Rydym yn sôn am ddiogelwch yn y cwmwl

Gor-amlygiad

Gadewch i ni ei roi fel hyn, beth ydych chi'n poeni am ddatgelu? Beth yw eich asedau mwyaf gwerthfawr? Eich Rhif Nawdd Cymdeithasol? Gwybodaeth eich cyfrif banc? Dogfennau preifat, neu ffotograffau? Eich ymadrodd hadau crypto? Os ydych chi'n rheoli cwmni, neu'n gyfrifol am gadw data'n ddiogel, efallai y byddwch chi'n poeni y bydd yr un mathau o wybodaeth yn cael eu peryglu, ond ar abroader raddfa. Mae eich cwsmeriaid wedi ymddiried i chi i ddiogelu eu data.

Fel defnyddwyr, rydym yn cymryd diogelwch ein data yn ganiataol. Yn fwy a mwy aml y dyddiau hyn mae'r data hwnnw'n cael ei storio yn y cwmwl. Mae nifer o werthwyr yn cynnig gwasanaethau sy'n galluogi cwsmeriaid i wneud copi wrth gefn o ddata o'u cyfrifiaduron lleol i'r cwmwl. Meddyliwch amdano fel gyriant caled rhithwir yn yr awyr. Mae hyn yn cael ei hysbysebu fel ffordd ddiogel a chyfleus o ddiogelu eich data. Cyfleus, ie. Gallwch adfer ffeil rydych chi wedi'i dileu'n ddamweiniol. Gallwch adfer gyriant caled cyfan y mae ei ddata wedi'i lygru.

Ond a yw'n ddiogel? Rhoddir clo ac allwedd i chi. Yr allwedd, fel arfer, yw enw defnyddiwr a chyfrinair. Mae wedi'i amgryptio ac yn hysbys i chi yn unig. Dyna pam mae arbenigwyr diogelwch yn argymell cadw'ch cyfrinair yn ddiogel. Os bydd rhywun yn cael mynediad at eich cyfrinair, mae ganddyn nhw'r allwedd rithwir i'ch rhith dŷ.

Rydych chi'n gwybod hyn i gyd. Mae eich cyfrinair i'r gwasanaeth cwmwl wrth gefn yn 16 nod o hyd, yn cynnwys prif lythrennau a llythrennau bach, rhifau a chwpl o nodau arbennig. Rydych chi'n ei newid bob chwe mis oherwydd eich bod chi'n gwybod bod hynny'n ei gwneud hi'n anoddach i'r haciwr. Mae'n wahanol i'ch cyfrineiriau eraill - nid ydych chi'n defnyddio'r un cyfrinair ar gyfer sawl gwefan. Beth allai fynd o'i le?

Mae rhai cwmnïau'n cynnig yr hyn maen nhw wedi'i frandio fel “Cwmwl Personol.” Gorllewinol Digital yn un o'r cwmnïau hynny sy'n darparu ffordd hawdd i wneud copi wrth gefn o'ch data i'ch gofod personol mewn cwmwl. Mae ei storfa rhwydwaith ar gael dros y rhyngrwyd. Mae'n plygio i mewn i'ch llwybrydd Wi-Fi fel y gallwch gael mynediad iddo o unrhyw le y tu mewn i'ch rhwydwaith. Yn gyfleus, oherwydd ei fod hefyd wedi'i gysylltu â'r rhyngrwyd, gallwch gael mynediad i'ch data personol o unrhyw le ar y rhyngrwyd. Gyda chyfleustra daw risg.

Sefyllfa Gyfaddawdol

Yn gynharach eleni, torrodd hacwyr i mewn i Western Digital's systemau ac yn gallu llwytho i lawr tua 10 Tb o ddata. Yna daliodd y postwyr du y data am bridwerth a cheisio negodi bargen i'r gogledd o US $ 10,000,000 ar gyfer dychwelyd y data yn ddiogel. Mae data fel olew. Neu efallai fod aur yn gyfatebiaeth well. Siaradodd un o'r hacwyr ar gyflwr anhysbysrwydd. Ha! TechCrunch ei gyfweld tra roedd yn y broses o gyflawni'r cytundeb busnes hwn. Yr hyn sy'n ddiddorol yw bod y data a gyfaddawdwyd yn cynnwys Western Digitaltystysgrif arwyddo cod. Mae hyn yn gyfwerth yn dechnolegol â sgan retina. Bwriad y dystysgrif yw adnabod y perchennog neu'r deiliad yn gadarnhaol. Gyda'r sgan retina rhithwir hwn, nid oes angen cyfrinair i gael mynediad at ddata "diogel". Mewn geiriau eraill, gyda'r dystysgrif hon gall y dyn busnes het ddu hon gerdded i'r dde yn nrws ffrynt y digital palas.

