Մենք խոսում ենք ամպի անվտանգության մասին
Over Exposure
Եկեք այսպես ձեւակերպենք, ի՞նչն է ձեզ անհանգստացնում մերկացնելը։ Որո՞նք են ձեր ամենաթանկ ակտիվները: Ձեր սոցիալական ապահովության համարը: Ձեր բանկային հաշվի տվյալները: Անձնական փաստաթղթեր, թե՞ լուսանկարներ։ Ձեր կրիպտո սերմի արտահայտությունը: Եթե դուք ղեկավարում եք ընկերություն կամ պատասխանատու եք տվյալների պահպանման համար, կարող եք անհանգստանալ նույն տեսակի տեղեկատվության վտանգի մասին, բայցroader սանդղակ. Ձեր հաճախորդների կողմից ձեզ վստահվել է իրենց տվյալների պաշտպանությունը:
Որպես սպառողներ՝ մենք ընդունում ենք մեր տվյալների անվտանգությունը որպես տրված: Այս օրերին ավելի ու ավելի հաճախ այդ տվյալները պահվում են ամպում: Մի շարք վաճառողներ առաջարկում են ծառայություններ, որոնք թույլ են տալիս հաճախորդներին կրկնօրինակել իրենց տեղական համակարգիչներից ամպային տվյալների վրա: Մտածեք դրա մասին որպես վիրտուալ կոշտ սկավառակ երկնքում: Սա գովազդվում է որպես ձեր տվյալները պաշտպանելու անվտանգ և հարմար միջոց: Հարմարավետ, այո։ Դուք կարող եք վերականգնել պատահաբար ջնջված ֆայլը: Դուք կարող եք վերականգնել մի ամբողջ կոշտ սկավառակ, որի տվյալները կոռումպացված են:
Բայց արդյո՞ք դա անվտանգ է: Ձեզ տրամադրվում է կողպեք և բանալի։ Հիմնական բանը, որպես կանոն, օգտանունն ու գաղտնաբառը է: Այն կոդավորված է և հայտնի է միայն ձեզ: Ահա թե ինչու անվտանգության փորձագետները խորհուրդ են տալիս անվտանգ պահել ձեր գաղտնաբառը: Եթե ինչ-որ մեկը մուտք է ստանում ձեր գաղտնաբառը, նա ունի ձեր վիրտուալ տան վիրտուալ բանալին:
Դուք գիտեք այս ամենը։ Պահուստային ամպային ծառայության ձեր գաղտնաբառը 16 նիշ է, պարունակում է մեծ և փոքրատառ տառեր, թվեր և մի քանի հատուկ նիշ: Դուք փոխում եք այն ամեն վեց ամիսը մեկ, քանի որ գիտեք, որ դա ավելի է դժվարացնում հաքերի համար: Այն տարբերվում է ձեր մյուս գաղտնաբառերից. դուք չեք օգտագործում նույն գաղտնաբառը բազմաթիվ կայքերի համար: Ի՞նչը կարող է սխալ լինել:
Որոշ ընկերություններ առաջարկում են այն, ինչ նրանք անվանել են որպես «Անձնական ամպ»: Արևմտյան Digital մեկն է այն ընկերություններից, որոնք ապահովում են ձեր տվյալները ամպի մեջ ձեր անձնական տարածքում կրկնօրինակելու հեշտ միջոց: Դա ցանցային պահեստ է, որը հասանելի է ինտերնետում: Այն միանում է ձեր Wi-Fi երթուղիչին, որպեսզի կարողանաք մուտք գործել այն ձեր ցանցի ներսում ցանկացած վայրից: Հարմար է, քանի որ այն նաև միացված է ինտերնետին, դուք կարող եք մուտք գործել ձեր անձնական տվյալները ինտերնետի ցանկացած կետից: Հարմարավետության հետ գալիս է ռիսկը:
Փոխզիջումային դիրք
Այս տարվա սկզբին հաքերները ներխուժեցին Western Digital-ի համակարգերը և կարողացան ներբեռնել մոտավորապես 10 Tb տվյալներ: Այնուհետև սև փոստատարները պահեցին տվյալները փրկագնի համար և փորձեցին բանակցել 10,000,000 ԱՄՆ դոլարի դիմաց գործարքի շուրջ՝ տվյալների անվտանգ վերադարձի համար: Տվյալները նավթի նման են. Կամ գուցե ոսկին ավելի լավ անալոգիա է: Հաքերներից մեկը խոսել է անանունության պայմանով։ Հա՜ TechCrunch հարցազրույց է վերցրել նրանից, երբ նա գտնվում էր այս բիզնես գործարքի ընթացքում: Հետաքրքիրն այն է, որ վտանգված տվյալները ներառում էին արևմտյան Digital-ի ծածկագրի ստորագրման վկայականը։ Սա ցանցաթաղանթի սկանավորման տեխնոլոգիական համարժեքն է: Վկայագիրը նախատեսված է սեփականատիրոջը կամ կրողին դրականորեն բացահայտելու համար: Ցանցաթաղանթի այս վիրտուալ սկանավորման միջոցով «ապահովված» տվյալներ մուտք գործելու համար գաղտնաբառ չի պահանջվում: Այսինքն՝ այս վկայականով այս սև գլխարկով գործարարը կարող է քայլել հենց շենքի մուտքի դռնով digital պալատ.
