Estamos a falar de seguridade na nube

Sobre exposición

Digamos así, que che preocupa expor? Cales son os teus activos máis valiosos? O teu número de seguridade social? A información da túa conta bancaria? Documentos privados ou fotografías? A túa frase semente criptográfica? Se xestiona unha empresa ou é responsable da custodia dos datos, pode preocuparse de que se vexa comprometida o mesmo tipo de información, peroroada escala. Os teus clientes confiaronche a protección dos seus datos.

Como consumidores, damos por sentada a seguridade dos nosos datos. Cada vez son máis frecuentes estes días que os datos almacénanse na nube. Varios provedores ofrecen servizos que permiten aos clientes facer copias de seguridade dos datos dos seus ordenadores locais na nube. Pense nel como un disco duro virtual no ceo. Anúnciase como unha forma segura e cómoda de protexer os seus datos. Conveniente, si. Podes recuperar un ficheiro que eliminaches accidentalmente. Podes restaurar un disco duro enteiro cuxos datos foron corrompidos.

Pero é seguro? Proporcionache unha pechadura e chave. A clave é, normalmente, un nome de usuario e un contrasinal. Está cifrado e só vostede o coñece. É por iso que os expertos en seguridade recomendan manter o contrasinal seguro. Se alguén accede ao teu contrasinal, ten a chave virtual da túa casa virtual.

Vostede sabe todo isto. O teu contrasinal para o servizo de copia de seguranza na nube ten 16 caracteres, contén letras maiúsculas e minúsculas, números e un par de caracteres especiais. Cámbiao cada seis meses porque sabes que iso dificulta o hacker. É diferente dos teus outros contrasinais: non usas o mesmo contrasinal para varios sitios. Que podería saír mal?

Algunhas empresas ofrecen o que denominaron como unha "nube persoal". occidental Digital é unha desas empresas que ofrecen un xeito sinxelo de facer unha copia de seguridade dos seus datos no seu espazo persoal nunha nube. É o almacenamento en rede dispoñible a través de Internet. Conéctase ao teu enrutador wifi para que poidas acceder a el desde calquera lugar da túa rede. Como é conveniente, porque tamén está conectado a Internet, podes acceder aos teus datos persoais desde calquera lugar de Internet. Coa comodidade vén o risco.

Unha posición comprometida

A principios deste ano, os piratas informáticos entraron en Western Digital's sistemas e puideron descargar aproximadamente 10 Tb de datos. Os correos negros mantiveron entón os datos para pedir un rescate e intentaron negociar un acordo ao norte de 10,000,000 de dólares para a devolución segura dos datos. Os datos son como o petróleo. Ou quizais o ouro sexa unha mellor analoxía. Un dos hackers falou baixo condición de anonimato. Ha! TechCrunch entrevistouno mentres estaba no proceso deste acordo comercial. O interesante é que os datos que se comprometeron incluían occidentais Digitalcertificado de sinatura de código. Este é o equivalente tecnolóxico dunha exploración da retina. O certificado ten como finalidade identificar positivamente o propietario ou portador. Con esta exploración da retina virtual, non se require ningún contrasinal para acceder aos datos "seguros". Noutras palabras, con este certificado este empresario de sombreiro negro pode entrar directamente pola porta de entrada do digital pazo.

Occidental Digital negouse a comentar en resposta ás afirmacións do hacker de que aínda estaban na rede de WD. O hacker anónimo expresou a súa decepción por que os representantes de Western Digital non devolvería as súas chamadas. Oficialmente, nun Press Release, Occidental Digital anunciou que, "Basándose na investigación ata a data, a Compañía cre que a parte non autorizada obtivo certos datos dos seus sistemas e está a traballar para comprender a natureza e o alcance deses datos". Entón, occidental Digital é nai, pero o hacker está a balbucear. En canto a como o fixeron, o hacker describe como explotaron as vulnerabilidades coñecidas e puideron acceder aos datos na nube como administrador global.

Un administrador global, pola natureza da función, ten acceso a todo. Non precisa o teu contrasinal. Ten a chave mestra.

Occidental Digital non está só

A inspecciona o ano pasado comprobou que o 83% das empresas enquisadas tiñan máis que un violación de datos, o 45% das cales estaban baseadas na nube. O media O custo dunha violación de datos nos Estados Unidos foi de 9.44 millóns de dólares. Os custos dividíronse en catro categorías de custos: negocio perdido, detección e escalada, notificación e resposta posterior á infracción. (Non estou seguro en que categoría se atopa o rescate de datos. Non está claro se algún dos entrevistados pagou as solicitudes de rescate.) O tempo medio que tarda unha organización en identificar e responder a unha violación de datos é duns 9 meses. Non é unha sorpresa, entón, que varios meses despois de Western Digital primeiro recoñeceron unha violación de datos, aínda están investigando.

