التعرض المفرط
دعنا نضع الأمر بهذه الطريقة، ما الذي يقلقك بشأن الكشف عنه؟ ما هي الأصول الأكثر قيمة لديك؟ رقم الضمان الاجتماعي الخاص بك؟ معلومات حسابك البنكي؟ وثائق خاصة أم صور فوتوغرافية؟ عبارة بذور التشفير الخاصة بك؟ إذا كنت تدير شركة، أو كنت مسؤولاً عن حفظ البيانات، فقد تقلق بشأن تعرض نفس أنواع المعلومات للخطر، ولكن علىroadمقياس إيه. لقد عهد إليك عملاؤك بحماية بياناتهم.
كمستهلكين، فإننا نعتبر أمان بياناتنا أمرًا مفروغًا منه. في كثير من الأحيان يتم تخزين البيانات في السحابة هذه الأيام. يقدم عدد من البائعين خدمات تتيح للعملاء نسخ البيانات احتياطيًا من أجهزة الكمبيوتر المحلية الخاصة بهم إلى السحابة. فكر في الأمر على أنه محرك أقراص ثابت افتراضي في السماء. يتم الإعلان عن هذا باعتباره وسيلة آمنة ومريحة لحماية بياناتك. مريحة، نعم. يمكنك استعادة ملف قمت بحذفه عن طريق الخطأ. يمكنك استعادة القرص الصلب بأكمله الذي تعرضت بياناته للتلف.
ولكن هل هي آمنة؟ يتم تزويدك بقفل ومفتاح. المفتاح هو عادةً اسم المستخدم وكلمة المرور. إنه مشفر ومعروف لك فقط. ولهذا السبب يوصي خبراء الأمن بالحفاظ على كلمة المرور الخاصة بك آمنة. إذا تمكن شخص ما من الوصول إلى كلمة المرور الخاصة بك، فسيكون لديه المفتاح الافتراضي لمنزلك الافتراضي.
أنت تعرف كل هذا. تتكون كلمة المرور الخاصة بخدمة النسخ الاحتياطي السحابية من 16 حرفًا، وتحتوي على أحرف كبيرة وصغيرة وأرقام واثنين من الأحرف الخاصة. تقوم بتغييره كل ستة أشهر لأنك تعلم أن ذلك يجعل الأمر أكثر صعوبة على المتسلل. وهي تختلف عن كلمات المرور الأخرى - فأنت لا تستخدم نفس كلمة المرور لمواقع متعددة. ما الخطأ الذي يمكن أن يحدث؟
تقدم بعض الشركات ما وصفته بأنه "السحابة الشخصية". الغربي Digital هي إحدى تلك الشركات التي توفر طريقة سهلة لعمل نسخة احتياطية من بياناتك على مساحتك الشخصية في السحابة. إنه تخزين شبكي متاح عبر الإنترنت. يتم توصيله بجهاز توجيه Wi-Fi الخاص بك حتى تتمكن من الوصول إليه من أي مكان داخل شبكتك. وبشكل ملائم، لأنه متصل أيضًا بالإنترنت، يمكنك الوصول إلى بياناتك الشخصية من أي مكان على الإنترنت. مع الراحة تأتي المخاطر.
موقف مساومة
في وقت سابق من هذا العام، اقتحم المتسللون الغربية Digitalوتمكنوا من تنزيل ما يقرب من 10 تيرابايت من البيانات. ثم احتفظ مرسلو البريد الأسود بالبيانات للحصول على فدية وحاولوا التفاوض على صفقة بقيمة 10,000,000 دولار أمريكي من أجل العودة الآمنة للبيانات. البيانات مثل النفط. أو ربما يكون الذهب تشبيهًا أفضل. وتحدث أحد المتسللين بشرط عدم الكشف عن هويته. ها! تشكرونش أجريت معه مقابلة أثناء قيامه بهذه الصفقة التجارية. المثير للاهتمام هو أن البيانات التي تم اختراقها شملت البيانات الغربية Digitalشهادة توقيع الكود. هذا هو المعادل التكنولوجي لمسح شبكية العين. تهدف الشهادة إلى تحديد هوية المالك أو حاملها بشكل إيجابي. مع هذا المسح الافتراضي لشبكية العين، لا يلزم وجود كلمة مرور للوصول إلى البيانات "الآمنة". وبعبارة أخرى، مع هذه الشهادة، يمكن لرجل الأعمال ذو القبعة السوداء أن يسير مباشرة في الباب الأمامي للمتجر digital قصر.
