CISA wprowadza Untitled Goose Tool do wykrywania zagrożeń i analizy usług chmurowych w Microsoft Azure
Cybersecurity and Infrastructure Security Agency (CISA) we współpracy z Sandia National Laboratories opracowała nowe narzędzie do cyberbezpieczeństwa o nazwie Untitled Goose Tool. Narzędzie ma na celu pomóc obrońcom sieci w wykrywaniu złośliwej aktywności w środowiskach Azure Active Directory (AAD) i Microsoft 365.
Goose oferuje innowacyjne metody uwierzytelniania i zbierania danych, dzięki którym można lepiej wykryć zagrożenia i analizować usługi chmurowe w Microsoft Azure. Narzędzie jest szczególnie przydatne w dobie licznych luk w zabezpieczeniach w usługach Azure, takich jak niedawno ujawniona luka umożliwiająca fałszerstwo żądań po stronie serwera (SSRF).
Andy Robbins, główny architekt produktu w firmie SpecterOps, zwraca uwagę na istotne problemy związane z atakami na tożsamość w środowiskach platformy Azure. Ścieżki ataków w Azure są trudniejsze do zabezpieczenia i zarządzania niż te w lokalnych sieciach, co wynika z większej złożoności tożsamości na platformie.
Untitled Goose Tool może wykrywać przypadki wykorzystania luk w zabezpieczeniach, nieprawidłową konfigurację uprawnień oraz wspierać działania naprawcze. Narzędzie umożliwia również wyodrębnianie artefaktów chmury z powiązanych usług bez konieczności przeprowadzania dodatkowych analiz, gromadzenie danych w określonych ramach czasowych oraz korzystanie z funkcji ograniczania czasu.
Aby korzystać z narzędzia, osoby z Blue Team muszą używać Pythona 3.7, 3.8 lub 3.9, a CISA zaleca uruchamianie Goose w środowisku wirtualnym. Przed rozpoczęciem korzystania z repozytorium GitHub, CISA wzywa obrońców sieci chmurowych do zapoznania się z arkuszem informacyjnym Untitled Goose Tool, aby zrozumieć jego funkcje i wymagania dotyczące uprawnień.
Funkcje narzędzia obejmują m.in. eksportowanie i przeglądanie dzienników logowania, inspekcji usługi AAD, dzienników inspekcji M365 (UAL), dzienników aktywności platformy Azure, alertów usługi Microsoft Defender for IoT oraz danych usługi Microsoft Defender for Endpoint (MDE) pod kątem podejrzanej aktywności. Dodatkowo, umożliwia wykonywanie zapytań, eksportowanie i badanie konfiguracji AAD, M365 i Azure oraz wyodrębnianie artefaktów ze środowisk Microsoft AAD, Azure i M365 bez wykonywania dodatkowych analiz. Goose pozwala także na ograniczenie czasowe UAL, ekstrakcję danych w określonych ramach czasowych oraz zbieranie i przeglądanie danych z wykorzystaniem podobnych możliwości ograniczania czasu dla danych MDE.
Untitled Goose Tool ma potencjał stać się istotnym narzędziem dla obrońców sieci, którzy starają się utrzymać bezpieczeństwo infrastruktury chmurowej w Azure. Jego elastyczność i innowacyjne podejście do uwierzytelniania i zbierania danych przyczynią się do lepszego wykrywania i reagowania na incydenty oraz pomogą w monitorowaniu i analizie potencjalnych zagrożeń.
W miarę jak coraz więcej organizacji korzysta z chmury Microsoft Azure, narzędzie takie jak Untitled Goose Tool może okazać się kluczowe dla utrzymania bezpieczeństwa i ochrony prywatności użytkowników. Wspierając obrońców sieci w walce z atakami i zabezpieczając środowiska chmurowe, Goose przyczynia się do poprawy ogólnego poziomu cyberbezpieczeństwa w sektorze usług chmurowych. Źródło:
