attacker via a Telegram bot;

• The kit attempts to block visits to the page by security scanning services.

Commercialisation of Mamba 2FA phishing pages
The Mamba 2FA phishing pages are sold on Telegram on a subscription model. At the price of $250 for 30 days, customers are given access to a Telegram bot that allows them to generate phishing links and HTML attachments on demand.
[...]
Domain names lifetime
The link domains, being used in the URLs of the phishing pages, are easily visible to the victims and get usually reported and blocked by security solutions after a few days of use. For this reason, the operator of Mamba 2FA maintains around a dozen link domains at any time and replaces them about every week.

On the other hand, the domain names used for the relay servers are less exposed, and it is common for them to last several weeks.

Proxy servers
Until late September 2024, the relay servers were connecting directly to the Entra ID servers when performing authentications with victim’s credentials. As a result, the IP addresses of the relay servers were exposed in the authentication logs of the targeted tenants. However, starting October 2024, the developers of Mamba 2FA implemented an additional indirection layer, utilising proxy servers sourced from a commercial provider (IPRoyal). [...]

Mensen hebben nog minder tijd om op domeinnamen te letten, omdat ze met zwakke 2FA/MFA codes moeten rommelen - die simpelweg niet helpen tegen dit soort AitM evil proxy aanvallen.

[1] https://blog.sekoia.io/mamba-2fa-a-new-contender-in-the-aitm-phishing-ecosystem/

[2] https://www.bleepingcomputer.com/news/security/new-mamba-2fa-bypass-service-targets-microsoft-365-accounts/
09-10-2024, 09:20 door Anoniem
De ideeën achter cloud zijn best grappig, het grootste probleem blijft dat de aanbieders ervan stuk voor stuk onbetrouwbare toko's zijn die je niet met je data kan vertrouwen.
09-10-2024, 09:58 door Anoniem
Niets doen en je veilig wanen bij een CDN. Uiteindelijk kost het alleen maar meer en heel veel als je toch gecompromitteerd wordt.
Ook het ten onrechte gewhitelist zijn, vraagt z'n tol.
De analoge wereld laat zich niet zomaar omtoveren tot een digitale.
09-10-2024, 10:07 door Anoniem
Door Anoniem: Niets doen en je veilig wanen bij een CDN. Uiteindelijk kost het alleen maar meer en heel veel als je toch gecompromitteerd wordt.
Ook het ten onrechte gewhitelist zijn, vraagt z'n tol.
De analoge wereld laat zich niet zomaar omtoveren tot een digitale.

Een CDN dat heeft toch helemaal niks met Cloud te maken?
Dat is meer een soort cache voor data die toch al publiek is, bijvoorbeeld de bestanden van je website of de updates
van je operating system.
09-10-2024, 10:55 door Anoniem
Ik heb de laatste paar jaar, onder meer op Slashdot, in toenemende mate reacties onder berichten gezien van mensen die meldden dat hun bedrijf (steeds in de VS) zich terugtrekt uit de cloud, omdat de voorgespiegelde voordelen niet waargemaakt worden.

Waar de cloud sterk in is, afgaande op die commentaren, is in het heel snel kunnen bij- en afschakelen van capaciteit, en dat kan voor bijvoorbeeld startups met moeilijk te voorspellen groei en dus een moeilijk te voorspellen behoefte aan capaciteit een groot voordeel zijn. Maar voor bedrijven met een vrij stabiele of voorspelbare workload valt dat weg als pluspunt en zijn de hogere kosten een minpunt. Dat zegt het artikel ook: "You’re crazy if you don’t start in the cloud; you’re crazy if you stay on it".

Dat voordeel van schaalbaarheid zou volgens die commentaren alleen goed te realiseren zijn als de applicaties ook echt voor de cloud ontworpen zijn, bij pre-cloud-applicaties die in de cloud zijn ondergebracht valt de schaalbaarheid in verhouding tegen.

Een van de redenen die ik genoemd heb zien worden voor dat de kosten onnodig hoog op kunnen lopen is dat IT- en/of ontwikkelafdelingen vaak een vrijbrief hebben gekregen om wat ze nodig hebben in gebruik te nemen, en die zijn kennelijk nogal eens slordig in het weer opruimen ervan, terwijl het bewustzijn van wat dat het bedrijf kost laag is. Daar zou dus een groeiende hoeveelheid cloud-capaciteit ontstaan voor dingen die helemaal niet meer gebruikt worden maar waar wel voor betaald wordt. Een groeiende hoeveelheid data die niet of nauwelijks beheerd wordt is natuurlijk vragen om gegevenslekken.

Ik heb dit soort geluiden tot nu toe alleen uit de VS horen komen, maar aan het artikel waar je naar linkt te zien dringt het nu ook voorzichtig door tot Europa. Goed zo.