الغربي Digital رفض التعليق ردًا على ادعاءات المتسلل بأنهم ما زالوا موجودين في شبكة WD. أعرب المتسلل الذي لم يذكر اسمه عن خيبة أمله من الممثلين في الغرب Digital لن يرد على مكالماته. رسميًا، في أ خبر صحفىالغربية Digital وأعلن أنه "بناءً على التحقيق حتى الآن، تعتقد الشركة أن الجهة غير المصرح لها حصلت على بيانات معينة من أنظمتها وتعمل على فهم طبيعة ونطاق تلك البيانات". لذلك، الغربية Digital هي أمي، ولكن القراصنة هو الثرثرة. أما بالنسبة لكيفية قيامهم بذلك، يصف المتسلل كيف استغلوا نقاط الضعف المعروفة وتمكنوا من الوصول إلى البيانات الموجودة في السحابة كمسؤول عالمي.
يتمتع المسؤول العالمي، بحكم طبيعة دوره، بإمكانية الوصول إلى كل شيء. فهو لا يحتاج إلى كلمة المرور الخاصة بك. لديه المفتاح الرئيسي.
الغربي Digital ليست وحدها
A مسح وجدت العام الماضي أن 83٪ من الشركات التي شملها الاستطلاع قد فعلت ذلك أكثر من واحد خرق البيانات، 45% منها كانت مستندة إلى السحابة. ال المتوسط بلغت تكلفة اختراق البيانات في الولايات المتحدة 9.44 مليون دولار أمريكي. تم تقسيم التكاليف إلى أربع فئات تكلفة - الأعمال المفقودة، والكشف والتصعيد، والإخطار والاستجابة بعد الاختراق. (لست متأكدًا من الفئة التي تندرج فيها فدية البيانات. وليس من الواضح ما إذا كان أي من المشاركين قد دفع طلبات الفدية.) متوسط الوقت الذي تستغرقه المنظمة لتحديد خرق البيانات والاستجابة له هو حوالي 9 أشهر. ليس من المفاجئ إذن أن يكون ذلك بعد عدة أشهر من الغرب Digital اعترف لأول مرة بخرق البيانات، وما زالوا يحققون.
من الصعب تحديد عدد الشركات التي تعرضت لانتهاكات البيانات بالضبط. أعرف شركة كبيرة مملوكة للقطاع الخاص تعرضت لهجوم ببرامج الفدية. رفض أصحابها التفاوض ولم يدفعوا. وهذا يعني، بدلا من ذلك، فقدان رسائل البريد الإلكتروني وملفات البيانات. لقد اختاروا إعادة بناء كل شيء بدءًا من النسخ الاحتياطية غير المصابة وإعادة تثبيت البرنامج. كان هناك وقت توقف كبير وفقدان الإنتاجية. هذا الحدث لم يكن أبدا في وسائل الإعلام. كانت تلك الشركة محظوظة لأنها 66% من الشركات الصغيرة والمتوسطة الحجم التي تتعرض لهجوم برامج الفدية ينتهي بها الأمر بالتوقف عن العمل في غضون 6 أشهر.
- 30,000 موقع على شبكة الإنترنت اخترق يوميا
- 4 مليون ملف مسروق كل يوم
- تم تسجيل 22 مليار سجل اختراق في القرن الرابع الميلادي
إذا سبق لك التعامل مع خدمات Capital One أو Marriott أو Equifax أو Target أو Uber أو استخدام خدماتها، فمن المحتمل أن تكون كلمة المرور الخاصة بك قد تم اختراقها. عانت كل من هذه الشركات الكبرى من اختراق كبير للبيانات.