Western Digital gwrthod gwneud sylw mewn ymateb i honiadau'r haciwr eu bod yn dal i fod yn rhwydwaith WD. Mynegodd yr haciwr dienw siom bod cynrychiolwyr yn Western Digital na fyddai'n dychwelyd ei alwadau. Yn swyddogol, mewn a Datganiad i'r wasg, Gorllewinol Digital cyhoeddi, “Yn seiliedig ar yr ymchwiliad hyd yma, mae’r Cwmni’n credu bod y parti anawdurdodedig wedi cael data penodol o’i systemau ac yn gweithio i ddeall natur a chwmpas y data hwnnw.” Felly, Gorllewinol Digital yn fam, ond mae'r haciwr yn blabbing. O ran sut y gwnaethant hynny, mae'r haciwr yn disgrifio sut y gwnaethant fanteisio ar wendidau hysbys a llwyddo i gael mynediad at ddata yn y cwmwl fel gweinyddwr byd-eang.

Mae gan weinyddwr byd-eang, yn ôl natur y rôl, fynediad i bopeth. Nid oes angen eich cyfrinair arno. Mae ganddo'r allwedd meistr.

Western Digital Nid yw'n Unig

A arolwg y llynedd canfuwyd bod 83% o'r cwmnïau a arolygwyd wedi cael mwy nag un torri data, gyda 45% ohonynt yn seiliedig ar gwmwl. Mae'r cyfartaledd cost torri data yn yr Unol Daleithiau oedd US$9.44 miliwn. Rhannwyd costau yn bedwar categori cost - colli busnes, canfod ac uwchgyfeirio, hysbysu ac ymateb ar ôl torri amodau. (Dydw i ddim yn siŵr ym mha gategori mae'r pridwerth data. Nid yw'n glir a wnaeth unrhyw un o'r ymatebwyr dalu gofynion pridwerth). Nid yw'n syndod, felly, bod sawl mis ar ôl Western Digital cydnabod yn gyntaf doriad data, maent yn dal i ymchwilio.

Mae'n anodd dweud yn union faint o gwmnïau sydd wedi cael toriadau data. Gwn am un cwmni mawr preifat yr ymosodwyd arno gan ransomware. Gwrthododd y perchnogion drafod ac nid oeddent yn talu. Roedd hynny'n golygu, yn lle hynny, colli negeseuon e-bost a ffeiliau data. Fe wnaethant ddewis ailadeiladu popeth o gopïau wrth gefn heb eu heintio ac ailosod meddalwedd. Roedd llawer o amser segur a chynhyrchiant coll. Nid oedd y digwyddiad hwn erioed yn y cyfryngau. Roedd y cwmni hwnnw'n lwcus oherwydd 66% o gwmnïau bach a chanolig yr ymosodir arnynt gan ransomware yn mynd i’r wal yn y pen draw o fewn 6 mis.

• Mae 30,000 o wefannau hacio bob dydd
• Mae 4 miliwn o ffeiliau yn dwyn bob dydd
• Roedd 22 biliwn o gofnodion torri yn 2021

Os ydych chi erioed wedi gwneud busnes gyda, neu wedi defnyddio gwasanaethau Capital One, Marriott, Equifax, Target neu Uber, mae'n bosibl bod eich cyfrinair wedi'i beryglu. Dioddefodd pob un o'r cwmnïau mawr hyn doriad data sylweddol.

