Mluvíme o zabezpečení v cloudu

Nad expozicí

Řekněme to takhle, čeho se obáváte odhalení? Jaký je váš nejcennější majetek? Vaše číslo sociálního pojištění? Údaje o vašem bankovním účtu? Soukromé dokumenty nebo fotografie? Vaše klíčová fráze? Pokud řídíte společnost nebo jste odpovědní za úschovu dat, můžete se obávat, že budou ohroženy stejné typy informací, ale naroader měřítko. Vaši zákazníci vám svěřili ochranu jejich dat.

Jako spotřebitelé považujeme bezpečnost našich dat za samozřejmost. V dnešní době jsou data stále častěji ukládána v cloudu. Řada prodejců nabízí služby, které zákazníkům umožňují zálohovat data z jejich místních počítačů do cloudu. Představte si to jako virtuální pevný disk na obloze. Toto je inzerováno jako bezpečný a pohodlný způsob ochrany vašich dat. Pohodlné, ano. Soubor, který jste omylem smazali, můžete obnovit. Můžete obnovit celý pevný disk, jehož data byla poškozena.

Ale je to bezpečné? Máte k dispozici zámek a klíč. Klíčem je obvykle uživatelské jméno a heslo. Je zašifrovaná a znáte ji pouze vy. Bezpečnostní experti proto doporučují uchovávat heslo v bezpečí. Pokud někdo získá přístup k vašemu heslu, má virtuální klíč k vašemu virtuálnímu domu.

Tohle všechno víš. Vaše heslo do zálohovací cloudové služby je dlouhé 16 znaků, obsahuje velká a malá písmena, čísla a několik speciálních znaků. Měníte ho každých šest měsíců, protože víte, že to hackerovi ztěžuje. Liší se od vašich ostatních hesel – nepoužíváte stejné heslo pro více stránek. Co by se mohlo pokazit?

Některé společnosti nabízejí to, co označili jako „osobní cloud“. Západní Digital je jednou z těch společností, které poskytují snadný způsob zálohování dat do vašeho osobního prostoru v cloudu. Je to síťové úložiště dostupné přes internet. Připojuje se k vašemu Wi-Fi routeru, takže k němu máte přístup odkudkoli ve vaší síti. Pohodlně, protože je také připojen k internetu, můžete přistupovat ke svým osobním údajům odkudkoli na internetu. S pohodlím přichází i riziko.

Kompromisní pozice

Začátkem tohoto roku se hackeři nabourali do Western Digital's a byly schopny stáhnout přibližně 10 TB dat. Vyděrači poté drželi data za výkupné a pokusili se vyjednat dohodu severně od 10,000,000 XNUMX XNUMX USD za bezpečné vrácení dat. Data jsou jako ropa. Nebo možná zlato je lepší analogie. Jeden z hackerů hovořil pod podmínkou anonymity. Ha! TechCrunch udělal s ním rozhovor, když byl v procesu této obchodní dohody. Zajímavé je, že data, která byla kompromitována, zahrnovala západní Digitalcertifikát pro podepisování kódu. Jedná se o technologický ekvivalent skenování sítnice. Certifikát je určen k pozitivní identifikaci vlastníka nebo nositele. S tímto virtuálním skenem sítnice není pro přístup k „zabezpečeným“ datům vyžadováno žádné heslo. Jinými slovy, s tímto certifikátem může tento obchodník s černým kloboukem vejít přímo do předních dveří digital palác.

Západní Digital odmítli komentovat v reakci na tvrzení hackera, že jsou stále v síti WD. Nejmenovaný hacker vyjádřil zklamání, že zástupci společnosti Western Digital neodpověděl na jeho volání. Oficiálně v a tisková zprávaZápadní Digital oznámila, že „Na základě dosavadního vyšetřování se Společnost domnívá, že neoprávněná strana získala určitá data z jejích systémů a pracuje na tom, aby porozuměla povaze a rozsahu těchto dat.“ Takže západní Digital je máma, ale hacker blábolí. Pokud jde o to, jak to udělali, hacker popisuje, jak zneužili známá zranitelnost a byli schopni získat přístup k datům v cloudu jako globální správce.

