Мы гаворым пра бяспеку ў воблаку

Празмерная экспазіцыя

Скажам так, што вы турбуецеся аб выкрыцці? Якія вашыя самыя каштоўныя актывы? Ваш нумар сацыяльнага страхавання? Інфармацыя аб вашым банкаўскім рахунку? Прыватныя дакументы ці фатаграфіі? Ваша крыпта-пачатковая фраза? Калі вы кіруеце кампаніяй або адказваеце за захаванне даных, вы можаце турбавацца аб тым, што тыя ж тыпы інфармацыі могуць быць скампраметаваны, але абroadэр маштаб. Вашы кліенты даверылі вам абарону іх дадзеных.

Як спажыўцы, мы ўспрымаем бяспеку нашых даных як належнае. Усё часцей у нашы дні дадзеныя захоўваюцца ў воблаку. Шэраг пастаўшчыкоў прапануе паслугі, якія дазваляюць кліентам ствараць рэзервовыя копіі дадзеных са сваіх лакальных кампутараў у воблаку. Успрымайце гэта як віртуальны жорсткі дыск у небе. Гэта рэкламуецца як бяспечны і зручны спосаб абароны вашых даных. Зручна, так. Вы можаце аднавіць файл, які вы выпадкова выдалілі. Вы можаце аднавіць увесь жорсткі дыск, дадзеныя якога былі пашкоджаныя.

Але ці бяспечна гэта? Вам прадастаўлены замок і ключ. Ключ - гэта, як правіла, імя карыстальніка і пароль. Ён зашыфраваны і вядомы толькі вам. Вось чаму эксперты па бяспецы рэкамендуюць берагчы пароль. Калі хтосьці атрымае доступ да вашага пароля, ён атрымае віртуальны ключ ад вашага віртуальнага дома.

Вы ўсё гэта ведаеце. Ваш пароль да хмарнага сэрвісу рэзервовага капіравання складаецца з 16 сімвалаў, утрымлівае вялікія і малыя літары, лічбы і пару спецыяльных сімвалаў. Вы мяняеце яго кожныя паўгода, таму што ведаеце, што хакеру будзе цяжэй. Ён адрозніваецца ад вашых іншых пароляў - вы не выкарыстоўваеце адзін і той жа пароль для некалькіх сайтаў. Што можа пайсці не так?

Некаторыя кампаніі прапануюць тое, што яны называюць «персанальным воблакам». заходні Digital з'яўляецца адной з тых кампаній, якія забяспечваюць просты спосаб рэзервовага капіявання вашых даных у вашу асабістую прастору ў воблаку. Гэта сеткавае сховішча, даступнае праз Інтэрнэт. Ён падключаецца да маршрутызатара Wi-Fi, каб вы маглі атрымаць да яго доступ з любой кропкі сеткі. Зручна, таму што ён таксама падключаны да Інтэрнэту, вы можаце атрымаць доступ да сваіх асабістых дадзеных з любой кропкі Інтэрнэту. З зручнасцю ідзе рызыка.

Кампрамісная пазыцыя

Раней у гэтым годзе хакеры ўварваліся ў Western Digitalі змаглі загрузіць каля 10 ТБ даных. Затым чорныя рассыльнікі захоўвалі дадзеныя для атрымання выкупу і спрабавалі заключыць здзелку на поўнач ад 10,000,000 XNUMX XNUMX долараў ЗША для бяспечнага вяртання дадзеных. Дадзеныя як алей. Ці, можа быць, золата - лепшая аналогія. Адзін з хакераў выказаўся на ўмовах ананімнасці. Ха! TechCrunch браў у яго інтэрв'ю, калі ён быў у працэсе гэтай дзелавой здзелкі. Цікава, што скампраметаваныя дадзеныя ўключалі і заходнія Digitalсертыфікат подпісу кода. Гэта тэхналагічны эквівалент сканавання сятчаткі вока. Пасведчанне прызначана для дакладнай ідэнтыфікацыі ўладальніка або прад'яўніка. Пры гэтым віртуальным сканаванні сятчаткі не патрабуецца пароль для доступу да «абароненых» дадзеных. Іншымі словамі, з гэтым сертыфікатам гэты бізнесмен у чорным капелюшы можа ўвайсці прама ў парадныя дзверы digital палац.

