Govorimo o sigurnosti u oblaku

Prekomjerna izloženost

Recimo to ovako, što se brineš oko razotkrivanja? Koja je vaša najvrednija imovina? Vaš broj socijalnog osiguranja? Podaci o vašem bankovnom računu? Privatni dokumenti ili fotografije? Vaša kripto početna fraza? Ako upravljate tvrtkom ili ste odgovorni za čuvanje podataka, možete se brinuti da će iste vrste informacija biti ugrožene, ali na abroader mjerilo. Vaši klijenti su vam povjerili zaštitu svojih podataka.

Kao potrošači, sigurnost naših podataka uzimamo zdravo za gotovo. Danas se sve češće podaci pohranjuju u oblak. Brojni dobavljači nude usluge koje korisnicima omogućuju sigurnosno kopiranje podataka sa svojih lokalnih računala u oblak. Zamislite to kao virtualni tvrdi disk na nebu. Ovo se reklamira kao siguran i praktičan način zaštite vaših podataka. Zgodno, da. Možete oporaviti datoteku koju ste slučajno izbrisali. Možete vratiti cijeli tvrdi disk čiji su podaci oštećeni.

Ali je li sigurno? Dobivate bravu i ključ. Ključ je obično korisničko ime i lozinka. Šifriran je i poznat samo vama. Zato stručnjaci za sigurnost preporučuju čuvanje lozinke na sigurnom. Ako netko dobije pristup vašoj lozinci, ima virtualni ključ vaše virtualne kuće.

Ti sve ovo znaš. Vaša zaporka za pričuvnu uslugu u oblaku duga je 16 znakova, sadrži velika i mala slova, brojeve i nekoliko posebnih znakova. Mijenjate ga svakih šest mjeseci jer znate da to otežava hakeru. Razlikuje se od vaših drugih lozinki – ne koristite istu lozinku za više stranica. Što bi moglo poći po zlu?

Neke tvrtke nude ono što su označile kao "osobni oblak". Zapadni Digital jedna je od onih tvrtki koje pružaju jednostavan način sigurnosnog kopiranja podataka u vaš osobni prostor u oblaku. To je umrežena pohrana dostupna putem interneta. Priključuje se na vaš Wi-Fi usmjerivač tako da mu možete pristupiti s bilo kojeg mjesta unutar mreže. Praktično, budući da je također povezan s internetom, možete pristupiti svojim osobnim podacima s bilo kojeg mjesta na internetu. Uz pogodnost dolazi i rizik.

Kompromisna pozicija

Ranije ove godine hakeri su provalili u Western Digitalsustava i uspjeli preuzeti približno 10 Tb podataka. Poštari su zatim zadržali podatke za otkupninu i pokušali pregovarati oko 10,000,000 dolara za siguran povrat podataka. Podaci su poput ulja. Ili je možda zlato bolja analogija. Jedan od hakera progovorio je pod uvjetom anonimnosti. Ha! TechCrunch razgovarao s njim dok je bio u procesu ovog poslovnog dogovora. Ono što je zanimljivo je da su podaci koji su bili kompromitirani uključivali i zapadnjačke Digitalcertifikat za potpisivanje koda. Ovo je tehnološki ekvivalent skeniranja mrežnice. Potvrda je namijenjena pozitivnoj identifikaciji vlasnika ili nositelja. S ovim virtualnim skeniranjem mrežnice nije potrebna lozinka za pristup "sigurnim" podacima. Drugim riječima, s ovim certifikatom ovaj biznismen s crnim šeširom može ući na ulazna vrata digital palača.

Zapadni Digital odbili su komentirati hakerove tvrdnje da su još uvijek u WD-ovoj mreži. Neimenovani haker izrazio je razočaranje što predstavnici Westerna Digital ne bi mu uzvratio pozive. Službeno, u a priopćenje za tisak, Zapadni Digital objavio je da, "Na temelju dosadašnje istrage, Tvrtka vjeruje da je neovlaštena strana dobila određene podatke iz njezinih sustava i radi na razumijevanju prirode i opsega tih podataka." Dakle, zapadnjački Digital je mama, ali haker blebeće. Što se tiče načina na koji su to učinili, haker opisuje kako su iskoristili poznate ranjivosti i uspjeli dobiti pristup podacima u oblaku kao globalni administrator.

