Говорим за сигурност в облака

Прекомерна експозиция

Нека го кажем така, какво се притеснявате от излагането? Кои са вашите най-ценни активи? Вашият социалноосигурителен номер? Информация за вашата банкова сметка? Лични документи или снимки? Вашата крипто начална фраза? Ако управлявате компания или отговаряте за съхранението на данните, може да се притеснявате, че едни и същи видове информация ще бъдат компрометирани, но на абroadер мащаб. Вашите клиенти са ви поверили защитата на техните данни.

Като потребители ние приемаме сигурността на нашите данни за даденост. Все по-често тези дни данните се съхраняват в облака. Редица доставчици предлагат услуги, които позволяват на клиентите да архивират данни от локалните си компютри в облака. Представете си го като виртуален твърд диск в небето. Това се рекламира като безопасен и удобен начин за защита на вашите данни. Удобно, да. Можете да възстановите файл, който случайно сте изтрили. Можете да възстановите цял твърд диск, чиито данни са били повредени.

Но безопасно ли е? Осигурени сте с ключалка и ключ. Ключът обикновено е потребителско име и парола. Той е криптиран и известен само на вас. Ето защо експертите по сигурността препоръчват да пазите паролата си сигурна. Ако някой получи достъп до вашата парола, той разполага с виртуалния ключ за вашата виртуална къща.

Вие знаете всичко това. Вашата парола за резервната облачна услуга е дълга 16 знака, съдържа главни и малки букви, цифри и няколко специални знака. Сменяте го на всеки шест месеца, защото знаете, че това прави по-трудно за хакера. Тя е различна от другите ви пароли – не използвате една и съща парола за няколко сайта. Какво може да се обърка?

Някои компании предлагат това, което са нарекли „персонален облак“. западен Digital е една от онези компании, които предоставят лесен начин за архивиране на вашите данни в личното ви пространство в облак. Това е мрежово хранилище, достъпно през интернет. Включва се във вашия Wi-Fi рутер, така че да имате достъп до него от всяко място във вашата мрежа. Удобно, тъй като е свързано и с интернет, можете да получите достъп до личните си данни от всяко място в интернет. С удобството идва рискът.

Компромисна позиция

По-рано тази година хакери проникнаха в Western Digitalсистемите на и успяха да изтеглят приблизително 10 Tb данни. След това разпространителите на черни поща задържаха данните за откуп и се опитаха да договорят сделка на север от 10,000,000 XNUMX XNUMX щатски долара за безопасно връщане на данните. Данните са като маслото. Или може би златото е по-добра аналогия. Един от хакерите говори при условие за анонимност. ха! TechCrunch интервюира го, докато той беше в процеса на тази бизнес сделка. Интересното е, че данните, които бяха компрометирани, включваха западни Digitalсертификат за подписване на код. Това е технологичният еквивалент на сканиране на ретината. Сертификатът има за цел да идентифицира положително собственика или приносителя. С това виртуално сканиране на ретината не се изисква парола за достъп до „защитени“ данни. С други думи, с този сертификат този бизнесмен с черна шапка може да влезе направо през входната врата на digital дворец.

Западен Digital отказа да коментира в отговор на твърденията на хакера, че все още са в мрежата на WD. Неназованият хакер изрази разочарование, че представителите на Western Digital не отговаряше на обажданията му. Официално в а съобщение за печата, Западен Digital обяви, че „Въз основа на разследването до момента Компанията вярва, че неупълномощената страна е получила определени данни от нейните системи и работи, за да разбере естеството и обхвата на тези данни.“ И така, Западен Digital е мама, но хакерът дрънка. Що се отнася до това как са го направили, хакерът описва как са използвали известни уязвимости и са успели да получат достъп до данни в облака като глобален администратор.

Глобалният администратор, по естеството на ролята, има достъп до всичко. Той не се нуждае от вашата парола. Той има главния ключ.

Западен Digital не е сам

A изследване миналата година установи, че 83% от анкетираните компании са имали повече от един нарушение на данните, 45% от които са базирани на облак. The среден цената на нарушение на данните в Съединените щати беше 9.44 милиона щатски долара. Разходите бяха разделени на четири категории разходи — загубен бизнес, откриване и ескалация, уведомяване и реакция след нарушение. (Не съм сигурен в коя категория е откупът за данни. Не е ясно дали някой от респондентите е платил искания за откуп.) Средното време, необходимо на една организация да идентифицира и реагира на нарушение на данните, е около 9 месеца. Тогава не е изненада, че няколко месеца след Western Digital първи призна за нарушение на данните, те все още разследват.

Трудно е да се каже точно колко компании са имали нарушения на данните. Познавам една голяма частна компания, която беше атакувана от ransomware. Собствениците отказаха да преговарят и не платиха. Вместо това това означаваше загуба на имейли и файлове с данни. Те избраха да възстановят всичко от незаразени архиви и преинсталиране на софтуер. Имаше значителни прекъсвания и загуба на производителност. Това събитие никога не е било в медиите. Тази компания имаше късмет, защото 66% на малки и средни компании, които са атакувани от ransomware, в крайна сметка спират да работят в рамките на 6 месеца.