• Capital One: Cafodd haciwr fynediad i 100 miliwn o gwsmeriaid ac ymgeiswyr trwy fanteisio ar fregusrwydd yn seilwaith cwmwl y cwmni.
• Marriott: Datgelodd toriad data wybodaeth am 500 miliwn o gwsmeriaid (ni chafodd y toriad hwn ei ganfod am 4 blynedd).
• Equifax: Datgelwyd gwybodaeth bersonol yn y cwmwl am 147 miliwn o gwsmeriaid.
• Targed: Cafodd seiberdroseddwyr fynediad at 40 miliwn o rifau cerdyn credyd.
• Uber: Cyfaddawdodd hacwyr gliniadur datblygwr a chael mynediad i 57 miliwn o ddefnyddwyr a 600,000 o yrwyr.
• LastPass^[1]: Fe wnaeth hacwyr ddwyn 33 miliwn o ddata claddgell cwsmeriaid mewn toriad storio cwmwl ar gyfer y cwmni rheolwr cyfrinair hwn. Cafodd yr ymosodwr fynediad i storfa cwmwl Lastpass gan ddefnyddio “allwedd mynediad storio cwmwl ac allweddi dadgryptio cynhwysydd storio deuol” wedi'u dwyn o'i amgylchedd datblygwr.

Gallwch wirio i weld a ydych wedi cael eich datgelu mewn toriad data ar y wefan hon: ydw i wedi fy nhynnu? Teipiwch eich cyfeiriad e-bost a bydd yn dangos i chi faint o doriadau data y mae'r cyfeiriad e-bost wedi'i ganfod ynddynt. Er enghraifft, teipiais un o fy nghyfeiriadau e-bost personol a chanfod ei fod wedi bod yn rhan o 25 o wahanol achosion o dorri data, gan gynnwys Evite , Dropbox, Adobe, LinkedIn a Twitter.

Rhwystro Siwtoriaid Diangen

Efallai na fydd byth gydnabyddiaeth gyhoeddus gan Western Digital o beth yn union ddigwyddodd. Mae'r digwyddiad yn dangos dau beth: nid yw data yn y cwmwl ond mor ddiogel â'i geidwaid ac mae angen i geidwaid yr allweddi fod yn arbennig o ofalus. I aralleirio Egwyddor Peter Parker, gyda mynediad gwraidd daw cyfrifoldeb mawr.

I fod yn fwy manwl gywir, nid yw defnyddiwr gwraidd a gweinyddwr byd-eang yn union yr un peth. Mae gan y ddau lawer o bŵer ond dylent fod yn gyfrifon ar wahân. Mae'r defnyddiwr gwraidd yn berchen ar ac yn cael mynediad i'r cyfrif cwmwl corfforaethol ar y lefel isaf. O'r herwydd, gallai'r cyfrif hwn ddileu'r holl ddata, VMs, gwybodaeth cwsmeriaid - popeth y mae busnes wedi'i sicrhau yn y cwmwl. Yn AWS, dim ond Tasgau 10, gan gynnwys sefydlu a chau eich cyfrif AWS, sydd wir angen mynediad gwraidd.

Dylid creu cyfrifon gweinyddwr i gyflawni tasgau gweinyddol (duh). Fel arfer mae cyfrifon Gweinyddwr lluosog sydd fel arfer yn seiliedig ar yr unigolyn, yn wahanol i'r cyfrif gwraidd sengl. Gan fod cyfrifon Gweinyddwr yn gysylltiedig ag unigolyn, gallwch yn hawdd fonitro pwy wnaeth pa newidiadau yn yr amgylchedd.

Braint Leiaf ar gyfer Diogelwch Mwyaf

Astudiodd yr arolwg torri data effaith 28 o ffactorau ar ddifrifoldeb toriad data. Cafodd y defnydd o ddiogelwch AI, dull DevSecOps, hyfforddiant gweithwyr, rheoli hunaniaeth a mynediad, MFA, dadansoddeg diogelwch i gyd effaith gadarnhaol wrth leihau swm y ddoler ar gyfartaledd a gollwyd mewn digwyddiad. Tra, roedd methiannau cydymffurfio, cymhlethdod system ddiogelwch, prinder sgiliau diogelwch, a mudo cwmwl yn ffactorau a gyfrannodd at gynnydd net uwch yng nghost gyfartalog toriad data.