Globalni administrator, po prirodi uloge, ima pristup svemu. Ne treba mu tvoja lozinka. On ima glavni ključ.

Zapadni Digital nije sam

A pregled prošle godine pokazalo da je 83% anketiranih kompanija imalo više od jednog povreda podataka, od kojih je 45% bilo temeljeno na oblaku. The prosjek trošak povrede podataka u Sjedinjenim Državama bio je 9.44 milijuna američkih dolara. Troškovi su podijeljeni u četiri kategorije troškova — gubitak posla, otkrivanje i eskalacija, obavijest i odgovor nakon povrede. (Nisam siguran u koju kategoriju spada otkupnina podataka. Nije jasno je li itko od ispitanika platio zahtjeve za otkupninu.) Prosječno vrijeme koje je organizaciji potrebno da identificira i odgovori na povredu podataka je oko 9 mjeseci. Stoga nije iznenađenje da nekoliko mjeseci nakon Westerna Digital prvi priznali povredu podataka, još uvijek istražuju.

Teško je točno reći koliko je tvrtki imalo povrede podataka. Poznajem jednu veliku privatnu tvrtku koju je napao ransomware. Vlasnici su odbili pregovore i nisu platili. Umjesto toga, to je značilo gubitak e-pošte i podatkovnih datoteka. Odlučili su ponovno izgraditi sve iz nezaraženih sigurnosnih kopija i ponovno instalirati softver. Došlo je do značajnih zastoja i gubitka produktivnosti. Ovaj događaj nikad nije bio u medijima. Ta je tvrtka imala sreće jer 66% malih i srednjih poduzeća koja su napadnuta ransomwareom završe s radom u roku od 6 mjeseci.

• 30,000 XNUMX web stranica je hakirana svakodnevno
• 4 milijuna datoteka su ukraden svaki dan
• 22 milijarde zapisa bilo je probilo u 2021

Ako ste ikada poslovali ili koristili usluge Capital One, Marriott, Equifax, Target ili Uber, moguće je da je vaša lozinka ugrožena. Svaka od ovih velikih kompanija pretrpjela je značajnu povredu podataka.

• Capital One: Haker je dobio pristup do 100 milijuna kupaca i podnositelja zahtjeva koristeći ranjivost u infrastrukturi oblaka tvrtke.
• Marriott: Povreda podataka razotkrila je informacije o 500 milijuna kupaca (ova povreda nije bila otkrivena 4 godine).
• Equifax: otkriveni su osobni podaci u oblaku o 147 milijuna klijenata.
• Cilj: Cyberkriminalci su pristupili 40 milijuna brojeva kreditnih kartica.
• Uber: Hakeri su kompromitirali prijenosno računalo programera i dobili pristup do 57 milijuna korisnika i 600,000 vozača.
• LastPass^[1]: Hakeri su ukrali podatke iz trezora 33 milijuna klijenata u provali u pohranu u oblaku za ovu tvrtku za upravljanje lozinkama. Napadač je dobio pristup Lastpassovoj pohrani u oblaku pomoću "pristupnog ključa za pohranu u oblaku i ključeva za dešifriranje dvostrukog spremnika za pohranu" koji su ukradeni iz njegovog razvojnog okruženja.

Na ovoj web stranici možete provjeriti jeste li bili izloženi povredi podataka: jesam li izdan? Upišite svoju adresu e-pošte i pokazat će vam u koliko je povreda podataka pronađena adresa e-pošte. Na primjer, upisao sam jednu od svojih osobnih adresa e-pošte i otkrio da je bila dio 25 različitih povreda podataka, uključujući Evite , Dropbox, Adobe, LinkedIn i Twitter.

Sprečavanje neželjenih udvarača

Možda nikad neće doći do javnog priznanja od strane Zapada Digital točno onoga što se dogodilo. Incident ilustrira dvije stvari: podaci u oblaku sigurni su onoliko koliko su sigurni njihovi čuvari, a čuvari ključeva moraju biti posebno oprezni. Da parafraziramo načelo Petera Parkera, s root pristupom dolazi velika odgovornost.

