Estem parlant de seguretat al núvol

Exposició excessiva

Diguem-ho així, què et preocupa exposar? Quins són els teus actius més valuosos? El vostre número de seguretat social? La informació del vostre compte bancari? Documents privats o fotografies? La teva frase de llavor de cripto? Si gestioneu una empresa o sou responsable de la conservació de les dades, és possible que us preocupeu que es comprometi el mateix tipus d'informació, però en abroadaquesta escala. Els vostres clients us han confiat la protecció de les seves dades.

Com a consumidors, donem per feta la seguretat de les nostres dades. Cada dia més sovint les dades s'emmagatzemen al núvol. Diversos venedors ofereixen serveis que permeten als clients fer còpies de seguretat de les dades dels seus ordinadors locals al núvol. Penseu en això com un disc dur virtual al cel. Això s'anuncia com una manera segura i còmoda de protegir les vostres dades. Convenient, sí. Podeu recuperar un fitxer que hàgiu suprimit accidentalment. Podeu restaurar un disc dur sencer les dades del qual estiguin malmeses.

Però és segur? Tens un pany i clau. La clau és, normalment, un nom d'usuari i una contrasenya. Està encriptat i només el coneixeu. És per això que els experts en seguretat recomanen mantenir la contrasenya segura. Si algú accedeix a la teva contrasenya, té la clau virtual de la teva casa virtual.

Tu saps tot això. La vostra contrasenya per al servei de còpia de seguretat al núvol té 16 caràcters, conté lletres majúscules i minúscules, números i un parell de caràcters especials. Ho canvies cada sis mesos perquè saps que això fa que sigui més difícil per al pirata informàtic. És diferent de les vostres altres contrasenyes: no feu servir la mateixa contrasenya per a diversos llocs. Què podria sortir malament?

Algunes empreses ofereixen el que han qualificat com a "núvol personal". Occidental Digital és una d'aquelles empreses que ofereixen una manera fàcil de fer còpies de seguretat de les vostres dades al vostre espai personal en un núvol. És un emmagatzematge en xarxa disponible a Internet. Es connecta al vostre encaminador Wi-Fi perquè pugueu accedir-hi des de qualsevol lloc de la vostra xarxa. De manera convenient, com que també està connectat a Internet, podeu accedir a les vostres dades personals des de qualsevol lloc d'Internet. Amb la comoditat ve el risc.

Una posició compromesa

A principis d'aquest any, els pirates informàtics van irrompre a Western Digitalsistemes de 's i van poder descarregar aproximadament 10 Tb de dades. Aleshores, els enviadors de correu negre van guardar les dades per obtenir un rescat i van intentar negociar un acord al nord de 10,000,000 de dòlars per a la devolució segura de les dades. Les dades són com el petroli. O potser l'or és una millor analogia. Un dels pirates informàtics va parlar sota condició de l'anonimat. Ha! TechCrunch el va entrevistar mentre estava en procés d'aquest acord comercial. El que és interessant és que les dades que es van comprometre incloïen Western Digitalcertificat de signatura de codi de. Aquest és l'equivalent tecnològic d'una exploració de la retina. El certificat pretén identificar positivament el propietari o el portador. Amb aquesta exploració de la retina virtual, no es requereix cap contrasenya per accedir a les dades "assegurades". És a dir, amb aquest certificat aquest home de negocis de barret negre pot entrar directament per la porta principal del digital palau.

Occidental Digital es va negar a comentar en resposta a les afirmacions del pirata informàtic que encara estaven a la xarxa de WD. El pirata informàtic sense nom va expressar la decepció que els representants de Western Digital no retornaria les seves trucades. Oficialment, en a el comunicat de premsa, Occidental Digital va anunciar que "A partir de la investigació fins ara, la companyia creu que la part no autoritzada va obtenir determinades dades dels seus sistemes i està treballant per entendre la naturalesa i l'abast d'aquestes dades". Així, occidental Digital és mare, però el pirata informàtic està xerrant. Pel que fa a com ho van fer, el pirata informàtic descriu com van explotar les vulnerabilitats conegudes i van poder accedir a les dades al núvol com a administrador global.