É difícil dicir exactamente cantas empresas sufriron violacións de datos. Coñezo unha gran empresa privada que foi atacada por ransomware. Os propietarios negáronse a negociar e non pagaron. Iso significou, en cambio, perder correos electrónicos e ficheiros de datos. Elixiron reconstruír todo desde copias de seguridade non infectadas e reinstalar software. Houbo un tempo de inactividade significativo e unha perda de produtividade. Este evento nunca chegou aos medios. Esa empresa tivo sorte porque 66% de pequenas e medianas empresas que son atacadas por ransomware acaban quebrando en 6 meses.

• 30,000 sitios web son hackear diario
• 4 millóns de ficheiros son roubo todos os días
• 22 millóns de rexistros foron incumpriu en 2021

Se algunha vez fixeches negocios ou utilizaches os servizos de Capital One, Marriott, Equifax, Target ou Uber, é posible que o teu contrasinal estivese en perigo. Cada unha destas grandes empresas sufriu unha importante violación de datos.

• Capital One: un hacker accedeu a 100 millóns de clientes e solicitantes ao explotar unha vulnerabilidade da infraestrutura na nube da empresa.
• Marriott: unha violación de datos expuxo información sobre 500 millóns de clientes (esta violación non se detectou durante 4 anos).
• Equifax: expuse información persoal na nube de 147 millóns de clientes.
• Obxectivo: os cibercriminales accederon a 40 millóns de números de tarxetas de crédito.
• Uber: os piratas informáticos comprometeron o portátil dun programador e accederon a 57 millóns de usuarios e 600,000 controladores.
• LastPass^[1]: Os piratas informáticos roubaron os datos da bóveda de 33 millóns de clientes nunha violación do almacenamento na nube para esta empresa de xestión de contrasinais. O atacante accedeu ao almacenamento na nube de Lastpass mediante unha "chave de acceso ao almacenamento na nube e chaves de descifrado de contedores de almacenamento dual" roubadas do seu contorno de desenvolvedor.

Podes comprobar se estivo exposto a unha violación de datos neste sitio web: estiven pwned? Escribe o teu enderezo de correo electrónico e mostrarache en cantas violacións de datos se atopou o enderezo de correo electrónico. Por exemplo, escribín un dos meus enderezos de correo electrónico persoais e descubrín que formara parte de 25 violacións de datos diferentes, incluído Evite. , Dropbox, Adobe, LinkedIn e Twitter.

Frustrar pretendientes non desexados

Pode que nunca haxa un recoñecemento público por parte de Western Digital do que pasou exactamente. O incidente ilustra dúas cousas: os datos na nube só son tan seguros como os seus responsables e os encargados das chaves deben ter especial coidado. Parafraseando o Principio de Peter Parker, o acceso root supón unha gran responsabilidade.

Para ser máis precisos, un usuario root e un administrador global non son exactamente o mesmo. Ambos teñen moito poder pero deberían ser contas separadas. O usuario root posúe e ten acceso á conta na nube corporativa no nivel máis baixo. Como tal, esta conta podería eliminar todos os datos, máquinas virtuales e información do cliente, todo o que unha empresa protexeu na nube. En AWS, só hai Tarefas 10, incluíndo a configuración e o peche da súa conta de AWS, que realmente requiren acceso root.

As contas de administrador deben crearse para realizar tarefas administrativas (duh). Normalmente hai varias contas de administrador que adoitan estar baseadas en persoas, a diferenza da conta raíz única. Dado que as contas de administrador están vinculadas a un individuo, pode supervisar facilmente quen fixo que cambios no ambiente.

Menos privilexios para a máxima seguridade

A enquisa sobre violación de datos estudou o impacto de 28 factores sobre a gravidade dunha violación de datos. O uso da seguridade da intelixencia artificial, un enfoque DevSecOps, a formación dos empregados, a xestión de identidades e accesos, o MFA e as análises de seguridade tiveron un impacto positivo na redución da cantidade media de dólares perdida nun incidente. Mentres que os fallos de cumprimento, a complexidade do sistema de seguridade, a escaseza de habilidades de seguridade e a migración á nube foron factores que contribuíron a un aumento neto máis alto do custo medio dunha violación de datos.

Mentres migras á nube, debes estar máis atento que nunca á protección dos teus datos. Aquí tes algunhas formas adicionais de reducir o teu risco e executar un ambiente máis seguro desde a seguridade punto de vista:

1. Autenticación multifactor: aplicar MFA para root e todas as contas de administrador. Aínda mellor, usa un dispositivo MFA de hardware físico. Un hacker potencial necesitaría non só o nome da conta e o contrasinal, senón tamén o MFA físico que xera un código sincronizado.

2. Potencia en pequeno número: Limita quen ten acceso á raíz. Algúns expertos en seguridade suxiren non máis de 3 usuarios. Xestiona o acceso do usuario root con asiduidade. Se executas a xestión de identidades e a retirada en ningún outro lugar, faino aquí. Se un do círculo de confianza abandona a organización, cambia o contrasinal de root. Recupere o dispositivo MFA.

