Blog

5 best practices om jouw Azure abonnement te beschermen tegen Cryptojacking

Azure is een krachtig platform met services als pay-as-you-go in meer dan 60 regio’s wereldwijd. Maar de schaalbare aard van Azure kan ook georganiseerde criminaliteit en gesponsorde hackergroepen aantrekken.

Het beveiligen van je digitale domein is daarom een cruciaal onderdeel van je SaaS-levenscyclus. In dit artikel bieden we je daarom maatregelen die jou direct helpen in de strijd tegen cryptojacking. Let’s go!

Gepubliceerd: 23 juni 2023

De noodzaak

Even een stukje achtergrond. Oorspronkelijk richt beveiliging binnen Azure zich primair op het beveiligen van jouw toegang (b.v. Conditional Access, Azure Bastion en Zero Trust-architectuur) of op het veilig publiceren van services  (b.v. middels ‘Azure Front Door’ met optioneel een Web Application Firewall).

Maar wat opvalt is het groeiende aantal dataleks de laatste jaren. Deze stegen tot meer dan 422 miljoen ten opzichte van vorig jaar, een stijging van 300 procent (!). Deze dreiging wordt aanzienlijk verhoogd door:

  • het verbeterde risicoprofiel;
  • de gevoeligheid van de gecompromitteerde gegevens
  • een toename van zero-day exploits (de dreiging van ongeautoriseerde gebruikers die jouw Azure omgeving infiltreren)

Na veel Cryptolockeraanvallen de laatste jaren nemen nu de illegale cryptomining- of cryptojackingaanvallen ontzettend toe. Hierbij wordt gebruikt gemaakt van de enorme schaal van Azure om Crypomunten te delven op gecompromitteerde Azure omgevingen. Via een gecompromitteerd account probeert de aanvaller hierbij toegang te krijgen door automatische VM Scale-setten te implementeren binnen zoveel mogelijk regio's. De kosten van deze cryptomining-omgevingen kunnen hierbij oplopen tot meer dan € 100.000 per dag. Mind you: dit tafereel kan weken onopgemerkt blijven bij bij een abonnement dat niet gecontroleerd of gebruikt wordt. Geloof ons, bovenstaande scenario’s wil je liever vermijden 😉

Hieronder daarom de 5 maatregelen die jou helpen de kans op bovenstaande scenario’s zo klein mogelijk te houden:

 

1. Annuleer ongebruikte Azure subscriptions:

Wij raden aan om ongebruikte Azure Subscriptions op te zeggen. Een Subscription dat niet wordt beheerd door een (CSP) partner brengt risico met zich mee omdat mogelijk niemand de consumptie bewaakt, terwijl het wel een factureringsaccount bevat voor directe (onbeperkte) facturering. Extra tip: je kunt jouw abonnement(en) simpel zelf controleren via het Azure Portal. Subscriptions die door partners worden aangeboden worden "Azure Plan" genoemd, terwijl direct bill Subscriptions bijvoorbeeld "Pay-As-You-Go" kunnen worden genoemd.

Zorg ervoor dat je alle Subscriptions in je omgeving kunt zien door gebruik te maken van het Global Admin-account en de optie “Access management for Azure resources” in te schakelen binnen Azure AD-properties

Microsoft bood de afgelopen jaren gesponsorde abonnementen aan, vaak met gratis credits voor een heel jaar. Het is daarom waardevol dit te checken wanneer je een Owner Account gebruikt. Andere belangrijke maatregelen zijn:

 

2. Schakel ongebruikte Azure regio’s uit met behulp van Azure beleid:

Dit Bicep-bestand regionpolicy.bicep toont hoe je een beleid kunt definiëren om implementaties te beperken tot enkel de gekozen regio's. Houd er rekening mee dat je dit beleid moet toewijzen op het niveau van abonnementen, beheergroepen of resourcegroepen. Als je vragen hebt, neem dan gerust contact met ons op.

Compileer de Bicep-code met: az bicep build --file ./regionpolicy.bicep

En implementeer het met het volgende commando: az deployment sub create --template-file ./regionpolicy.bicep --location {azureregion}

Deze Bicep-code zet een beleid in dat alleen toestaat dat middelen worden ingezet in regio’s binnen de toegestane regio's matrix.

 

 

3. Schakel VM's uit de N-klasse uit:

Het Bicep-bestand disallowscreationofNseriesVMs.bicep verbiedt het maken van series. VM's.bicep maakt een policyRule aan voor het controleren op virtuele machines (Microsoft.Compute/virtualMachines) die een SKU-naam hebben die begint met 'Standard_N', die de 'N'-serie van VM's vertegenwoordigt. Als zo'n ‘resource’ wordt gevonden, is het effect van deze toepassing dat het aanmaken van die ‘resource’ wordt geweigerd. Het beleid wordt dan toegewezen aan de huidige scope (dat is de scope van waaruit dit Bicep-bestand wordt ingezet).

Compileer deze Bicep-code met: az bicep build --file ./disallowscreationofNseriesVMs.bicep

En implementeer het met het volgende commando: az deployment sub create --template-file ./disallowscreationofNseriesVMs.bicep --location {azureregion}

 

 

4. Stel Azure cost alerts & anomaliedetectie in:

Azure Cost Management stelt je in staat twee soorten kostenwaarschuwingen in te schakelen:

Anomaliedetectie: Deze functie helpt jou ongebruikelijke kostenverhogingen en anomalieën in je Azure uitgaven te ontdekken. Het maakt gebruik van AI, machine learning en statistische algoritmen om de historische kostenpatronen te analyseren en vervolgens uitgaven die aanzienlijk afwijken van je gebruikelijke kosten te identificeren. Dit helpt je jouw Azure kosten proactief te bewaken en ongebruikelijke uitgaven snel te identificeren.

Kostenwaarschuwingen: stel een waarschuwing in wanneer je uitgaven voor een bepaalde scope (zoals een abonnement of resourcegroep) de door jou ingestelde grens overschrijden.

 

5. Bescherm je workload met Microsoft Defender for Cloud:

Microsoft Defender for Cloud dient als een geïntegreerd, cloudgebaseerd platform voor applicatiebeveiliging. Het helpt je beter beschermd te zijn tegen cyberbedreigingen en daarnaast bij het beperken van de risico’s tijdens de volledige levensduur van cloudapplicaties (in zowel multi-cloud als hybride infrastructuren).Intercept raadt dan ook aan om ‘Cloud workload protection plans’ in te schakelen.

Benieuwd wat we voor u kunnen betekenen?
Behoefte aan een verdieping en meer veiligheid voor jouw Azure omgeving?

Grijp dan nu je kans en vraag een gratis Security Scan aan!
Ik wil een Security Scan
Governance Security & Compliance