Wrth i chi fudo i'r cwmwl, mae angen i chi fod yn fwy gwyliadwrus nag erioed wrth amddiffyn eich data. Dyma rai ffyrdd ychwanegol o leihau eich risg a rhedeg amgylchedd mwy diogel rhag a diogelwch safbwynt:

1. Dilysu aml-ffactor: gorfodi MFA ar gyfer cyfrifon gwraidd a holl gyfrifon Gweinyddwr. Hyd yn oed yn well, defnyddiwch ddyfais MFA caledwedd corfforol. Byddai angen nid yn unig enw'r cyfrif a'r cyfrinair ar haciwr posibl, ond hefyd yr MFA ffisegol sy'n cynhyrchu cod cydamserol.

2. Pŵer mewn niferoedd bach: Cyfyngu pwy sydd â mynediad i'r gwraidd. Mae rhai arbenigwyr diogelwch yn awgrymu dim mwy na 3 defnyddiwr. Rheoli mynediad defnyddiwr gwraidd yn ddiwyd. Os ydych chi'n gweithredu rheolaeth hunaniaeth ac oddi ar y bwrdd yn unman arall, gwnewch hynny yma. Os bydd un yn y cylch ymddiriedaeth yn gadael y sefydliad, newidiwch y cyfrinair gwraidd. Adfer y ddyfais MFA.

3. Breintiau Cyfrif Rhagosodedig: Wrth ddarparu cyfrifon neu rolau defnyddwyr newydd, sicrhewch eu bod yn cael y breintiau lleiaf posibl yn ddiofyn. Dechreuwch â pholisi mynediad lleiaf posibl ac yna rhowch ganiatâd ychwanegol yn ôl yr angen. Mae'r egwyddor o ddarparu'r diogelwch lleiaf i gyflawni tasg yn fodel a fydd yn pasio safonau cydymffurfio diogelwch SOC2. Y cysyniad yw y dylai fod gan unrhyw ddefnyddiwr neu raglen y diogelwch lleiaf sydd ei angen i gyflawni'r swyddogaeth ofynnol. Po uchaf yw'r fraint a gyfaddawdir, y mwyaf yw'r risg. I'r gwrthwyneb, po isaf yw'r fraint a ddatgelir, yr isaf yw'r risg.

4. Breintiau Archwilio: Archwiliwch ac adolygwch y breintiau a roddir i ddefnyddwyr, rolau a chyfrifon yn eich amgylchedd cwmwl yn rheolaidd. Mae hyn yn sicrhau mai dim ond y caniatâd angenrheidiol sydd gan unigolion i gyflawni eu tasgau dynodedig.

5. Rheoli Hunaniaeth a Breintiau Mewn Union Bryd: Nodi a dirymu unrhyw freintiau gormodol neu breintiau nas defnyddiwyd i leihau'r risg o fynediad heb awdurdod. Rhowch hawliau mynediad i ddefnyddwyr dim ond pan fydd eu hangen arnynt ar gyfer tasg benodol neu gyfnod cyfyngedig. Mae hyn yn lleihau'r wyneb ymosodiad ac yn lleihau'r ffenestr cyfleoedd ar gyfer bygythiadau diogelwch posibl.

6. Cymhwyster wedi'i fewnosod: Gwahardd codio caled dilysu heb ei amgryptio (enw defnyddiwr, cyfrinair, allweddi mynediad) mewn sgriptiau, swyddi, neu god arall. Yn hytrach edrychwch i mewn i a rheolwr cyfrinachau y gallwch eu defnyddio i adalw tystlythyrau yn rhaglennol.

7. Ffurfweddiad Isadeiledd-yn-Cod (IaC).: Cadw at arferion gorau diogelwch wrth ffurfweddu eich seilwaith cwmwl gan ddefnyddio offer IaC fel AWS CloudFormation neu Terraform. Osgoi caniatáu mynediad cyhoeddus yn ddiofyn a chyfyngu mynediad at adnoddau i rwydweithiau, defnyddwyr neu gyfeiriadau IP y gellir ymddiried ynddynt yn unig. Defnyddio caniatâd manwl a mecanweithiau rheoli mynediad i orfodi egwyddor y fraint leiaf.

