A felhő biztonságáról beszélünk

Túlexponálás

Fogalmazzunk úgy, hogy mit aggaszt a leleplezés? Melyek a legértékesebb eszközei? Társadalombiztosítási száma? Bankszámla adatai? Magándokumentumok vagy fényképek? A kripto-mag kifejezésed? Ha Ön egy céget irányít, vagy az adatok megőrzéséért felelős, akkor aggódhat amiatt, hogy ugyanolyan típusú információk veszélybe kerülhetnek, de az ab.roader skála. Ügyfelei Önt bízták meg adataik védelmével.

Fogyasztóként természetesnek vesszük adataink biztonságát. Manapság egyre gyakrabban tárolódnak az adatok a felhőben. Számos szállító kínál olyan szolgáltatásokat, amelyek lehetővé teszik az ügyfelek számára, hogy biztonsági másolatot készítsenek a helyi számítógépeikről a felhőbe. Tekintsd úgy, mint egy virtuális merevlemezt az égen. Ez biztonságos és kényelmes módja az adatok védelmének. Kényelmes, igen. Visszaállíthatja a véletlenül törölt fájlokat. Visszaállíthat egy teljes merevlemezt, amelynek adatai megsérültek.

De biztonságos? Kapsz egy zárat és kulcsot. A kulcs általában egy felhasználónév és jelszó. Titkosított, és csak Ön tudja. Éppen ezért a biztonsági szakértők azt javasolják, hogy jelszavad biztonságban legyenek. Ha valaki hozzáfér az Ön jelszavához, akkor birtokában van a virtuális ház virtuális kulcsának.

Tudod mindezt. A biztonsági mentési felhőszolgáltatáshoz tartozó jelszava 16 karakter hosszú, nagy- és kisbetűket, számokat és néhány speciális karaktert tartalmaz. Félévente cseréled, mert tudod, hogy ez megnehezíti a hacker dolgát. Ez eltér a többi jelszavatól – nem használja ugyanazt a jelszót több webhelyhez. Mi romolhat el?

Egyes cégek az általuk „Személyes Felhőnek” nevezett termékeket kínálják. Nyugati Digital egyike azoknak a cégeknek, amelyek egyszerű módot biztosítanak az adatok biztonsági mentésére a felhőben lévő személyes térben. Az interneten keresztül elérhető hálózati tárhely. Csatlakoztatható a Wi-Fi útválasztóhoz, így a hálózaton belül bárhonnan elérheti. Mivel az internethez is kapcsolódik, kényelmesen hozzáférhet személyes adataihoz az internet bárhonnan. A kényelem kockázattal jár.

Kompromittáló álláspont

Az év elején hackerek törtek be a Westernbe Digitalrendszereit, és körülbelül 10 Tb adatot tudtak letölteni. A fekete levelezők ezután váltságdíj fejében tartották az adatokat, és 10,000,000 XNUMX XNUMX amerikai dollártól északra próbáltak alkut kötni az adatok biztonságos visszaküldése érdekében. Az adatok olyanok, mint az olaj. Vagy talán az arany jobb analógia. Az egyik hacker névtelenül nyilatkozott. Ha! TechCrunch interjút készített vele, miközben az üzletkötési folyamatban volt. Az az érdekes, hogy a veszélyeztetett adatok között nyugatiak is voltak Digitalkód-aláíró tanúsítványa. Ez a retina szkennelés technológiai megfelelője. A tanúsítvány célja, hogy egyértelműen azonosítsa a tulajdonost vagy annak birtokosát. Ezzel a virtuális retina vizsgálattal nincs szükség jelszóra a „védett” adatokhoz való hozzáféréshez. Más szóval, ezzel a tanúsítvánnyal ez a fekete kalapos üzletember közvetlenül a bejárati ajtón léphet be digital palota.

Nyugati Digital nem kívánta kommentálni a hacker azon állításait, hogy még mindig a WD hálózatában vannak. A meg nem nevezett hacker csalódottságát fejezte ki amiatt, hogy a Western képviselői Digital nem hívta vissza. Hivatalosan a sajtóközlemény, Nyugati Digital bejelentette, hogy "Az eddigi vizsgálat alapján a Társaság úgy véli, hogy a jogosulatlan személy bizonyos adatokat szerzett meg rendszereiből, és azon dolgozik, hogy megértse ezen adatok természetét és terjedelmét." Szóval nyugati Digital anya, de a hacker bömböl. Azzal kapcsolatban, hogyan tették ezt, a hacker leírja, hogyan használták ki az ismert sebezhetőségeket, és globális rendszergazdaként hogyan tudtak hozzáférni a felhőben lévő adatokhoz.