заходні Digital адмовіліся каментаваць у адказ на заявы хакера, што яны ўсё яшчэ знаходзяцца ў сетцы WD. Неназваны хакер выказаў расчараванне тым, што прадстаўнікі Western Digital не адказваў на яго званкі. Афіцыйна ў а прэс-рэліз, заходн Digital абвясціла, што «Грунтуючыся на расследаванні на сённяшні дзень, Кампанія лічыць, што несанкцыянаваны бок атрымаў пэўныя даныя з яе сістэм, і працуе над тым, каб зразумець характар ​​і аб'ём гэтых даных». Значыць, заходні Digital гэта мама, але хакер балбоча. Што тычыцца таго, як яны гэта зрабілі, хакер апісвае, як яны выкарысталі вядомыя ўразлівасці і змаглі атрымаць доступ да дадзеных у воблаку ў якасці глабальнага адміністратара.

Глабальны адміністратар па сваёй ролі мае доступ да ўсяго. Яму не патрэбны твой пароль. У яго ёсць галоўны ключ.

заходні Digital не самотны

A агляд у мінулым годзе выявілі, што 83% апытаных кампаній мелі больш чым адзін парушэнне даных, 45% з якіх былі заснаваныя на воблаку. The сярэдні кошт уцечкі дадзеных у Злучаных Штатах склаў 9.44 мільёна долараў ЗША. Выдаткі былі разбіты на чатыры катэгорыі выдаткаў — страчаны бізнес, выяўленне і эскалацыя, апавяшчэнне і рэагаванне пасля парушэнняў. (Я не ўпэўнены, да якой катэгорыі адносіцца выкуп даных. Незразумела, ці сапраўды хто-небудзь з рэспандэнтаў заплаціў патрабаванні аб выкупе.) Сярэдні час, які патрабуецца арганізацыі, каб выявіць уцечку даных і адрэагаваць на яе, складае каля 9 месяцаў. Таму нядзіўна, што праз некалькі месяцаў пасля вестэрна Digital упершыню прызнаў парушэнне даных, яны ўсё яшчэ расследуюць.

Цяжка дакладна сказаць, колькі кампаній зазналі ўцечкі дадзеных. Я ведаю адну буйную прыватную кампанію, якую атакавалі праграмы-вымагальнікі. Гаспадары адмовіліся ад перамоваў і не заплацілі. Замест гэтага гэта азначала страту лістоў і файлаў даных. Яны вырашылі аднавіць усё з незаражаных рэзервовых копій і пераўсталяваць праграмнае забеспячэнне. Былі значныя прастоі і страта прадукцыйнасці. Гэтая падзея ніколі не была ў СМІ. Гэтай кампаніі пашанцавала, таму што 66% малых і сярэдніх кампаній, якія падвяргаюцца нападам праграм-вымагальнікаў, у канчатковым выніку спыняюць сваю дзейнасць на працягу 6 месяцаў.

• 30,000 XNUMX вэб-сайтаў узламаны штодня
• 4 мільёны файлаў выкрадзены кожны дзень
• 22 мільярды запісаў было парушанага у 2021

Калі вы калі-небудзь вялі бізнес або карысталіся паслугамі Capital One, Marriott, Equifax, Target або Uber, магчыма, ваш пароль быў узламаны. Кожная з гэтых буйных кампаній пацярпела ад сур'ёзнай уцечкі дадзеных.