Globální správce má podle povahy role přístup ke všemu. Nepotřebuje vaše heslo. Má hlavní klíč.

Západní Digital není sám

A přehled v loňském roce zjistilo, že 83 % dotázaných společností mělo víc než jeden narušení dat, z nichž 45 % bylo založeno na cloudu. The průměr náklady na únik dat ve Spojených státech byly 9.44 milionu USD. Náklady byly rozděleny do čtyř kategorií nákladů – ztracený obchod, detekce a eskalace, oznámení a reakce po porušení. (Nejsem si jistý, do jaké kategorie výkupné za data spadá. Není jasné, zda někdo z respondentů požadavky na výkupné zaplatil.) Průměrná doba, kterou organizace potřebuje, aby identifikovala a reagovala na únik dat, je asi 9 měsíců. Není tedy překvapením, že několik měsíců po Westernu Digital nejprve uznali únik dat, stále to vyšetřují.

Je těžké přesně říci, kolik společností mělo únik dat. Znám jednu velkou soukromou společnost, která byla napadena ransomwarem. Majitelé odmítli vyjednávat a nezaplatili. To znamenalo místo toho ztracené e-maily a datové soubory. Rozhodli se vše přestavět z neinfikovaných záloh a přeinstalovat software. Došlo ke značným prostojům a ztrátě produktivity. Tato událost nikdy nebyla v médiích. Tato společnost měla štěstí, protože 66% malé a středně velké společnosti, které jsou napadeny ransomwarem, skončí během 6 měsíců mimo provoz.

• 30,000 XNUMX webových stránek Naboural denní
• Jsou to 4 miliony souborů ukradený každý den
• bylo 22 miliard záznamů porušeno v 2021

Pokud jste někdy obchodovali nebo používali služby Capital One, Marriott, Equifax, Target nebo Uber, je možné, že vaše heslo bylo prozrazeno. Každá z těchto velkých společností utrpěla významný únik dat.

• Capital One: Hacker získal přístup ke 100 milionům zákazníků a žadatelů využitím zranitelnosti v cloudové infrastruktuře společnosti.
• Marriott: Únik dat odhalil informace o 500 milionech zákazníků (toto porušení bylo nezjištěno po dobu 4 let).
• Equifax: Byly odhaleny osobní údaje v cloudu u 147 milionů zákazníků.
• Cíl: Kyberzločinci získali přístup ke 40 milionům čísel kreditních karet.
• Uber: Hackeři kompromitovali vývojářský notebook a získali přístup k 57 milionům uživatelů a 600,000 XNUMX ovladačů.
• LastPass^[1]: Hackeři ukradli 33 milionů zákaznických dat v trezoru při porušení cloudového úložiště pro tuto společnost zabývající se správou hesel. Útočník získal přístup ke cloudovému úložišti Lastpass pomocí „přístupového klíče cloudového úložiště a dešifrovacích klíčů pro duální úložiště“ ukradených z jeho vývojářského prostředí.

Na tomto webu můžete zkontrolovat, zda jste nebyli vystaveni úniku dat: byl jsem pwned? Zadejte svou e-mailovou adresu a zobrazí se vám, v kolika únikech dat byla e-mailová adresa nalezena. Například jsem zadal jednu ze svých osobních e-mailových adres a zjistil jsem, že byla součástí 25 různých porušení zabezpečení dat, včetně Evite , Dropbox, Adobe, LinkedIn a Twitter.

Maření nechtěných nápadníků

Západ možná nikdy nedojde k veřejnému uznání Digital přesně toho, co se stalo. Incident ilustruje dvě věci: data v cloudu jsou pouze tak bezpečná, jak jsou bezpečná jejich správci a držitelé klíčů musí být obzvláště opatrní. Abychom parafrázovali princip Petera Parkera, s přístupem root přichází velká zodpovědnost.