A globális rendszergazda szerepköréből adódóan mindenhez hozzáfér. Nem kell neki a jelszava. Nála van a főkulcs.

Nyugati Digital nincs egyedül

A felmérés tavaly azt találta, hogy a megkérdezett cégek 83%-ának volt több mint egy adatszivárgás, amelynek 45%-a felhőalapú volt. A átlagos egy adatszivárgás költsége az Egyesült Államokban 9.44 millió USD volt. A költségeket négy költségkategóriára bontották – elveszett üzlet, felderítés és eszkaláció, értesítés és jogsértés utáni válasz. (Nem vagyok biztos benne, hogy az adatváltságdíj melyik kategóriába tartozik. Nem világos, hogy a válaszadók közül valaki fizetett-e váltságdíjat.) Átlagosan körülbelül 9 hónapig tart egy szervezetnek az adatvédelmi incidens azonosítása és reagálása. Nem meglepő tehát, hogy több hónappal a Western után Digital először ismerték el az adatszivárgást, továbbra is nyomoznak.

Nehéz megmondani, hogy pontosan hány cégnél történt adatszivárgás. Ismerek egy nagy magántulajdonban lévő céget, amelyet zsarolóvírus támadt meg. A tulajdonosok nem voltak hajlandók tárgyalni és nem fizettek. Ez ehelyett e-mailek és adatfájlok elvesztését jelentette. Úgy döntöttek, hogy a nem fertőzött biztonsági másolatoktól és a szoftverek újratelepítésétől kezdve mindent újraépítenek. Jelentős állásidő és veszteség volt a termelékenységben. Ez az esemény soha nem szerepelt a médiában. A cégnek szerencséje volt, mert 66% A zsarolóvírus által megtámadott kis- és középvállalkozások 6 hónapon belül megszűnnek.

• 30,000 XNUMX weboldal van csapkodott napi
• 4 millió fájl van lopott minden nap
• 22 milliárd rekord volt megsértette 2021-ben

Ha valaha is üzletelt a Capital One, a Marriott, az Equifax, a Target vagy az Uber szolgáltatásaival, vagy használta a szolgáltatásait, előfordulhat, hogy jelszavát feltörték. E nagyvállalatok mindegyike jelentős adatszivárgást szenvedett el.

• Capital One: Egy hacker 100 millió ügyfélhez és jelentkezőhöz jutott hozzá a vállalat felhőinfrastruktúrájának egy sebezhetőségét kihasználva.
• Marriott: Egy adatvédelmi incidens 500 millió ügyfélről tárt fel információkat (ezt az incidenst 4 évig nem észlelték).
• Equifax: 147 millió ügyfél személyes adatai kerültek nyilvánosságra a felhőben.
• Cél: A kiberbűnözők 40 millió hitelkártyaszámhoz fértek hozzá.
• Uber: A hackerek feltörték egy fejlesztő laptopját, és 57 millió felhasználóhoz és 600,000 XNUMX illesztőprogramhoz jutottak hozzá.
• LastPass^[1]: Hackerek 33 millió ügyfél tárolóadatait lopták el egy felhőalapú tárolási incidens során ennél a jelszókezelő cégnél. A támadó a fejlesztői környezetéből ellopott „felhőtárhely-hozzáférési kulcs és kettős tárolókonténer visszafejtési kulcsok” segítségével jutott hozzá a Lastpass felhőtárhelyéhez.

Ezen a webhelyen ellenőrizheti, hogy ki volt-e téve adatvédelmi incidensnek: le lettem lopva? Írja be e-mail címét, és megmutatja, hány adatvédelmi incidensnél találták az e-mail-címet. Például beírtam az egyik személyes e-mail címemet, és megállapítottam, hogy az 25 különböző adatvédelmi incidens része volt, köztük az Evite esetében is. , Dropbox, Adobe, LinkedIn és Twitter.

A nem kívánt udvarlók meghiúsítása

Lehetséges, hogy a Western soha nem fog nyilvánosan elismerni Digital pontosan mi történt. Az incidens két dolgot illusztrál: a felhőben lévő adatok csak annyira biztonságosak, amennyire őrzőiknek, és a kulcsok őrzőinek különösen óvatosnak kell lenniük. A Peter Parker-elvet átfogalmazva, a root hozzáférés nagy felelősséggel jár.