• Capital One: хакер атрымаў доступ да 100 мільёнаў кліентаў і заяўнікаў, выкарыстоўваючы ўразлівасць у воблачнай інфраструктуры кампаніі.
• Marriott: уцечка дадзеных раскрыла інфармацыю аб 500 мільёнах кліентаў (гэтая ўцечка заставалася незаўважанай на працягу 4 гадоў).
• Equifax: асабістая інфармацыя ў воблаку 147 мільёнаў кліентаў была выкрыта.
• Мэта: кіберзлачынцы атрымалі доступ да 40 мільёнаў нумароў крэдытных карт.
• Uber: Хакеры скампраметавалі ноўтбук распрацоўшчыка і атрымалі доступ да 57 мільёнаў карыстальнікаў і 600,000 XNUMX кіроўцаў.
• LastPass^[1]: Хакеры скралі даныя 33 мільёнаў кліентаў у сховішчах у выніку ўзлому воблачнага сховішча для гэтай кампаніі па кіраванні паролямі. Зламыснік атрымаў доступ да воблачнага сховішча Lastpass з дапамогай «ключа доступу да воблачнага сховішча і ключоў дэшыфравання падвойнага кантэйнера захоўвання», скрадзеных з асяроддзя распрацоўшчыка.

Вы можаце праверыць, ці былі вы выкрыты ў выніку парушэння даных, на гэтым сайце: я быў Ганьба? Увядзіце свой адрас электроннай пошты, і ён пакажа вам, у колькіх парушэннях дадзеных быў знойдзены адрас электроннай пошты. Напрыклад, я ўвёў адзін са сваіх асабістых адрасоў электроннай пошты і выявіў, што ён быў часткай 25 розных парушэнняў даных, у тым ліку Evite , Dropbox, Adobe, LinkedIn і Twitter.

Перашкода непажаданым жаніхам

Магчыма, ніколі не будзе публічнага прызнання з боку Захаду Digital менавіта таго, што адбылося. Гэты інцыдэнт ілюструе дзве рэчы: даныя ў воблаку бяспечныя настолькі, наколькі іх захавальнікі, і захавальнікі ключоў павінны быць асабліва асцярожнымі. Калі перафразаваць прынцып Пітэра Паркера, каранёвы доступ прадугледжвае вялікую адказнасць.

Калі быць больш дакладным, каранёвы карыстальнік і глабальны адміністратар - гэта не адно і тое ж. Абодва маюць вялікую ўладу, але павінны быць асобнымі ўліковымі запісамі. Карыстальнік root валодае і мае доступ да карпаратыўнага воблачнага ўліковага запісу на самым нізкім узроўні. Такім чынам, гэты ўліковы запіс можа выдаліць усе даныя, віртуальныя машыны, інфармацыю аб кліентах - усё, што кампанія захавала ў воблаку. У AWS ёсць толькі задачы 10, у тым ліку наладжванне і закрыццё ўліковага запісу AWS, якія сапраўды патрабуюць каранёвага доступу.

Уліковыя запісы адміністратара павінны быць створаны для выканання адміністрацыйных задач (дух). Звычайна існуе некалькі ўліковых запісаў адміністратара, якія звычайна з'яўляюцца персанальнымі, у адрозненне ад аднаго каранёвага ўліковага запісу. Паколькі ўліковыя запісы адміністратара прывязаны да асобы, вы можаце лёгка кантраляваць, хто ўнёс якія змены ў асяроддзе.

Найменшыя прывілеі для максімальнай бяспекі

Апытанне ўцечкі даных вывучаў уплыў 28 фактараў на сур'ёзнасць уцечкі даных. Выкарыстанне бяспекі штучнага інтэлекту, падыход DevSecOps, навучанне супрацоўнікаў, кіраванне ідэнтыфікацыяй і доступам, МЗС, аналітыка бяспекі - усё гэта аказала станоўчы ўплыў на зніжэнне сярэдняй сумы страт у доларах у выніку інцыдэнту. У той час як збоі ў адпаведнасці, складанасць сістэмы бяспекі, недахоп навыкаў бяспекі і міграцыя ў воблака былі фактарамі, якія спрыялі больш высокаму чыстаму павелічэнню сярэдняга кошту ўцечкі даных.