Přesněji řečeno, uživatel root a globální správce nejsou úplně totéž. Oba mají velkou moc, ale měly by to být samostatné účty. Uživatel root vlastní a má přístup k firemnímu cloudovému účtu na nejnižší úrovni. Jako takový by tento účet mohl smazat všechna data, virtuální počítače, informace o zákaznících – vše, co má firma v cloudu zabezpečená. V AWS existují pouze 10 úkoly, včetně nastavení a uzavření vašeho účtu AWS, které skutečně vyžadují přístup root.

Účty správce by měly být vytvořeny pro provádění administrativních úkolů (duh). Obvykle existuje více účtů správce, které jsou obvykle založeny na osobě, na rozdíl od jednoho účtu root. Protože účty správce jsou vázány na jednotlivce, můžete snadno sledovat, kdo provedl jaké změny v prostředí.

Nejmenší výsada pro maximální bezpečnost

Průzkum narušení dat zkoumal dopad 28 faktorů na závažnost narušení dat. Použití zabezpečení AI, přístup DevSecOps, školení zaměstnanců, správa identit a přístupu, MFA, bezpečnostní analytika – to vše mělo pozitivní dopad na snížení průměrné částky v dolarech ztracené při incidentu. Zatímco selhání dodržování předpisů, složitost bezpečnostního systému, nedostatek bezpečnostních dovedností a migrace do cloudu byly faktory, které přispěly k vyššímu čistému nárůstu průměrných nákladů na únik dat.

Při migraci do cloudu musíte být při ochraně svých dat ostražitější než kdy jindy. Zde je několik dalších způsobů, jak snížit riziko a provozovat bezpečnější prostředí od a zabezpečení stanovisko:

1. Vícefaktorové ověření: vynutit MFA pro root a všechny administrátorské účty. Ještě lepší je použít fyzické hardwarové MFA zařízení. Potenciální hacker by potřeboval nejen název účtu a heslo, ale také fyzické MFA, které generuje synchronizovaný kód.

2. Výkon v malých číslech: Omezte, kdo má přístup ke kořenovému adresáři. Někteří bezpečnostní experti doporučují maximálně 3 uživatele. Pravidelně spravujte přístup uživatelů root. Pokud neprovádíte správu identit a off-boarding nikde jinde, udělejte to zde. Pokud někdo z okruhu důvěry opustí organizaci, změňte heslo uživatele root. Obnovte zařízení MFA.

3. Výchozí oprávnění účtu: Při zřizování nových uživatelských účtů nebo rolí zajistěte, aby jim byla ve výchozím nastavení udělena minimální oprávnění. Začněte se zásadou minimálního přístupu a poté podle potřeby udělujte další oprávnění. Princip poskytování nejmenšího zabezpečení pro splnění úkolu je model, který bude vyhovovat bezpečnostním standardům SOC2. Koncepce spočívá v tom, že každý uživatel nebo aplikace by měl mít minimální zabezpečení požadované k provedení požadované funkce. Čím vyšší je ohrožení privilegia, tím větší je riziko. A naopak, čím nižší oprávnění je vystaveno, tím nižší je riziko.

4. Auditní práva: Pravidelně kontrolujte a kontrolujte oprávnění přiřazená uživatelům, rolím a účtům ve vašem cloudovém prostředí. Tím je zajištěno, že jednotlivci mají pouze nezbytná povolení k plnění jim určených úkolů.

5. Správa identit a privilegia just-in-time: Identifikujte a zrušte všechna nadměrná nebo nepoužívaná oprávnění, abyste minimalizovali riziko neoprávněného přístupu. Přístupová práva poskytujte uživatelům pouze v případě, že je vyžadují pro konkrétní úkol nebo na omezenou dobu. Tím se minimalizuje plocha útoku a snižuje se příležitost pro potenciální bezpečnostní hrozby.

6. Vložené přihlašovací údaje: Zakázat pevné kódování nešifrovaného ověřování (uživatelské jméno, heslo, přístupové klíče) ve skriptech, úlohách nebo jiném kódu. Místo toho se podívejte do a správce tajemství které můžete použít k programovému načtení přihlašovacích údajů.