Pontosabban, a root felhasználó és a globális rendszergazda nem teljesen ugyanaz. Mindkettőnek nagy ereje van, de külön fióknak kell lennie. A root felhasználó a legalacsonyabb szintű vállalati felhőfiók tulajdonosa és hozzáférése van hozzá. Mint ilyen, ez a fiók törölhet minden adatot, virtuális gépet és ügyfélinformációt – mindent, amit egy vállalkozás a felhőben biztosított. Az AWS-ben csak 10 feladatok, beleértve az AWS-fiók beállítását és bezárását, amelyek valóban root hozzáférést igényelnek.

Adminisztrációs feladatok végrehajtásához rendszergazdai fiókokat kell létrehozni (duh). Általában több rendszergazdai fiók létezik, amelyek általában személyalapúak, ellentétben az egyetlen root fiókkal. Mivel a rendszergazdai fiókok egyénhez vannak kötve, könnyen nyomon követheti, hogy ki milyen változtatásokat végzett a környezetben.

Legkisebb kiváltság a maximális biztonságért

Az adatvédelmi incidens felmérés 28 tényező hatását vizsgálta az adatsértés súlyosságára. A mesterséges intelligencia biztonságának használata, a DevSecOps megközelítés, az alkalmazottak képzése, az identitás- és hozzáférés-kezelés, az MFA, a biztonsági elemzések mind pozitív hatással voltak az incidensek során elveszített dollár átlagos összegének csökkentésére. Míg a megfelelőségi hibák, a biztonsági rendszer bonyolultsága, a biztonsági készségek hiánya és a felhőalapú migráció olyan tényezők voltak, amelyek hozzájárultak az adatszivárgás átlagos költségének magasabb nettó növekedéséhez.

A felhőbe való áttérés során minden eddiginél éberebbnek kell lennie adatai védelmében. Íme néhány további módszer a kockázat csökkentésére és biztonságosabb környezet kialakítására a biztonság álláspont:

1. Többtényezős hitelesítés: kényszerítse ki az MFA-t a root és az összes rendszergazdai fiók számára. Még jobb, ha fizikai hardveres MFA-eszközt használ. A potenciális hackernek nemcsak a fióknévre és jelszóra van szüksége, hanem a fizikai MFA-ra is, amely szinkronizált kódot generál.

2. Teljesítmény kis számban: Korlátozza, hogy ki férhet hozzá a gyökérhez. Egyes biztonsági szakértők legfeljebb 3 felhasználót javasolnak. Gondosan kezelje a root felhasználói hozzáférést. Ha sehol máshol nem hajtja végre az identitáskezelést és a kiszállást, itt tegye meg. Ha a bizalmi körből valaki elhagyja a szervezetet, módosítsa a root jelszót. Állítsa helyre az MFA-eszközt.

3. Alapértelmezett fiókjogosultságok: Új felhasználói fiókok vagy szerepkörök kiépítésekor győződjön meg arról, hogy alapértelmezés szerint minimális jogosultságokat kapnak. Kezdje minimális hozzáférési házirenddel, majd adjon meg további engedélyeket, ha szükséges. A feladat végrehajtásához a legkisebb biztonságot nyújtó elve egy olyan modell, amely megfelel az SOC2 biztonsági megfelelőségi szabványoknak. A koncepció az, hogy minden felhasználónak vagy alkalmazásnak rendelkeznie kell a szükséges funkció végrehajtásához szükséges minimális biztonsággal. Minél magasabb a kiváltság, amely veszélybe kerül, annál nagyobb a kockázat. Ezzel szemben minél alacsonyabb a kiváltság, annál kisebb a kockázat.

4. Könyvvizsgálati jogosultságok: Rendszeresen ellenőrizze és tekintse át a felhasználókhoz, szerepkörökhöz és fiókokhoz rendelt jogosultságokat a felhőkörnyezetben. Ez biztosítja, hogy az egyének csak a kijelölt feladatok elvégzéséhez szükséges engedéllyel rendelkezzenek.

5. Identity Management és Just-in-time jogosultságok: Azonosítsa és vonja vissza a túlzott vagy fel nem használt jogosultságokat az illetéktelen hozzáférés kockázatának minimalizálása érdekében. Csak akkor biztosítson hozzáférési jogokat a felhasználóknak, ha egy adott feladathoz vagy korlátozott ideig igénylik őket. Ez minimalizálja a támadási felületet, és csökkenti a potenciális biztonsági fenyegetések lehetőségét.

6. Beágyazott hitelesítő adatok: A titkosítatlan hitelesítés (felhasználónév, jelszó, hozzáférési kulcsok) kemény kódolásának tiltása szkriptekben, feladatokban vagy más kódokban. Ehelyett nézze meg a titkok menedzsere amelyek segítségével programozottan lekérheti a hitelesítő adatokat.