Калі вы пераходзіце ў воблака, вам трэба быць больш пільнымі, чым калі-небудзь, у абароне вашых даных. Вось некалькі дадатковых спосабаў знізіць рызыку і стварыць больш бяспечнае асяроддзе ад a бяспеку пункт гледжання:

1. Шматфактарная аўтэнтыфікацыя: прымусова выконваць MFA для root і ўсіх уліковых запісаў адміністратара. Яшчэ лепш выкарыстоўваць фізічную апаратную прыладу MFA. Патэнцыйнаму хакеру спатрэбіцца не толькі імя ўліковага запісу і пароль, але і фізічны MFA, які генеруе сінхранізаваны код.

2. Сіла ў невялікіх колькасцях: Абмежаванне доступу да root. Некаторыя эксперты па бяспецы рэкамендуюць не больш за 3 карыстальнікаў. Старанна кіруйце доступам каранёвага карыстальніка. Калі вы выконваеце кіраванне ідэнтыфікацыяй і не працуеце нідзе больш, зрабіце гэта тут. Калі адзін з давераных членаў пакідае арганізацыю, змяніце пароль root. Аднавіць прыладу MFA.

3. Прывілеі ўліковага запісу па змаўчанні: Пры стварэнні новых уліковых запісаў карыстальнікаў або роляў пераканайцеся, што ім па змаўчанні прадастаўлены мінімальныя прывілеі. Пачніце з палітыкі мінімальнага доступу, а потым дайце дадатковыя дазволы пры неабходнасці. Прынцып забеспячэння найменшай бяспекі для выканання задачы - гэта мадэль, якая будзе адпавядаць стандартам бяспекі SOC2. Канцэпцыя заключаецца ў тым, што любы карыстальнік або праграма павінны мець мінімальную бяспеку, неабходную для выканання неабходнай функцыі. Чым вышэй прывілей, які парушаны, тым большая рызыка. І наадварот, чым меншая прывілея, тым меншая рызыка.

4. Аўдытарскія прывілеі: Рэгулярна правярайце і праглядайце прывілеі, прызначаныя карыстальнікам, ролям і ўліковым запісам у вашым воблачным асяроддзі. Гэта гарантуе, што людзі маюць толькі неабходны дазвол для выканання сваіх прызначаных задач.

5. Кіраванне ідэнтыфікацыяй і своечасовыя прывілеі: Вызначце і адклікайце любыя празмерныя або нявыкарыстаныя прывілеі, каб мінімізаваць рызыку несанкцыянаванага доступу. Прадастаўляйце правы доступу карыстальнікам толькі тады, калі яны патрэбныя для выканання пэўнай задачы або на абмежаваны перыяд. Гэта мінімізуе паверхню атакі і памяншае акно магчымасцей для патэнцыйных пагроз бяспецы.

6. Убудаваныя ўліковыя дадзеныя: Забараніць жорсткае кадзіраванне незашыфраванай аўтэнтыфікацыі (імя карыстальніка, пароль, ключы доступу) у сцэнарыях, заданнях або іншым кодзе. Замест гэтага паглядзіце на a менеджэр сакрэтаў які вы можаце выкарыстоўваць для праграмнага атрымання ўліковых даных.

7. Канфігурацыя інфраструктуры як кода (IaC).: прытрымлівайцеся перадавых практык бяспекі пры канфігурацыі воблачнай інфраструктуры з дапамогай такіх інструментаў IaC, як AWS CloudFormation або Terraform. Пазбягайце прадастаўлення публічнага доступу па змаўчанні і абмяжоўвайце доступ да рэсурсаў толькі давераным сеткам, карыстальнікам або IP-адрасам. Выкарыстоўвайце дэталёвыя дазволы і механізмы кантролю доступу, каб забяспечыць захаванне прынцыпу найменшых прывілеяў.