- Capital One: تمكن أحد المتسللين من الوصول إلى 100 مليون عميل ومتقدم من خلال استغلال ثغرة أمنية في البنية التحتية السحابية للشركة.
- ماريوت: أدى خرق البيانات إلى كشف معلومات عن 500 مليون عميل (لم يتم اكتشاف هذا الاختراق لمدة 4 سنوات).
- Equifax: تم الكشف عن المعلومات الشخصية في السحابة لـ 147 مليون عميل.
- الهدف: تمكن مجرمو الإنترنت من الوصول إلى 40 مليون رقم بطاقة ائتمان.
- أوبر: قام المتسللون باختراق جهاز الكمبيوتر المحمول الخاص بأحد المطورين وتمكنوا من الوصول إلى 57 مليون مستخدم و600,000 سائق.
- LastPass[1]: سرق المتسللون بيانات مخزن 33 مليون عميل في اختراق التخزين السحابي لشركة إدارة كلمات المرور هذه. تمكن المهاجم من الوصول إلى التخزين السحابي الخاص بـ Lastpass باستخدام "مفتاح الوصول إلى التخزين السحابي ومفاتيح فك تشفير حاوية التخزين المزدوجة" المسروقة من بيئة المطورين الخاصة به.
يمكنك التحقق لمعرفة ما إذا كنت قد تعرضت لاختراق بيانات على هذا الموقع: لقد تم pwned؟ اكتب عنوان بريدك الإلكتروني وسيظهر لك عدد خروقات البيانات التي تم العثور على عنوان البريد الإلكتروني فيها. على سبيل المثال، كتبت أحد عناوين بريدي الإلكتروني الشخصية ووجدت أنه كان جزءًا من 25 عملية اختراق مختلفة للبيانات، بما في ذلك Evite ودروب بوكس وأدوبي ولينكد إن وتويتر.
إحباط الخاطبين غير المرغوب فيهم
قد لا يكون هناك اعتراف علني من قبل الغرب Digital لما حدث بالضبط. توضح هذه الحادثة شيئين: البيانات الموجودة في السحابة تكون آمنة بقدر حراستها، ويجب على حراس المفاتيح أن يكونوا حذرين بشكل خاص. ولإعادة صياغة مبدأ بيتر باركر، فإن الوصول إلى الجذر يأتي مع مسؤولية كبيرة.
لنكون أكثر دقة، المستخدم الجذر والمسؤول العام ليسا متماثلين تمامًا. يتمتع كلاهما بقدر كبير من القوة ولكن يجب أن يكونا حسابين منفصلين. يمتلك المستخدم الجذر حساب السحابة الخاص بالشركة ولديه حق الوصول إليه على أدنى مستوى. على هذا النحو، يمكن لهذا الحساب حذف جميع البيانات والأجهزة الافتراضية ومعلومات العملاء - كل ما قامت الشركة بتأمينه في السحابة. في AWS، لا يوجد سوى المهام 10، بما في ذلك إعداد وإغلاق حساب AWS الخاص بك، والذي يتطلب حق الوصول إلى الجذر.
يجب إنشاء حسابات المسؤول لأداء المهام الإدارية (duh). عادةً ما تكون هناك حسابات مسؤول متعددة تعتمد عادةً على الأشخاص، على عكس الحساب الجذر الفردي. نظرًا لأن حسابات المسؤول مرتبطة بفرد، يمكنك بسهولة مراقبة من قام بإجراء التغييرات في البيئة.
أقل امتياز لأقصى قدر من الأمن
درس استطلاع خرق البيانات تأثير 28 عاملاً على خطورة خرق البيانات. كان لاستخدام أمان الذكاء الاصطناعي، ونهج DevSecOps، وتدريب الموظفين، وإدارة الهوية والوصول، والتحليلات الأمنية، تأثير إيجابي في تقليل متوسط المبلغ المفقود بالدولار في حادث ما. وحيث أن حالات فشل الامتثال، وتعقيد نظام الأمان، ونقص المهارات الأمنية، والهجرة السحابية كانت من العوامل التي ساهمت في زيادة صافي الزيادة في متوسط تكلفة اختراق البيانات. 