• 30,000 XNUMX уебсайта са хакнат ежедневно
• 4 милиона файла са откраднат всеки ден
• 22 милиарда записа бяха нарушено в 2021

Ако някога сте правили бизнес с или сте използвали услугите на Capital One, Marriott, Equifax, Target или Uber, е възможно паролата ви да е била компрометирана. Всяка от тези големи компании претърпя значително нарушение на данните.

• Capital One: Хакер получи достъп до 100 милиона клиенти и кандидати, като се възползва от уязвимост в облачната инфраструктура на компанията.
• Marriott: Пробив в данните разкри информация за 500 милиона клиенти (това нарушение остана неоткрито в продължение на 4 години).
• Equifax: Личната информация в облака за 147 милиона клиенти беше разкрита.
• Цел: Киберпрестъпниците са получили достъп до 40 милиона номера на кредитни карти.
• Uber: Хакери компрометираха лаптопа на разработчика и получиха достъп до 57 милиона потребители и 600,000 XNUMX шофьори.
• LastPass^[1]: Хакери откраднаха данни от трезора на 33 милиона клиенти при пробив в облачно хранилище за тази компания за управление на пароли. Нападателят получи достъп до облачното хранилище на Lastpass, използвайки „ключ за достъп до облачно хранилище и ключове за дешифриране на двоен контейнер за съхранение“, откраднат от неговата среда за разработчици.

Можете да проверите дали сте били изложени на нарушение на сигурността на данните на този уебсайт: аз бях настроен? Въведете своя имейл адрес и той ще ви покаже в колко нарушения на данните е открит имейл адресът. Например, въведох един от моите лични имейл адреси и открих, че той е бил част от 25 различни нарушения на данните, включително Evite , Dropbox, Adobe, LinkedIn и Twitter.

Осуетяване на нежелани ухажори

Може никога да няма публично признание от Запада Digital от това, което точно се случи. Инцидентът наистина илюстрира две неща: данните в облака са толкова сигурни, колкото и техните пазители и пазителите на ключовете трябва да бъдат особено внимателни. Ако перифразираме принципа на Питър Паркър, root достъпът носи голяма отговорност.

За да бъдем по-точни, root потребител и глобален администратор не са съвсем едно и също. И двете имат голяма сила, но трябва да бъдат отделни акаунти. Потребителят root притежава и има достъп до корпоративния облачен акаунт на най-ниското ниво. Като такъв, този акаунт може да изтрие всички данни, виртуални машини, информация за клиенти – всичко, което бизнесът е защитил в облака. В AWS има само 10 задачи, включително настройка и затваряне на вашия AWS акаунт, които наистина изискват root достъп.

Администраторските акаунти трябва да бъдат създадени за изпълнение на административни задачи (дух). Обикновено има множество администраторски акаунти, които обикновено са базирани на хора, за разлика от единичния root акаунт. Тъй като акаунтите на администратора са обвързани с отделно лице, можете лесно да наблюдавате кой какви промени е направил в средата.

Най-малко привилегии за максимална сигурност

Проучването за нарушаване на данните изследва влиянието на 28 фактора върху сериозността на нарушение на данните. Използването на AI сигурност, подход DevSecOps, обучение на служители, управление на самоличността и достъпа, MFA, анализи на сигурността, всичко това имаше положително въздействие за намаляване на средната сума в долари, загубена при инцидент. Като има предвид, че грешките в съответствието, сложността на системата за сигурност, недостигът на умения за сигурност и миграцията в облак бяха фактори, които допринесоха за по-голямо нетно увеличение на средната цена на нарушение на данните.

Докато мигрирате към облака, трябва да бъдете по-бдителни от всякога в защитата на вашите данни. Ето някои допълнителни начини да намалите риска и да управлявате по-безопасна среда от a сигурност гледна точка:

1. Многофакторно удостоверяване: прилагане на MFA за root и всички акаунти на администратор. Дори по-добре, използвайте физическо хардуерно MFA устройство. Потенциален хакер ще се нуждае не само от името на акаунта и паролата, но и от физическия MFA, който генерира синхронизиран код.

2. Сила в малки количества: Ограничете кой има достъп до root. Някои експерти по сигурността препоръчват не повече от 3 потребители. Управлявайте усърдно root потребителския достъп. Ако изпълнявате управление на идентичността и излизане от борда никъде другаде, направете го тук. Ако някой от кръга на доверие напусне организацията, променете паролата на root. Възстановете MFA устройството.