Da budemo precizniji, root korisnik i globalni administrator nisu potpuno isti. Oba imaju veliku moć, ali bi trebali biti zasebni računi. Root korisnik posjeduje i ima pristup korporativnom računu u oblaku na najnižoj razini. Kao takav, ovaj bi račun mogao izbrisati sve podatke, VM-ove, informacije o korisnicima — sve što je tvrtka osigurala u oblaku. U AWS-u postoje samo 10 zadaci, uključujući postavljanje i zatvaranje vašeg AWS računa, koji uistinu zahtijevaju root pristup.

Administratorski računi trebali bi se stvoriti za obavljanje administrativnih zadataka (duh). Obično postoji više administratorskih računa koji se obično temelje na osobama, za razliku od jednog root računa. Budući da su administratorski računi vezani za pojedinca, možete jednostavno pratiti tko je napravio kakve promjene u okruženju.

Najmanja privilegija za maksimalnu sigurnost

Anketa o povredi podataka proučavala je utjecaj 28 čimbenika na ozbiljnost povrede podataka. Korištenje AI sigurnosti, pristup DevSecOps, obuka zaposlenika, upravljanje identitetom i pristupom, MFA, sigurnosna analitika, sve je to imalo pozitivan učinak na smanjenje prosječnog iznosa dolara izgubljenog u incidentu. S druge strane, neusklađenost, složenost sigurnosnog sustava, nedostatak sigurnosnih vještina i migracija u oblak bili su čimbenici koji su pridonijeli većem neto povećanju prosječnog troška povrede podataka.

Dok prelazite na oblak, morate biti oprezniji nego ikad u zaštiti svojih podataka. Evo nekoliko dodatnih načina za smanjenje rizika i stvaranje sigurnijeg okruženja od a sigurnosti stajalište:

1. Autentifikacija s više faktora: nametnuti MFA za root i sve administratorske račune. Još bolje, upotrijebite fizički hardverski MFA uređaj. Potencijalni haker ne treba samo ime računa i lozinku, već i fizički MFA koji generira sinkronizirani kod.

2. Snaga u malom broju: Ograničite tko ima pristup rootu. Neki sigurnosni stručnjaci preporučuju ne više od 3 korisnika. Marljivo upravljajte root korisničkim pristupom. Ako izvršavate upravljanje identitetom i off-boarding nigdje drugdje, učinite to ovdje. Ako netko iz kruga povjerenja napusti organizaciju, promijenite root lozinku. Oporavite MFA uređaj.

3. Zadane privilegije računa: Prilikom dodjele novih korisničkih računa ili uloga, osigurajte da im se prema zadanim postavkama dodijele minimalne privilegije. Započnite s politikom minimalnog pristupa, a zatim po potrebi dodijelite dodatna dopuštenja. Načelo pružanja najmanje sigurnosti za izvršenje zadatka je model koji će zadovoljiti SOC2 standarde sigurnosne usklađenosti. Koncept je da svaki korisnik ili aplikacija treba imati minimalnu sigurnost potrebnu za izvođenje potrebne funkcije. Što je veća privilegija ugrožena, to je veći rizik. Suprotno tome, što je niža izložena povlastica, manji je rizik.

4. Privilegije revizije: Redovito provjeravajte i pregledavajte privilegije dodijeljene korisnicima, ulogama i računima unutar vašeg okruženja u oblaku. Time se osigurava da pojedinci imaju samo potrebna dopuštenja za obavljanje svojih određenih zadataka.

5. Upravljanje identitetom i pravovremene privilegije: Identificirajte i opozovite sve prekomjerne ili neiskorištene privilegije kako biste smanjili rizik od neovlaštenog pristupa. Omogućite prava pristupa korisnicima samo kada su im potrebna za određeni zadatak ili ograničeno razdoblje. To minimizira površinu napada i smanjuje prozor mogućnosti za potencijalne sigurnosne prijetnje.

6. Ugrađene vjerodajnice: Zabranite tvrdo kodiranje nešifrirane provjere autentičnosti (korisničko ime, lozinka, pristupni ključevi) u skriptama, poslovima ili drugom kodu. Umjesto toga pogledajte a upravitelj tajni koje možete koristiti za programsko dohvaćanje vjerodajnica.