أثناء انتقالك إلى السحابة، يجب أن تكون أكثر يقظة من أي وقت مضى فيما يتعلق بحماية بياناتك. فيما يلي بعض الطرق الإضافية لتقليل المخاطر الخاصة بك وتشغيل بيئة أكثر أمانًا من أمن وجهة نظر:
1. المصادقة متعددة العوامل: فرض MFA للجذر وجميع حسابات المسؤول. والأفضل من ذلك، استخدام جهاز MFA مادي. لن يحتاج المتسلل المحتمل إلى اسم الحساب وكلمة المرور فحسب، بل يحتاج أيضًا إلى MFA الفعلي الذي ينشئ رمزًا متزامنًا.
2. القوة بأعداد صغيرة: تحديد من لديه حق الوصول إلى الجذر. يقترح بعض خبراء الأمن ما لا يزيد عن 3 مستخدمين. إدارة وصول المستخدم الجذر بجد. إذا قمت بتنفيذ إدارة الهوية والخروج من الخدمة في أي مكان آخر، فقم بذلك هنا. إذا ترك أحد الأشخاص في دائرة الثقة المؤسسة، فقم بتغيير كلمة مرور الجذر. قم باستعادة جهاز MFA.
3. امتيازات الحساب الافتراضية: عند توفير حسابات مستخدمين أو أدوار جديدة، تأكد من منحهم الحد الأدنى من الامتيازات بشكل افتراضي. ابدأ بسياسة الوصول البسيطة ثم امنح أذونات إضافية حسب الحاجة. مبدأ توفير أقل قدر من الأمان لإنجاز المهمة هو النموذج الذي سيجتاز معايير الامتثال الأمني SOC2. المفهوم هو أن أي مستخدم أو تطبيق يجب أن يتمتع بالحد الأدنى من الأمان المطلوب لأداء الوظيفة المطلوبة. كلما زاد الامتياز الذي تم اختراقه، زادت المخاطر. وعلى العكس من ذلك، كلما انخفض الامتياز المكشوف، قلت المخاطر.
4. امتيازات التدقيق: قم بتدقيق ومراجعة الامتيازات المخصصة للمستخدمين والأدوار والحسابات بشكل منتظم داخل البيئة السحابية الخاصة بك. وهذا يضمن أن الأفراد لديهم فقط الإذن اللازم لأداء المهام المخصصة لهم.
5. إدارة الهوية والامتيازات في الوقت المناسب: تحديد وإلغاء أي امتيازات زائدة أو غير مستخدمة لتقليل مخاطر الوصول غير المصرح به. قم بتوفير حقوق الوصول للمستخدمين فقط عندما يطلبونها لمهمة محددة أو لفترة محدودة. وهذا يقلل من مساحة الهجوم ويقلل من الفرصة المتاحة للتهديدات الأمنية المحتملة. 
6. بيانات الاعتماد المضمنة: منع الترميز الثابت للمصادقة غير المشفرة (اسم المستخدم وكلمة المرور ومفاتيح الوصول) في البرامج النصية أو المهام أو التعليمات البرمجية الأخرى. بدلاً من ذلك، انظر إلى أ مدير الأسرار التي يمكنك استخدامها لاسترداد بيانات الاعتماد برمجياً.
7. تكوين البنية التحتية كرمز (IaC).: التزم بأفضل ممارسات الأمان عند تكوين البنية الأساسية السحابية لديك باستخدام أدوات IaC مثل AWS CloudFormation أو Terraform. تجنب منح الوصول العام بشكل افتراضي وتقييد الوصول إلى الموارد للشبكات أو المستخدمين أو عناوين IP الموثوقة فقط. استخدم الأذونات الدقيقة وآليات التحكم في الوصول لفرض مبدأ الامتيازات الأقل.