8. Запіс дзеянняў: Уключыце поўную рэгістрацыю і маніторынг дзеянняў і падзей у вашым воблачным асяроддзі. Захоп і аналіз часопісаў для любых незвычайных або патэнцыйна шкоднасных дзеянняў. Укараняйце надзейныя рашэнні для кіравання часопісамі і бяспекі інфармацыі і падзей (SIEM), каб выяўляць і рэагаваць на інцыдэнты бяспекі аператыўна.

9. Рэгулярныя ацэнкі ўразлівасці: Выконвайце рэгулярныя ацэнкі ўразлівасцяў і тэставанне на пранікненне, каб выявіць слабыя месцы бяспекі ў вашым воблачным асяроддзі. Аператыўна выпраўляйце і выпраўляйце любыя выяўленыя ўразлівасці. Сачыце за абнаўленнямі бяспекі і патчамі, выпушчанымі вашым пастаўшчыком воблака, і пераканайцеся, што яны прымяняюцца неадкладна для абароны ад вядомых пагроз.

10. Адукацыя і навучанне: Развіваць культуру інфармаванасці аб бяспецы і забяспечваць рэгулярнае навучанне супрацоўнікаў адносна важнасці прынцыпу найменшых прывілеяў. Раскажыце ім аб патэнцыйных рызыках, звязаных з празмернымі прывілеямі, і аб лепшых практыках, якіх трэба прытрымлівацца пры доступе і кіраванні рэсурсамі ў воблачным асяроддзі.

11. Патчы і абнаўленні: Паменшыце ўразлівасці, рэгулярна абнаўляючы ўсё сервернае праграмнае забеспячэнне. Падтрымлівайце сваю воблачную інфраструктуру і звязаныя праграмы ў актуальным стане для абароны ад вядомых уразлівасцяў. Воблачныя пастаўшчыкі часта выпускаюць патчы бяспекі і абнаўленні, таму заставацца ў курсе іх рэкамендацый вельмі важна.

давер

Гэта зводзіцца да даверу - прадастаўлення даверу толькі тым, хто ў вашай арганізацыі, для выканання задач, якія яны павінны зрабіць, каб зрабіць сваю працу. Эксперты па бяспецы рэкамендуюць Нулявы давер. Мадэль бяспекі Zero Trust заснавана на трох ключавых прынцыпах:

• Праверыць яўна - выкарыстоўваць усе даступныя пункты даных для праверкі асобы карыстальніка і доступу.
• Выкарыстоўвайце доступ з найменшымі прывілеямі - як раз своечасова і дастаткова бяспекі.
• Выкажам здагадку парушэнне - зашыфруйце ўсё, выкарыстоўвайце праактыўную аналітыку і арганізуйце экстранае рэагаванне.

Як спажывец воблака і воблачных сэрвісаў, гэта таксама зводзіцца да даверу. Вы павінны спытаць сябе: "Ці давяраю я свайму пастаўшчыку захоўваць мае каштоўныя даныя ў воблаку?" Давер у дадзеным выпадку азначае, што вы давяраеце гэтай кампаніі ці падобнай ёй у кіраванні бяспекай, як мы апісалі вышэй. У якасці альтэрнатывы, калі вы адкажаце адмоўна, ці гатовыя вы выконваць тыя ж віды дзейнасці па кіраванні бяспекай у вашым хатнім асяроддзі. Вы давяраеце сабе?

Як кампаніі, якая прадастаўляе паслугі ў воблаку, кліенты давяраюць вам, каб абараніць іх даныя ў вашай воблачнай інфраструктуры. Гэта бесперапынны працэс. Будзьце ў курсе новых пагроз, адпаведна адаптуйце свае меры бяспекі і супрацоўнічайце з вопытнымі прафесіяналамі або кансультантамі па бяспецы, каб забяспечыць максімальную абарону вашага бізнесу ў воблачным ландшафце, які пастаянна развіваецца.

1. https://www.bleepingcomputer.com/news/security/lastpass-hackers-stole-customer-vault-data-in-cloud-storage-breach/ ↑