7. Infrastructure-as-Code (IaC) konfiguráció: Tartsa be a bevált biztonsági gyakorlatokat, amikor felhőinfrastruktúráját IaC-eszközökkel, például AWS CloudFormation vagy Terraform konfigurálja. Kerülje a nyilvános hozzáférés alapértelmezés szerinti megadását, és az erőforrásokhoz való hozzáférést csak megbízható hálózatokra, felhasználókra vagy IP-címekre korlátozza. Használjon aprólékos engedélyeket és hozzáférés-szabályozási mechanizmusokat a legkisebb jogosultság elvének érvényesítésére.

8. Műveletek naplózása: A műveletek és események átfogó naplózásának és figyelésének engedélyezése a felhőkörnyezetben. Rögzítse és elemezze a naplókat minden szokatlan vagy potenciálisan rosszindulatú tevékenység szempontjából. Robusztus naplókezelési és biztonsági információ- és eseménykezelési (SIEM) megoldások bevezetése a biztonsági események azonnali észleléséhez és reagálásához.

9. Rendszeres sebezhetőségi felmérések: Végezzen rendszeres sebezhetőségi felméréseket és penetrációs teszteket a felhőkörnyezet biztonsági hiányosságainak azonosítása érdekében. Azonnal javítsa ki és javítsa ki az azonosított sebezhetőségeket. Kövesse nyomon a felhőszolgáltató által kiadott biztonsági frissítéseket és javításokat, és gondoskodjon azok azonnali alkalmazásáról az ismert fenyegetések elleni védelem érdekében.

10. Oktatás és képzés: A biztonságtudatosság kultúrájának előmozdítása és rendszeres képzések biztosítása az alkalmazottaknak a legkisebb kiváltság elvének fontosságáról. Tájékoztassa őket a túlzott jogosultságokkal járó lehetséges kockázatokról, valamint a felhőkörnyezeten belüli erőforrásokhoz való hozzáférés és az erőforrások kezelése során követendő legjobb gyakorlatokról.

11. Javítások és frissítések: Csökkentse a sebezhetőségeket az összes kiszolgálószoftver rendszeres frissítésével. Tartsa naprakészen felhőinfrastruktúráját és kapcsolódó alkalmazásait, hogy megvédje magát az ismert sebezhetőségektől. A felhőszolgáltatók gyakran adnak ki biztonsági javításokat és frissítéseket, ezért kulcsfontosságú, hogy naprakészek maradjanak az ajánlásaikkal.

Bízzon

Ez a bizalomra vonatkozik – csak a szervezetében lévőknek kell megadnia a bizalmat a munkájuk elvégzéséhez szükséges feladatok elvégzéséhez. Biztonsági szakértők javasolják Nulla bizalom. A Zero Trust biztonsági modell három alapelven alapul:

• Explicit ellenőrzés – használja az összes elérhető adatpontot a felhasználó azonosságának és hozzáférésének ellenőrzéséhez.
• Használja a legkevesebb jogosultságot biztosító hozzáférést – éppen időben és éppen elegendő biztonságban.
• Feltételezheti a jogsértést – titkosítson mindent, alkalmazzon proaktív elemzéseket, és rendelkezzen vészhelyzeti reagálással.

A felhő és a felhőszolgáltatások fogyasztójaként ez a bizalomra is vonatkozik. Fel kell tennünk magunknak a kérdést: „Bízom-e az eladómban, hogy az értékes adataimat a felhőben tárolja?” A bizalom ebben az esetben azt jelenti, hogy a fent leírtak szerint a biztonság kezelésében erre a cégre vagy ahhoz hasonló cégre támaszkodik. Alternatív megoldásként, ha nemleges választ ad, készen áll-e otthoni környezetében is elvégezni az azonos típusú biztonságkezelési tevékenységeket. Bízol magadban?

A felhőben szolgáltatásokat nyújtó vállalatként az ügyfelek bizalmukat önbe helyezték, hogy megvédjék adataikat a felhő infrastruktúrájában. Ez egy folyamatos folyamat. Legyen tájékozott az újonnan felmerülő fenyegetésekről, ennek megfelelően alakítsa át biztonsági intézkedéseit, és működjön együtt tapasztalt szakemberekkel vagy biztonsági tanácsadókkal, hogy a folyamatosan fejlődő felhőkörnyezetben a lehető legnagyobb védelmet biztosítsa vállalkozása számára.

1. https://www.bleepingcomputer.com/news/security/lastpass-hackers-stole-customer-vault-data-in-cloud-storage-breach/ ↑