Un administrador global, per naturalesa del rol, té accés a tot. No necessita la teva contrasenya. Té la clau mestra.

Occidental Digital no està sol

A estudi l'any passat es va trobar que el 83% de les empreses enquestades ho havien fet més d'un violació de dades, el 45% de les quals es van basar en núvol. El average el cost d'una violació de dades als Estats Units va ser de 9.44 milions de dòlars. Els costos es van dividir en quatre categories de costos: negoci perdut, detecció i escalada, notificació i resposta posterior a l'incompliment. (No estic segur de quina categoria es troba el rescat de dades. No està clar si algun dels enquestats va pagar les demandes de rescat.) El temps mitjà que triga una organització a identificar i respondre a una violació de dades és d'uns 9 mesos. No és una sorpresa, doncs, que diversos mesos després de Western Digital primer van reconèixer una violació de dades, encara estan investigant.

És difícil dir exactament quantes empreses han tingut infraccions de dades. Conec una gran empresa privada que va ser atacada per ransomware. Els propietaris es van negar a negociar i no van pagar. Això significava, en canvi, la pèrdua de correus electrònics i fitxers de dades. Van optar per reconstruir-ho tot, des de còpies de seguretat no infectades i reinstal·lar programari. Hi va haver un temps d'inactivitat important i una pèrdua de productivitat. Aquest esdeveniment mai va sortir als mitjans. Aquesta empresa va tenir sort perquè 66% de les petites i mitjanes empreses que són atacades per ransomware acaben perdent el negoci en 6 mesos.

• Hi ha 30,000 llocs web hacker diari
• 4 milions de fitxers són robat cada dia
• 22 mil milions de registres van ser violat en 2021

Si alguna vegada has fet negocis amb Capital One, Marriott, Equifax, Target o Uber o has utilitzat els serveis, és possible que la teva contrasenya estigui compromesa. Cadascuna d'aquestes grans empreses va patir una important violació de dades.

• Capital One: un pirata informàtic va obtenir accés a 100 milions de clients i sol·licitants aprofitant una vulnerabilitat a la infraestructura del núvol de l'empresa.
• Marriott: una violació de dades va exposar informació sobre 500 milions de clients (aquesta incompliment no es va detectar durant 4 anys).
• Equifax: es va exposar informació personal al núvol de 147 milions de clients.
• Objectiu: els ciberdelinqüents van accedir a 40 milions de números de targetes de crèdit.
• Uber: els pirates informàtics van comprometre l'ordinador portàtil d'un desenvolupador i van obtenir accés a 57 milions d'usuaris i 600,000 controladors.
• LastPass^[1]: Els pirates informàtics van robar les dades de la caixa de seguretat de 33 milions de clients en una violació d'emmagatzematge al núvol d'aquesta empresa gestora de contrasenyes. L'atacant va obtenir accés a l'emmagatzematge al núvol de Lastpass mitjançant una "clau d'accés a l'emmagatzematge al núvol i claus de desxifrat de contenidors d'emmagatzematge dual" robades del seu entorn de desenvolupador.

Podeu comprovar si heu estat exposats a una violació de dades en aquest lloc web: m'han empès? Escriviu la vostra adreça de correu electrònic i us mostrarà quantes infraccions de dades s'ha trobat l'adreça de correu electrònic. Per exemple, vaig escriure una de les meves adreces de correu electrònic personals i vaig trobar que havia format part de 25 incompliments de dades diferents, inclòs Evite. , Dropbox, Adobe, LinkedIn i Twitter.

frustrant els pretendents no desitjats

Potser mai hi haurà un reconeixement públic per part de Western Digital del que va passar exactament. L'incident il·lustra dues coses: les dades al núvol són tan segures com els seus responsables i els que tenen les claus han de tenir especial cura. Parafrasejant el principi de Peter Parker, l'accés root comporta una gran responsabilitat.

