Выведите стаю наружу: обнаружение саботажа с помощью DuckDB в облаке

Выпустите стадо из моего облака: использование DuckDB для обнаружения супружеского саботажа (в AWS, Azure и GCP)

🎙️ Джаред Гор, инженер по облачной безопасности, Paychex, Inc.
🎙️ Лиз Гор, директор по ИТ и операциям, Educators for Quality Alternatives
📍 Доклад на саммите SANS CloudSecNext 2025

Инсайдерская угроза или... внутри дома? Облачная безопасность — это серьёзная задача, но что произойдёт, если постоянная угроза повышенной сложности поделится вашим паролем от Wi-Fi? В этой презентации мы подробно рассмотрим часто упускаемого из виду внутреннего противника: супруга, пытающегося найти главный признак CTF: счёт за облачные услуги. Присоединяйтесь к нам на практических учениях, где мы попробуем креативно взломать нашу многооблачную среду AWS, Azure и GCP, а также покажем, как поймать этот внутренний шпионаж с поличным. Забудьте о дорогих коммерческих инструментах — мы покажем вам, как DuckDB, высокопроизводительный аналитический движок, позволяет нам писать выразительные SQL-запросы как к данным конфигурации, так и к данным журналов для выявления подозрительных действий и ошибок конфигурации, одновременно перенаправляя критически важные облачные журналы (CloudTrail, журналы активности Azure, журналы аудита облака) в нашу SIEM-систему. В забавных сценариях атак, отражающих кампанию по проникновению северокорейских IT-специалистов стоимостью 1 миллиард долларов, мы увидим, как моя супруга, сертифицированная GCIH, использует ту же тактику, которая скомпрометировала сотни компаний из списка Fortune 500. Это упражнение показывает, как легитимный доступ становится основным вектором атаки — будь то со стороны любопытного супруга или спонсируемого государством лазутчика. Саботаж: Станьте свидетелем того, как доверенный инсайдер (знающий все мои пароли) использует законный доступ для: - Создания учетных данных для скрытого доступа с невинно выглядящими именами - Развертывания «вспомогательных скриптов», обеспечивающих постоянный доступ - Создания путей кросс-облачной утечки, замаскированных под обычную передачу данных - Манипулирования настройками ведения журнала, чтобы замести следы Обнаружение: Узнайте, как мощные запросы DuckDB SQL могут: - Выявлять необычные шаблоны создания учетных записей - Отмечать подозрительный доступ кросс-облачным ресурсам - Выявлять попытки отключить или изменить ведение журнала безопасности - Сопоставлять, казалось бы, несвязанные действия в единую схему атаки Решение: Изучите практические шаги по исправлению ситуации и методы усиления защиты: - Внедрение эффективных границ привилегий (даже для супругов!) - Настройка оповещений о подозрительных действиях, связанных с идентификацией - Создание «канареечных токенов», выявляющих несанкционированный доступ - Установление безопасного управления несколькими облаками, которое сложно обойти Профессионалы в области безопасности не только развлекутся, но и вооружатся практичными и экономичными методами. Узнайте, как превратить мониторинг безопасности вашего облака в тонко настроенную «ловушку для супругов» (и защититься от настоящих злоумышленников!) по всему вашему облачному хранилищу, одновременно обнаружив, что наиболее эффективная безопасность достигается за счет баланса доверия и соблюдения границ.

#InsiderThreat #MultiCloud #DuckDB