3. Privilexios da conta predeterminados: Ao proporcionar novas contas de usuario ou roles, asegúrese de que se lles conceden privilexios mínimos por defecto. Comeza cunha política de acceso mínimo e despois concede permisos adicionais segundo sexa necesario. O principio de proporcionar a menor seguridade para realizar unha tarefa é un modelo que pasará os estándares de cumprimento de seguridade SOC2. O concepto é que calquera usuario ou aplicación debe ter a seguridade mínima necesaria para realizar a función requirida. Canto maior sexa o privilexio comprometido, maior será o risco. Pola contra, canto menor sexa o privilexio exposto, menor será o risco.

4. Privilexios de auditoría: Revisa e revisa regularmente os privilexios asignados aos usuarios, roles e contas no teu contorno de nube. Isto garante que os individuos só teñan o permiso necesario para realizar as súas tarefas designadas.

5. Xestión da identidade e privilexios just-in-time: Identifique e revogue calquera privilexio excesivo ou non utilizado para minimizar o risco de acceso non autorizado. Só proporciona dereitos de acceso aos usuarios cando os requiran para unha tarefa específica ou un período limitado. Isto minimiza a superficie de ataque e reduce a xanela de oportunidade para posibles ameazas de seguridade.

6. Credenciais incorporadas: Prohibe a codificación de autenticación sen cifrar (nome de usuario, contrasinal, claves de acceso) en scripts, traballos ou outro código. En vez diso, mira a xestor de segredos que pode usar para recuperar as credenciais mediante programación.

7. Configuración de Infraestructura como Código (IaC).: Siga as prácticas recomendadas de seguridade ao configurar a súa infraestrutura na nube mediante ferramentas de IaC como AWS CloudFormation ou Terraform. Evite conceder acceso público de forma predeterminada e restrinxa o acceso aos recursos só a redes, usuarios ou enderezos IP de confianza. Utiliza permisos detallados e mecanismos de control de acceso para facer cumprir o principio de privilexios mínimos.

8. Rexistro de accións: Permite o rexistro completo e o seguimento de accións e eventos dentro do teu contorno de nube. Captura e analiza rexistros para detectar calquera actividade inusual ou potencialmente maliciosa. Implementa solucións robustas de xestión de rexistros e información de seguridade e xestión de eventos (SIEM) para detectar e responder aos incidentes de seguridade con prontitude.

9. Avaliacións periódicas de vulnerabilidade: Realice avaliacións regulares de vulnerabilidade e probas de penetración para identificar as debilidades de seguridade no seu contorno de nube. Parche e corrixa as vulnerabilidades identificadas rapidamente. Fai un seguimento das actualizacións de seguranza e dos parches lanzados polo teu provedor de nube e asegúrate de que se apliquen rapidamente para protexerlas contra ameazas coñecidas.

10. Educación e Formación: Promover unha cultura de concienciación sobre a seguridade e proporcionar formación regular aos empregados sobre a importancia do principio de privilexio mínimo. Infórmaos sobre os posibles riscos asociados a privilexios excesivos e as mellores prácticas a seguir ao acceder e xestionar os recursos dentro do contorno de nube.

11. Parches e actualizacións: Reduce as vulnerabilidades actualizando regularmente todo o software do servidor. Mantén actualizada a túa infraestrutura na nube e as aplicacións asociadas para protexerte das vulnerabilidades coñecidas. Os provedores de nube adoitan lanzar parches e actualizacións de seguranza, polo que é fundamental manterse ao día das súas recomendacións.

Confío

Redúcese á confianza: só proporciona aos membros da túa organización a confianza para realizar as tarefas que deben facer para facer o seu traballo. Os expertos en seguridade recomendan Cero Confianza. O modelo de seguridade Zero Trust baséase en tres principios fundamentais:

• Verificar de forma explícita: utiliza todos os puntos de datos dispoñibles para validar a identidade e o acceso dun usuario.
• Use o acceso con menos privilexios: xusto a tempo e con seguridade suficiente.
• Asume o incumprimento: cifra todo, utiliza análises proactivas e ten unha resposta de emerxencia.

Como consumidor de servizos na nube e na nube, tamén se reduce a confianza. Tes que preguntarte: "confío no meu provedor para almacenar os meus preciosos datos na nube?" Confianza, neste caso, significa que confías nesa empresa, ou nunha semellante, para xestionar a seguridade como describimos anteriormente. Alternativamente, se responde negativamente, está preparado para realizar os mesmos tipos de actividade de xestión da seguridade no seu entorno doméstico. Confías en ti mesmo?

Como empresa que ofrece servizos na nube, os clientes depositaron a súa confianza en ti para salvagardar os seus datos na túa infraestrutura na nube. É un proceso en curso. Mantéñase informado sobre as ameazas emerxentes, adapte as súas medidas de seguridade en consecuencia e colabore con profesionais ou consultores de seguridade experimentados para garantir a máxima protección para a súa empresa no panorama da nube en constante evolución.

1. https://www.bleepingcomputer.com/news/security/lastpass-hackers-stole-customer-vault-data-in-cloud-storage-breach/ ↑