3. Привилегии на акаунта по подразбиране: Когато осигурявате нови потребителски акаунти или роли, уверете се, че им се предоставят минимални привилегии по подразбиране. Започнете с политика за минимален достъп и след това дайте допълнителни разрешения, ако е необходимо. Принципът за осигуряване на най-малка сигурност за изпълнение на задача е модел, който ще премине стандартите за съответствие на сигурността на SOC2. Концепцията е, че всеки потребител или приложение трябва да има минималната сигурност, необходима за изпълнение на изискваната функция. Колкото по-висока е привилегията, която е компрометирана, толкова по-голям е рискът. Обратно, колкото по-ниска е изложената привилегия, толкова по-нисък е рискът.

4. Привилегии за одит: Редовно проверявайте и преглеждайте привилегиите, присвоени на потребители, роли и акаунти във вашата облачна среда. Това гарантира, че лицата имат само необходимото разрешение за изпълнение на определените от тях задачи.

5. Управление на самоличността и привилегии точно навреме: Идентифицирайте и отменете всички прекомерни или неизползвани привилегии, за да сведете до минимум риска от неоторизиран достъп. Предоставяйте права за достъп на потребителите само когато те ги изискват за конкретна задача или за ограничен период. Това минимизира повърхността на атаката и намалява възможностите за потенциални заплахи за сигурността.

6. Вградени идентификационни данни: Забранете твърдото кодиране на некриптирана автентификация (потребителско име, парола, ключове за достъп) в скриптове, задачи или друг код. Вместо това погледнете в a мениджър на тайни които можете да използвате за програмно извличане на идентификационни данни.

7. Конфигурация на инфраструктурата като код (IaC).: Придържайте се към най-добрите практики за сигурност, когато конфигурирате вашата облачна инфраструктура с помощта на IaC инструменти като AWS CloudFormation или Terraform. Избягвайте предоставянето на публичен достъп по подразбиране и ограничавайте достъпа до ресурси само до надеждни мрежи, потребители или IP адреси. Използвайте фини разрешения и механизми за контрол на достъпа, за да наложите принципа на най-малко привилегии.

8. Регистриране на действия: Разрешете цялостно регистриране и наблюдение на действия и събития във вашата облачна среда. Заснемане и анализиране на регистрационни файлове за всякакви необичайни или потенциално злонамерени дейности. Внедрете стабилно управление на регистрационни файлове и решения за управление на информация и събития за сигурност (SIEM), за да откривате и реагирате на инциденти със сигурността незабавно.

9. Редовни оценки на уязвимостта: Извършвайте редовни оценки на уязвимостта и тестове за проникване, за да идентифицирате слабостите в сигурността във вашата облачна среда. Незабавно коригирайте и коригирайте всички открити уязвимости. Проследявайте актуализациите и корекциите за сигурност, пуснати от вашия доставчик на облак, и се уверете, че те се прилагат незабавно, за да се предпазите от известни заплахи.

10. Образование и обучение: Насърчаване на култура на осъзнаване на сигурността и осигуряване на редовно обучение на служителите относно важността на принципа на най-малката привилегия. Обучете ги за потенциалните рискове, свързани с прекомерните привилегии и най-добрите практики, които да следват при достъп и управление на ресурси в облачната среда.

11. Корекции и актуализации: Намалете уязвимостите чрез редовно актуализиране на целия сървърен софтуер. Поддържайте вашата облачна инфраструктура и свързаните приложения актуални, за да се предпазите от известни уязвимости. Облачните доставчици често пускат корекции за сигурност и актуализации, така че да бъдете в течение с техните препоръки е от решаващо значение.

Доверие

Всичко се свежда до доверие – предоставяне на доверие само на тези във вашата организация за изпълнение на задачите, които трябва да извършат, за да си свършат работата. Експертите по сигурността препоръчват Нулево доверие. Моделът за сигурност Zero Trust се основава на три ключови принципа:

• Потвърдете изрично – използвайте всички налични точки от данни, за да потвърдите самоличността и достъпа на потребителя.
• Използвайте достъп с най-малко привилегии – точно навреме и достатъчно сигурност.
• Предположете нарушение – шифровайте всичко, използвайте проактивен анализ и разполагайте с спешна реакция.

Като потребител на облака и облачните услуги, това също се свежда до доверие. Трябва да се запитате „имам ли доверие на моя доставчик да съхранява ценните ми данни в облака?“ Доверието в този случай означава, че разчитате на тази компания или друга подобна на нея да управлява сигурността, както описахме по-горе. Като алтернатива, ако отговорите отрицателно, готови ли сте да извършвате същите видове дейности по управление на сигурността във вашата домашна среда. Вярвате ли си?

Като компания, предоставяща услуги в облака, клиентите ви се довериха, за да защитите техните данни във вашата облачна инфраструктура. Това е непрекъснат процес. Бъдете информирани за възникващи заплахи, адаптирайте мерките си за сигурност по съответния начин и си сътрудничете с опитни професионалисти или консултанти по сигурността, за да осигурите най-добрата защита за вашия бизнес в непрекъснато развиващия се облачен пейзаж.

1. https://www.bleepingcomputer.com/news/security/lastpass-hackers-stole-customer-vault-data-in-cloud-storage-breach/ ↑