Per ser més precisos, un usuari root i un administrador global no són exactament el mateix. Tots dos tenen molt poder, però haurien de ser comptes separats. L'usuari root és propietari i té accés al compte de núvol corporatiu al nivell més baix. Com a tal, aquest compte podria suprimir totes les dades, les màquines virtuals, la informació del client, tot el que una empresa ha assegurat al núvol. A AWS només n'hi ha Tasques 10, inclosa la configuració i el tancament del vostre compte d'AWS, que realment requereixen accés root.

Els comptes d'administrador s'han de crear per realitzar tasques administratives (duh). Normalment hi ha diversos comptes d'administrador que solen estar basats en persones, a diferència del compte root únic. Com que els comptes d'administrador estan vinculats a una persona, podeu controlar fàcilment qui ha fet quins canvis a l'entorn.

Mínim privilegi per a la màxima seguretat

L'enquesta d'incompliment de dades va estudiar l'impacte de 28 factors en la gravetat d'una violació de dades. L'ús de la seguretat de l'IA, un enfocament DevSecOps, la formació dels empleats, la gestió d'identitats i accés, l'MFA, l'anàlisi de seguretat van tenir un impacte positiu en la reducció de la quantitat mitjana de dòlars perduda en un incident. Mentre que, els errors de compliment, la complexitat del sistema de seguretat, l'escassetat d'habilitats de seguretat i la migració al núvol van ser factors que van contribuir a un augment net més gran del cost mitjà d'una violació de dades.

A mesura que migreu al núvol, heu d'estar més atents que mai per protegir les vostres dades. A continuació, es mostren algunes maneres addicionals de reduir el risc i executar un entorn més segur des d'a seguretat punt de vista:

1. Autenticació multifactor: aplicar MFA per a l'arrel i tots els comptes d'administrador. Encara millor, utilitzeu un dispositiu MFA de maquinari físic. Un pirata informàtic potencial necessitaria no només el nom i la contrasenya del compte, sinó també l'MFA físic que genera un codi sincronitzat.

2. Potència en petit nombre: Limiteu qui té accés a l'arrel. Alguns experts en seguretat suggereixen que no hi hagi més de 3 usuaris. Gestioneu l'accés dels usuaris root de manera assidua. Si executeu la gestió d'identitats i l'embarcament en cap altre lloc, feu-ho aquí. Si algú del cercle de confiança abandona l'organització, canvieu la contrasenya d'arrel. Recupereu el dispositiu MFA.

3. Privilegis del compte per defecte: Quan proveïu nous comptes d'usuari o rols, assegureu-vos que se'ls concedeixen privilegis mínims de manera predeterminada. Comenceu amb una política d'accés mínim i, a continuació, concediu permisos addicionals segons sigui necessari. El principi de proporcionar la menor seguretat per dur a terme una tasca és un model que superarà els estàndards de compliment de seguretat SOC2. El concepte és que qualsevol usuari o aplicació ha de tenir la seguretat mínima necessària per realitzar la funció requerida. Com més gran sigui el privilegi compromès, més gran serà el risc. Per contra, com més baix sigui el privilegi exposat, menor serà el risc.

4. Privilegis d'auditoria: Reviseu i reviseu regularment els privilegis assignats als usuaris, rols i comptes al vostre entorn de núvol. Això garanteix que les persones només tinguin el permís necessari per dur a terme les tasques designades.

5. Gestió de la identitat i privilegis just-in-time: Identifiqueu i revoqueu els privilegis excessius o no utilitzats per minimitzar el risc d'accés no autoritzat. Només proporcioneu drets d'accés als usuaris quan els requereixin per a una tasca concreta o per un període limitat. Això minimitza la superfície d'atac i redueix la finestra d'oportunitat per a possibles amenaces de seguretat.

6. Credencials incrustades: Prohibeu la codificació dura de l'autenticació sense xifrar (nom d'usuari, contrasenya, claus d'accés) en scripts, treballs o altres codis. En comptes d'això, mira a gestor de secrets que podeu utilitzar per recuperar les credencials mitjançant programació.