8. تسجيل الإجراءات: تمكين التسجيل الشامل ومراقبة الإجراءات والأحداث داخل البيئة السحابية الخاصة بك. التقاط وتحليل السجلات بحثًا عن أي أنشطة غير عادية أو قد تكون ضارة. قم بتنفيذ حلول قوية لإدارة السجلات والمعلومات الأمنية وإدارة الأحداث (SIEM) لاكتشاف الحوادث الأمنية والاستجابة لها على الفور.
9. تقييمات الضعف المنتظمة: قم بإجراء تقييمات منتظمة لنقاط الضعف واختبار الاختراق لتحديد نقاط الضعف الأمنية في البيئة السحابية الخاصة بك. تصحيح ومعالجة أي نقاط ضعف تم تحديدها على الفور. تتبع التحديثات والتصحيحات الأمنية التي أصدرها موفر السحابة الخاص بك وتأكد من تطبيقها على الفور للحماية من التهديدات المعروفة.
10 التعليم والتدريب: تعزيز ثقافة الوعي الأمني وتوفير التدريب المنتظم للموظفين فيما يتعلق بأهمية مبدأ أقل الامتيازات. قم بتثقيفهم حول المخاطر المحتملة المرتبطة بالامتيازات المفرطة وأفضل الممارسات التي يجب اتباعها عند الوصول إلى الموارد وإدارتها داخل البيئة السحابية.
11 التصحيحات والتحديثات: تقليل نقاط الضعف عن طريق تحديث جميع برامج الخادم بانتظام. حافظ على تحديث البنية التحتية السحابية والتطبيقات المرتبطة بها للحماية من الثغرات الأمنية المعروفة. غالبًا ما يقوم موفرو الخدمات السحابية بإصدار تصحيحات وتحديثات أمنية، لذا يعد البقاء على اطلاع بتوصياتهم أمرًا بالغ الأهمية.
الثقة
يتعلق الأمر بالثقة - منح الثقة فقط للعاملين في مؤسستك لإنجاز المهام التي يتعين عليهم القيام بها لإنجاز عملهم. يوصي خبراء الأمن صفر الثقة. يعتمد نموذج أمان Zero Trust على ثلاثة مبادئ رئيسية:
- التحقق بشكل صريح - استخدم جميع نقاط البيانات المتاحة للتحقق من هوية المستخدم وإمكانية وصوله.
- استخدم الوصول الأقل امتيازًا - في الوقت المناسب وبقدر كافٍ من الأمان.
- افترض الاختراق - قم بتشفير كل شيء، واستخدم التحليلات الاستباقية وقم بالاستجابة للطوارئ.
باعتبارك مستهلكًا للخدمات السحابية والسحابية، فإن الأمر يتعلق أيضًا بالثقة. عليك أن تسأل نفسك، "هل أثق في قدرة البائع على تخزين بياناتي الثمينة في السحابة؟" الثقة، في هذه الحالة، تعني أنك تعتمد على تلك الشركة، أو ما شابهها، لإدارة الأمن كما وصفنا أعلاه. وبدلاً من ذلك، إذا كانت إجابتك بالنفي، فهل أنت مستعد لتنفيذ نفس أنواع أنشطة إدارة الأمان في بيئة منزلك؟ هل تثق بنفسك؟
باعتبارك شركة تقدم خدمات في السحابة، فقد وضع العملاء ثقتهم فيك لحماية بياناتهم في البنية التحتية السحابية الخاصة بك. إنها عملية مستمرة. ابق على اطلاع بالتهديدات الناشئة، وقم بتكييف إجراءات الأمان الخاصة بك وفقًا لذلك، وتعاون مع المتخصصين ذوي الخبرة أو المستشارين الأمنيين لضمان أقصى قدر من الحماية لشركتك في المشهد السحابي المتطور باستمرار.
- https://www.bleepingcomputer.com/news/security/lastpass-hackers-stole-customer-vault-data-in-cloud-storage-breach/ ↑