7. Konfiguracija infrastrukture kao koda (IaC).: Pridržavajte se najboljih sigurnosnih praksi kada konfigurirate svoju cloud infrastrukturu pomoću IaC alata kao što su AWS CloudFormation ili Terraform. Izbjegavajte odobravanje javnog pristupa prema zadanim postavkama i ograničite pristup resursima samo na pouzdane mreže, korisnike ili IP adrese. Upotrijebite detaljna dopuštenja i mehanizme kontrole pristupa kako biste primijenili načelo najmanje privilegije.

8. Bilježenje radnji: Omogućite sveobuhvatno bilježenje i praćenje radnji i događaja unutar vašeg okruženja oblaka. Snimite i analizirajte zapisnike za sve neobične ili potencijalno zlonamjerne aktivnosti. Implementirajte robusna rješenja za upravljanje zapisima i upravljanje sigurnosnim informacijama i događajima (SIEM) kako biste otkrili sigurnosne incidente i odgovorili na njih odmah.

9. Redovite procjene ranjivosti: Izvršite redovite procjene ranjivosti i testiranje prodora kako biste identificirali sigurnosne slabosti u vašem okruženju oblaka. Zakrpite i otklonite sve identificirane ranjivosti odmah. Pratite sigurnosna ažuriranja i zakrpe koje je izdao vaš pružatelj usluge oblaka i osigurajte njihovu promptnu primjenu radi zaštite od poznatih prijetnji.

10. Obrazovanje i osposobljavanje: Promicati kulturu svijesti o sigurnosti i osigurati redovitu obuku zaposlenika o važnosti načela najmanje privilegija. Obrazujte ih o mogućim rizicima povezanim s pretjeranim privilegijama i najboljim praksama koje treba slijediti prilikom pristupa i upravljanja resursima unutar okruženja oblaka.

11. Zakrpe i ažuriranja: Smanjite ranjivosti redovitim ažuriranjem cjelokupnog poslužiteljskog softvera. Održavajte svoju infrastrukturu u oblaku i povezane aplikacije ažurnima kako biste se zaštitili od poznatih ranjivosti. Pružatelji usluga u oblaku često izdaju sigurnosne zakrpe i ažuriranja, stoga je presudno biti u toku s njihovim preporukama.

Vjeruj

Sve se svodi na povjerenje – pružanje povjerenja samo onima u vašoj organizaciji za obavljanje zadataka koje trebaju obaviti kako bi obavili svoj posao. Sigurnosni stručnjaci preporučuju Nula povjerenja. Sigurnosni model Zero Trust temelji se na tri ključna principa:

• Eksplicitno potvrdite – koristite sve dostupne podatkovne točke za provjeru korisničkog identiteta i pristupa.
• Koristite pristup s najmanjim privilegijama – točno na vrijeme i dovoljno sigurnosti.
• Pretpostavite kršenje – šifrirajte sve, upotrijebite proaktivnu analitiku i osigurajte hitan odgovor.

Kao korisnik oblaka i usluga u oblaku, to se također svodi na povjerenje. Morate se zapitati: "Vjerujem li svom dobavljaču da će moje dragocjene podatke pohraniti u oblak?" Povjerenje, u ovom slučaju, znači da se oslanjate na tu tvrtku ili neku sličnu njoj za upravljanje sigurnošću kao što smo gore opisali. Alternativno, ako odgovorite negativno, jeste li spremni obavljati iste vrste aktivnosti upravljanja sigurnošću u svom kućnom okruženju. Vjeruješ li sebi?

Kao tvrtki koja pruža usluge u oblaku, klijenti su vam ukazali povjerenje da ćete zaštititi svoje podatke u svojoj infrastrukturi u oblaku. To je proces koji traje. Ostanite informirani o novim prijetnjama, prilagodite svoje sigurnosne mjere u skladu s tim i surađujte s iskusnim profesionalcima ili sigurnosnim savjetnicima kako biste osigurali najveću moguću zaštitu za svoje poslovanje u neprestanom razvoju oblaka.

1. https://www.bleepingcomputer.com/news/security/lastpass-hackers-stole-customer-vault-data-in-cloud-storage-breach/ ↑