Wat mij trouwens in de jaren voor de cloudplatforms beschikbaar kwamen opviel was wat er een enorme hoop hype over werd gecreëerd. Er werd druk geschreven in vakbladen en managementbladen, typisch door die columnisten die zich marktanalisten noemden als ik me goed herinner, over wat voor waanzinnig moois eraan zat te komen, met spectaculaire voordelen natuurlijk, en van al die verhalen destijds herinner ik me vooral hoe vaak ik er bij dacht: ja maar hoe dan? Dat werd voor mij pas ingevuld toen Amazon zijn cloudplatform lanceerde in 2006. De beslissers in het bedrijfsleven zijn typisch mensen die niet "hoe?" vragen waar een techneut als ik dat wel doet, die waren er al helemaal warm voor gemaakt, dus werd het een succes. En na 18 jaar van succes is nu door aan het dringen dat het beeld dat men ervan had te optimistisch was. Hopelijk herinnert men zich ook nog hoe dat beeld was opgeroepen, beseft men dat dat marketing was, en rent men de volgende keer niet kwispelend en kwijlend achter de voorgehouden geurende worstjes van de grote tech-bedrijven aan. Die creëren gewoon hun eigen markt op die manier, wat de vraag oproept in hoeverre de klanten niet worden geëxploiteerd in plaats van bediend. Daarmee bedoel ik niet dat er niet tegelijk ook goede kanten aan zitten, ik denk alleen dat een hoop dingen beter zouden gaan als we ons niet zo lieten opjutten en het tempo wat meer werd bepaald door de behoeftes van klanten en minder door de behoeftes van leveranciers. Het is alleen niet de eerste keer dat ik iets soortgelijks heb zien gebeuren, dus ik vrees dat het iets te optimistisch is om te denken dat management er veel van leert.
09-10-2024, 13:15 door Anoniem
Door Anoniem:
Dat voordeel van schaalbaarheid zou volgens die commentaren alleen goed te realiseren zijn als de applicaties ook echt voor de cloud ontworpen zijn, bij pre-cloud-applicaties die in de cloud zijn ondergebracht valt de schaalbaarheid in verhouding tegen.
Dat geldt voor on-premise net zo goed!
Voor dat we "naar de cloud gingen" was ons on-premise boekhoudpakket (waarvan je de naam heel vaak hoort) nog
gebaseerd op een FoxPro "database", dwz een collectie index en databestanden (een setje per tabel) op een netwerkshare.
En ondanks dat er migratietrajecten bestaan om dat om te zetten naar een serieuze database, deed de software
ontwikkelaar daar niks aan. Dan zit je gewoon op een dood spoor.
En die ontwikkelaar heeft zich evengoed voor goed geld verkocht aan een buitenlands bedrijf.
09-10-2024, 14:00 door Anoniem
@Anoniem 10:55

De eerste anoniem hier. Ik kan je verhaal VOLLEDIG onderstrepen. Ik heb kosten gruwelijk de pan uit zien vliegen, doordat developers niet de moeite namen om machines down te brengen wanneer die niet meer nodig waren, maar alles maar op te spinnen wat ze dachten nodig te hebben. Tientallen machines, gigabytes aan logdata, want ach, die gigabytes kosten toch maar een paar cent. Data werd als een malle overgepompt, maar ja, outbound data wordt wel belast per Gb, dus daar gingen probleemloos tienduizenden euro's aan op zonder duidelijke voordelen. Katsjing! Nul awareness bij de beheerders en developers over kosten, want ja, dat speelde on-prem ook niet. Zo ging het met alles. Tig teams in de cloud, dus ja, ineens waren de kosten 5 ton hoger dan geraamd. Rara hoe kan dat nou?

Governance in de cloud, nog zo'n drakendossier. Teams die alles zelf inrichtte, geen idee hadden wat er in hun account draaide, teams die cloud servers via internet toegankelijk maakte, geen of zeer weinig guard rails ingebouwd, de CMDB was een zooitje want machines werden opgestart en weggehaald, dus welke machines welke software draaide en welke zwakheden hadden? Geen idee, want morgen is de machine weer weg. AMI's gebruiken die niet voldeden aan de eisen van de organisatie, dus welke hardening waar was afgedwongen wist niemand meer. Vulnerability management was mede daardoor nauwelijks te sturen. Dan maar sturen op secure pipelines en breakers afdwingen. Ehm... daar waren de ontwikkelteams niet blij mee, want die werkten met software wiens externe dependencies massaal achterliepen in versies, waardoor niets meer productie in kwam. Ze hadden immers de vrije hand. Laat het maar aan developers over om er een zooi van te maken. Dan die breakers weghalen.

Applicaties die on-prem draaien en waarvan het omzetten naar een 100% cloud-native oplossing niet lukt vanwege kosten, legacy, kennisgebrek of wat dan ook? Hupsakee, gewoon die VM in de cloud hijsen. Lift en shift. Oh wacht, nu zitten we wel in de cloud maar hebben we

(a) de voordelen van cloud niet
(b) afhankelijkheden ingebouwd in de applicatie (dubbele DC's, netwerkverbindingen die hickups vertonen, extra administratieve overhead etc)
(c) zwakkere performance bij OTP
(d) extra complexiteit en afhankelijkheden
(e) .....

En zo zijn er nog tig voorbeelden en nadelen te noemen.

Veel organisaties zijn simpelweg niet volwassen genoeg om de overstap naar de cloud te maken. Blijf dan vooral on-prem draaien. Veel draait daar goed, de leercurve is niet zo stijl (afgezien misschien voor nieuwe beheerders die binnenkomen) en beheerders kennen hun omgeving. Kijk echt per applicatie of cloud het wel waard is. Vaak is het niet het geval. De verkooppraatjes van "als je een advertentiecampagne hebt kun je servercapaciteit moeiteloos toevoegen!". Dat is hetzelfde als "als de euro komt hoef je niet meer te wisselen als je op vakantie gaat!". Als dat je onderbouwing is voor zo'n impactvolle en risicovolle migratie, dan wens ik je veel succes als CIO, CISO en CFO. Alledrie zullen ontevreden zijn over de cloud.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.