8. Cofnodi Gweithredoedd: Galluogi logio a monitro cynhwysfawr o gamau gweithredu a digwyddiadau yn eich amgylchedd cwmwl. Cipio a dadansoddi logiau ar gyfer unrhyw weithgareddau anarferol neu a allai fod yn faleisus. Gweithredu datrysiadau rheoli log a gwybodaeth diogelwch a rheoli digwyddiadau (SIEM) cadarn i ganfod ac ymateb i ddigwyddiadau diogelwch yn brydlon.

9. Asesiadau Agored i Niwed Rheolaidd: Perfformiwch asesiadau bregusrwydd rheolaidd a phrofion treiddiad i nodi gwendidau diogelwch yn amgylchedd eich cwmwl. Clytio ac adfer unrhyw wendidau a nodwyd yn brydlon. Cadwch olwg ar ddiweddariadau diogelwch a chlytiau a ryddhawyd gan eich darparwr cwmwl a sicrhewch eu bod yn cael eu cymhwyso'n brydlon i amddiffyn rhag bygythiadau hysbys.

10. Addysg a Hyfforddiant: Hyrwyddo diwylliant o ymwybyddiaeth o ddiogelwch a darparu hyfforddiant rheolaidd i weithwyr ar bwysigrwydd egwyddor y fraint leiaf. Addysgu nhw am y risgiau posibl sy'n gysylltiedig â breintiau gormodol a'r arferion gorau i'w dilyn wrth gyrchu a rheoli adnoddau o fewn amgylchedd y cwmwl.

11. Clytiau a Diweddariadau: Lleihau gwendidau trwy ddiweddaru holl feddalwedd y gweinydd yn rheolaidd. Cadwch eich seilwaith cwmwl a chymwysiadau cysylltiedig yn gyfredol i amddiffyn rhag gwendidau hysbys. Mae darparwyr cwmwl yn aml yn rhyddhau clytiau diogelwch a diweddariadau, felly mae cadw'n gyfredol â'u hargymhellion yn hanfodol.

Ymddiriedolaeth

Mae'n dibynnu ar ymddiriedaeth - darparu'r ymddiriedolaeth i'r rhai yn eich sefydliad yn unig i gyflawni'r tasgau y mae angen iddynt eu gwneud i gyflawni eu gwaith. Mae arbenigwyr diogelwch yn argymell Ymddiriedolaeth Dim. Mae model diogelwch Zero Trust yn seiliedig ar dair egwyddor allweddol:

• Dilysu'n benodol – defnyddiwch yr holl bwyntiau data sydd ar gael i ddilysu hunaniaeth a mynediad defnyddiwr.
• Defnyddiwch y mynediad lleiaf breintiedig - mewn pryd a dim ond digon o ddiogelwch.
• Cymryd tor-amod - amgryptio popeth, defnyddio dadansoddeg ragweithiol a chael ymateb brys yn ei le.

Fel defnyddiwr y cwmwl a gwasanaethau cwmwl, mae hefyd yn dibynnu ar ymddiriedaeth. Mae'n rhaid i chi ofyn i chi'ch hun, "a ydw i'n ymddiried yn fy ngwerthwr i storio fy nata gwerthfawr yn y cwmwl?" Mae ymddiriedaeth, yn yr achos hwn, yn golygu eich bod yn dibynnu ar y cwmni hwnnw, neu un tebyg, i reoli diogelwch fel yr ydym wedi'i ddisgrifio uchod. Fel arall, os ydych chi'n ateb yn negyddol, a ydych chi'n barod i berfformio'r un mathau o weithgarwch rheoli diogelwch yn amgylchedd eich cartref. Ydych chi'n ymddiried yn eich hun?

Fel cwmni sy'n darparu gwasanaethau yn y cwmwl, mae cwsmeriaid wedi ymddiried ynoch chi i ddiogelu eu data yn eich seilwaith cwmwl. Mae’n broses barhaus. Arhoswch yn wybodus am fygythiadau sy'n dod i'r amlwg, addaswch eich mesurau diogelwch yn unol â hynny, a chydweithiwch â gweithwyr proffesiynol profiadol neu ymgynghorwyr diogelwch i sicrhau'r amddiffyniad gorau posibl i'ch busnes yn y dirwedd cwmwl sy'n esblygu'n barhaus.

1. https://www.bleepingcomputer.com/news/security/lastpass-hackers-stole-customer-vault-data-in-cloud-storage-breach/ ↑