7. Configuració de la infraestructura com a codi (IaC).: compliu les millors pràctiques de seguretat quan configureu la vostra infraestructura de núvol mitjançant eines d'IaC com AWS CloudFormation o Terraform. Eviteu concedir accés públic de manera predeterminada i restringiu l'accés als recursos només a xarxes, usuaris o adreces IP de confiança. Utilitzeu permisos detallats i mecanismes de control d'accés per fer complir el principi de privilegis mínims.

8. Registre d'accions: habiliteu el registre i el seguiment complets d'accions i esdeveniments dins del vostre entorn de núvol. Captureu i analitzeu els registres per detectar activitats inusuals o potencialment malicioses. Implementeu solucions sòlides de gestió de registres i informació de seguretat i gestió d'esdeveniments (SIEM) per detectar i respondre a incidents de seguretat ràpidament.

9. Avaluacions periòdiques de vulnerabilitat: Realitzeu avaluacions periòdiques de vulnerabilitats i proves de penetració per identificar les debilitats de seguretat del vostre entorn al núvol. Apliqueu i solucioneu les vulnerabilitats identificades ràpidament. Feu un seguiment de les actualitzacions de seguretat i dels pedaços publicats pel vostre proveïdor de núvol i assegureu-vos que s'apliquen ràpidament per protegir-vos de les amenaces conegudes.

10. Educació i Formació: Promoure una cultura de consciència de seguretat i oferir formació regular als empleats sobre la importància del principi de privilegis mínims. Eduqueu-los sobre els riscos potencials associats amb privilegis excessius i les millors pràctiques a seguir a l'hora d'accedir i gestionar recursos dins de l'entorn del núvol.

11. Pedaços i actualitzacions: Reduïu les vulnerabilitats actualitzant regularment tot el programari del servidor. Manteniu la vostra infraestructura de núvol i les aplicacions associades actualitzades per protegir-vos de les vulnerabilitats conegudes. Els proveïdors de núvol sovint publiquen pedaços i actualitzacions de seguretat, de manera que mantenir-se al dia amb les seves recomanacions és crucial.

Confia

Es redueix a la confiança: proporcionar només a les persones de la vostra organització la confiança per dur a terme les tasques que han de fer per fer la seva feina. Els experts en seguretat recomanen Confiança Zero. El model de seguretat Zero Trust es basa en tres principis clau:

• Verifiqueu explícitament: utilitzeu tots els punts de dades disponibles per validar la identitat i l'accés d'un usuari.
• Utilitzeu l'accés amb menys privilegis, just a temps i amb la seguretat suficient.
• Assumiu l'incompliment: encripteu-ho tot, utilitzeu analítiques proactives i tingueu una resposta d'emergència al seu lloc.

Com a consumidor del núvol i serveis al núvol, també es redueix a la confiança. Us heu de preguntar: "Confio en el meu proveïdor per emmagatzemar les meves precioses dades al núvol?" La confiança, en aquest cas, vol dir que confieu en aquesta empresa, o en una d'aquestes, per gestionar la seguretat tal com hem descrit anteriorment. Alternativament, si responeu negativament, esteu preparat per dur a terme els mateixos tipus d'activitats de gestió de seguretat al vostre entorn domèstic. Confies en tu mateix?

Com a empresa que ofereix serveis al núvol, els clients han dipositat la seva confiança en tu per salvaguardar les seves dades a la teva infraestructura de núvol. És un procés en curs. Manteniu-vos informat sobre les amenaces emergents, adapteu les vostres mesures de seguretat en conseqüència i col·laboreu amb professionals o consultors de seguretat amb experiència per garantir la màxima protecció per al vostre negoci en el panorama del núvol en constant evolució.

1. https://www.bleepingcomputer.com/news/security/lastpass-hackers-stole-customer-vault-data-in-cloud-storage-breach/ ↑