7. Konfigurace Infrastructure-as-Code (IaC).: Při konfiguraci cloudové infrastruktury pomocí nástrojů IaC, jako je AWS CloudFormation nebo Terraform, dodržujte osvědčené bezpečnostní postupy. Ve výchozím nastavení neudělujte veřejný přístup a omezte přístup ke zdrojům pouze na důvěryhodné sítě, uživatele nebo adresy IP. Využijte jemně strukturovaná oprávnění a mechanismy řízení přístupu k prosazení principu nejmenších oprávnění.

8. Protokolování akcí: Umožněte komplexní protokolování a monitorování akcí a událostí ve vašem cloudovém prostředí. Zachyťte a analyzujte protokoly pro jakékoli neobvyklé nebo potenciálně škodlivé aktivity. Implementujte robustní řešení pro správu protokolů a správu bezpečnostních informací a událostí (SIEM), abyste mohli rychle detekovat bezpečnostní incidenty a reagovat na ně.

9. Pravidelné hodnocení zranitelnosti: Provádějte pravidelné hodnocení zranitelnosti a penetrační testování, abyste zjistili slabá místa zabezpečení ve vašem cloudovém prostředí. Opravte a okamžitě opravte všechny zjištěné chyby zabezpečení. Sledujte aktualizace zabezpečení a záplaty vydané vaším poskytovatelem cloudu a zajistěte, aby byly okamžitě aplikovány na ochranu před známými hrozbami.

10. Vzdělávání a odborná příprava: Podporovat kulturu povědomí o bezpečnosti a poskytovat zaměstnancům pravidelná školení o důležitosti zásady nejmenšího privilegia. Poučte je o možných rizicích spojených s nadměrnými oprávněními a o osvědčených postupech, které je třeba dodržovat při přístupu a správě zdrojů v cloudovém prostředí.

11. Záplaty a aktualizace: Snižte zranitelnosti pravidelnou aktualizací veškerého serverového softwaru. Udržujte svou cloudovou infrastrukturu a související aplikace aktuální, abyste byli chráněni před známými zranitelnostmi. Poskytovatelé cloudu často vydávají bezpečnostní záplaty a aktualizace, takže je zásadní, aby jejich doporučení byla aktuální.

Věřte

Záleží na důvěře – poskytněte pouze těm ve vaší organizaci důvěru při plnění úkolů, které potřebují ke splnění své práce. Bezpečnostní experti doporučují Nulová důvěra. Bezpečnostní model Zero Trust je založen na třech klíčových principech:

• Ověřit explicitně – použijte všechny dostupné datové body k ověření identity a přístupu uživatele.
• Používejte přístup s nejnižšími oprávněními – právě včas a s dostatečnou bezpečností.
• Předpokládejte narušení – vše zašifrujte, využijte proaktivní analytiku a mějte připravenou reakci na mimořádné události.

Jako spotřebitel cloudu a cloudových služeb jde také o důvěru. Musíte si položit otázku: „Věřím svému dodavateli, že ukládá moje drahocenná data v cloudu?“ Důvěra v tomto případě znamená, že se spoléháte na tuto společnost nebo podobnou společnost, že bude spravovat zabezpečení, jak jsme popsali výše. Případně, pokud odpovíte záporně, jste připraveni provádět stejné typy činností správy zabezpečení ve svém domácím prostředí. důvěřuješ si?

Jako společnost poskytující služby v cloudu vám zákazníci důvěřují, že jejich data ve vaší cloudové infrastruktuře ochráníte. Je to pokračující proces. Zůstaňte informováni o nově vznikajících hrozbách, přizpůsobte odpovídajícím způsobem svá bezpečnostní opatření a spolupracujte se zkušenými profesionály nebo bezpečnostními konzultanty, abyste zajistili maximální ochranu vašeho podnikání v neustále se vyvíjejícím cloudovém prostředí.

1. https://www.bleepingcomputer.com/news/security/lastpass-hackers-stole-customer-vault-data-in-cloud-storage-breach/ ↑