Արեվմտյան Digital հրաժարվել է մեկնաբանել՝ ի պատասխան հաքերների այն պնդումների, որ իրենք դեռևս գտնվում են WD-ի ցանցում: Անանուն հաքերը հիասթափություն է հայտնել Western-ի ներկայացուցիչների համար Digital չէր պատասխանում նրա զանգերին։ Պաշտոնապես Ա Մամլո հաղորդագրություն, արևմտյան Digital «Մինչ օրս կատարված հետաքննության հիման վրա Ընկերությունը կարծում է, որ չարտոնված կողմը որոշակի տվյալներ է ձեռք բերել իր համակարգերից և աշխատում է հասկանալու այդ տվյալների բնույթն ու շրջանակը»: Այսպիսով, արևմտյան Digital մայրիկ է, բայց հաքերը բղավում է. Ինչ վերաբերում է նրան, թե ինչպես են նրանք դա արել, հաքերը նկարագրում է, թե ինչպես են նրանք շահագործել հայտնի խոցելիությունը և կարողացել մուտք ունենալ ամպի տվյալներին՝ որպես գլոբալ ադմինիստրատոր:
Համաշխարհային ադմինիստրատորը, ըստ դերի բնույթի, հասանելի է ամեն ինչին: Նրան ձեր գաղտնաբառը պետք չէ: Նա ունի գլխավոր բանալին:
Արեվմտյան Digital միայնակ չէ
A ուսումնասիրություն անցյալ տարի պարզվել է, որ հարցված ընկերությունների 83%-ը ունեցել է մեկից ավել տվյալների խախտում, որոնցից 45%-ը ամպի վրա էր: Այն միջին ԱՄՆ-ում տվյալների խախտման արժեքը կազմել է 9.44 միլիոն ԱՄՆ դոլար: Ծախսերը բաժանվել են ծախսերի չորս կատեգորիաների՝ կորցրած բիզնես, հայտնաբերում և էսկալացիա, ծանուցում և խախտումից հետո պատասխան: (Ես վստահ չեմ, թե որ կատեգորիային է պատկանում տվյալների փրկագինը: Պարզ չէ, արդյոք պատասխանողներից որևէ մեկը վճարել է փրկագնի պահանջներ:) Միջին ժամանակը, որը պահանջվում է կազմակերպությանից տվյալների խախտումը բացահայտելու և արձագանքելու համար մոտ 9 ամիս է: Հետևաբար, զարմանալի չէ, որ Western-ից մի քանի ամիս անց Digital նախ ընդունել են տվյալների խախտումը, նրանք դեռ հետաքննում են:
Դժվար է հստակ ասել, թե քանի ընկերություն է ունեցել տվյալների խախտում: Ես գիտեմ մեկ խոշոր մասնավոր ընկերություն, որը հարձակման է ենթարկվել փրկագինով: Սեփականատերերը հրաժարվել են բանակցել և չեն վճարել։ Դա նշանակում էր, որ դրա փոխարեն կորցնում էին էլ. նամակներն ու տվյալների ֆայլերը: Նրանք նախընտրեցին վերակառուցել ամեն ինչ՝ չվարակված կրկնօրինակներից և նորից տեղադրել ծրագրակազմը: Կար զգալի պարապուրդի ժամանակ և կորցրեց արտադրողականությունը: Այս իրադարձությունը երբեք չի եղել լրատվամիջոցներում: Այդ ընկերության բախտը բերել է, քանի որ 66% Փրկագին հարձակման ենթարկված փոքր և միջին ընկերությունները 6 ամսվա ընթացքում դուրս են գալիս բիզնեսից:
- 30,000 կայք կա hacked օրական
- 4 միլիոն ֆայլ է գողացել Ամեն օր
- եղել է 22 միլիարդ ռեկորդ խախտվել է ի 2021
Եթե երբևէ բիզնես եք վարել կամ օգտվել եք Capital One, Marriott, Equifax, Target կամ Uber-ի ծառայություններից, ապա հնարավոր է, որ ձեր գաղտնաբառը վտանգված է: Այս խոշոր ընկերություններից յուրաքանչյուրը տուժել է տվյալների զգալի խախտում:
- Capital One. հաքերը մուտք է ստացել 100 միլիոն հաճախորդների և դիմորդների՝ օգտագործելով ընկերության ամպային ենթակառուցվածքի խոցելիությունը:
- Մարիոթ. Տվյալների խախտումը բացահայտել է 500 միլիոն հաճախորդների մասին տեղեկատվություն (այս խախտումը 4 տարի շարունակ անհայտ է մնացել):
- Equifax. Անձնական տվյալները ամպի մեջ բացահայտվել են 147 միլիոն հաճախորդների մասին:
- Թիրախ. Կիբերհանցագործները մուտք են գործել 40 միլիոն վարկային քարտի համարներ:
- Uber. հաքերները կոտրել են ծրագրավորողի նոութբուքը և մուտք են գործել 57 միլիոն օգտատերերի և 600,000 վարորդների:
- LastPass[1]Հաքերները գողացել են 33 միլիոն հաճախորդների պահոցային տվյալներ այս գաղտնաբառերի կառավարիչ ընկերության ամպային պահեստի խախտումով: Հարձակվողը մուտք է ստացել Lastpass-ի ամպային պահեստ՝ օգտագործելով «ամպային պահեստի մուտքի բանալի և կրկնակի պահեստային բեռնարկղերի ապակոդավորման բանալիներ», որոնք գողացվել են նրա մշակողի միջավայրից:
Դուք կարող եք ստուգել, թե արդյոք դուք ենթարկվել եք տվյալների խախտման այս կայքում՝ ես եղել եմ pwned? Մուտքագրեք ձեր էլ.փոստի հասցեն և այն ցույց կտա ձեզ, թե տվյալների քանի խախտումներում է հայտնաբերվել էլփոստի հասցեն: Օրինակ, ես մուտքագրեցի իմ անձնական էլփոստի հասցեներից մեկը և պարզեցի, որ այն եղել է 25 տարբեր տվյալների խախտման մաս, ներառյալ Evite-ը: , Dropbox, Adobe, LinkedIn և Twitter։
Խափանել անցանկալի հայցվորներին
Արեւմուտքի կողմից երբեք չի կարող լինել հրապարակային ճանաչում Digital հենց այն, ինչ տեղի ունեցավ: Միջադեպը ցույց է տալիս երկու բան. ամպի տվյալները նույնքան անվտանգ են, որքան դրանց պահողները, և բանալիները պահողները պետք է հատկապես զգույշ լինեն: Փիթեր Փարքերի սկզբունքը վերափոխելու համար, արմատային մուտքի դեպքում մեծ պատասխանատվություն է կրում:
Ավելի ճշգրիտ լինելու համար, արմատային օգտվողը և գլոբալ ադմինիստրատորը լիովին նույնը չեն: Երկուսն էլ մեծ ուժ ունեն, բայց պետք է լինեն առանձին հաշիվներ: Արմատային օգտատերը պատկանում է կորպորատիվ ամպային հաշվին և մուտք ունի ամենացածր մակարդակով: Որպես այդպիսին, այս հաշիվը կարող է ջնջել բոլոր տվյալները, VM-ները, հաճախորդի տեղեկությունները, այն ամենը, ինչ բիզնեսն ապահովել է ամպի մեջ: AWS-ում կան միայն 10 խնդիրները, ներառյալ ձեր AWS հաշիվը ստեղծելն ու փակելը, որն իսկապես պահանջում է արմատային մուտք:
Ադմինիստրատորի հաշիվները պետք է ստեղծվեն վարչական առաջադրանքներ կատարելու համար (duh): Սովորաբար կան մի քանի Ադմինիստրատոր հաշիվներ, որոնք սովորաբար հիմնված են անձի վրա, ի տարբերություն մեկ արմատային հաշվի: Քանի որ Ադմինիստրատորի հաշիվները կապված են անհատի հետ, դուք հեշտությամբ կարող եք հետևել, թե ով ինչ փոփոխություններ է կատարել շրջակա միջավայրում:
Նվազագույն արտոնություն առավելագույն անվտանգության համար
Տվյալների խախտման հարցումն ուսումնասիրել է 28 գործոնների ազդեցությունը տվյալների խախտման ծանրության վրա: AI-ի անվտանգության օգտագործումը, DevSecOps մոտեցումը, աշխատակիցների ուսուցումը, ինքնության և մուտքի կառավարումը, ԱԳՆ-ն, անվտանգության վերլուծությունը բոլորն էլ դրական ազդեցություն ունեցան միջադեպի արդյունքում կորցրած միջին դոլարի գումարի կրճատման վրա: Մինչդեռ համապատասխանության ձախողումները, անվտանգության համակարգի բարդությունը, անվտանգության հմտությունների պակասը և ամպային միգրացիան գործոններ էին, որոնք նպաստեցին տվյալների խախտման միջին արժեքի ավելի բարձր զուտ աճին:
Երբ դուք տեղափոխվում եք ամպ, դուք պետք է ավելի զգոն լինեք, քան երբևէ ձեր տվյալները պաշտպանելու հարցում: Ահա մի քանի լրացուցիչ եղանակներ՝ նվազեցնելու ձեր ռիսկը և ստեղծելու ավելի անվտանգ միջավայր a-ից անվտանգություն տեսակետ:
1. Muli-factor Նույնականացում. պարտադրել MFA արմատային և բոլոր Ադմինիստրատորի հաշիվների համար: Նույնիսկ ավելի լավ, օգտագործեք ֆիզիկական ապարատային MFA սարք: Պոտենցիալ հաքերին պետք է ոչ միայն հաշվի անունն ու գաղտնաբառը, այլև ֆիզիկական ԱԳՆ-ն, որը ստեղծում է համաժամացված ծածկագիր:
2. Հզորությունը փոքր քանակությամբ. Սահմանափակեք, թե ով ունի արմատին հասանելիություն: Անվտանգության որոշ փորձագետներ առաջարկում են ոչ ավելի, քան 3 օգտվող: Խնամքով կառավարեք արմատային օգտվողի մուտքը: Եթե դուք իրականացնում եք ինքնության կառավարում և ոչ մի այլ տեղ, դա արեք այստեղ: Եթե վստահության շրջանակից մեկը լքում է կազմակերպությունը, փոխեք արմատային գաղտնաբառը: Վերականգնել MFA սարքը:
3. Հաշվի կանխադրված արտոնություններ. Նոր օգտատերերի հաշիվներ կամ դերեր տրամադրելիս համոզվեք, որ նրանց լռելյայն տրամադրվում են նվազագույն արտոնություններ: Սկսեք նվազագույն մուտքի քաղաքականությունից և այնուհետև անհրաժեշտության դեպքում տրամադրեք լրացուցիչ թույլտվություններ: Առաջադրանքը կատարելու համար նվազագույն անվտանգություն ապահովելու սկզբունքը մոդել է, որը կանցնի SOC2 անվտանգության համապատասխանության չափանիշները: Հայեցակարգն այն է, որ ցանկացած օգտվող կամ հավելված պետք է ունենա նվազագույն անվտանգություն, որն անհրաժեշտ է պահանջվող գործառույթը կատարելու համար: Որքան բարձր է արտոնությունը, որը վտանգված է, այնքան մեծ է ռիսկը: Ընդհակառակը, որքան ցածր է բացահայտված արտոնությունը, այնքան ցածր է ռիսկը:
4. Աուդիտի արտոնություններ. Պարբերաբար ստուգեք և վերանայեք ձեր ամպային միջավայրում օգտագործողներին, դերերին և հաշիվներին տրված արտոնությունները: Սա երաշխավորում է, որ անհատներն ունենան միայն անհրաժեշտ թույլտվություն իրենց նշանակված առաջադրանքները կատարելու համար:
5. Ինքնության կառավարում և ժամանակին արտոնություններԲացահայտեք և չեղարկեք ցանկացած չափազանցված կամ չօգտագործված արտոնություններ՝ նվազագույնի հասցնելու չարտոնված մուտքի վտանգը: Տրամադրել օգտատերերին մուտքի իրավունքներ միայն այն դեպքում, երբ նրանք պահանջում են դրանք որոշակի առաջադրանքի կամ սահմանափակ ժամկետի համար: Սա նվազագույնի է հասցնում հարձակման մակերեսը և նվազեցնում անվտանգության հնարավոր սպառնալիքների հնարավորությունների պատուհանը:
6. Ներկառուցված հավատարմագրերըԱրգելեք չգաղտնագրված նույնականացման կոշտ կոդավորումը (օգտանուն, գաղտնաբառ, մուտքի բանալիներ) սկրիպտներում, աշխատատեղերում կամ այլ կոդերում: Փոխարենը նայեք ա գաղտնիքների կառավարիչ որը կարող եք օգտագործել հավատարմագրերը ծրագրային կերպով առբերելու համար:
7. Infrastructure-as-Code (IaC) կոնֆիգուրացիաՀետևեք անվտանգության լավագույն փորձին, երբ կարգավորեք ձեր ամպային ենթակառուցվածքը՝ օգտագործելով IaC գործիքներ, ինչպիսիք են AWS CloudFormation-ը կամ Terraform-ը: Խուսափեք լռելյայն հանրային մուտքի տրամադրումից և սահմանափակեք ռեսուրսների հասանելիությունը միայն վստահելի ցանցերին, օգտվողներին կամ IP հասցեներին: Օգտագործեք մանրակրկիտ թույլտվություններ և մուտքի վերահսկման մեխանիզմներ՝ նվազագույն արտոնությունների սկզբունքը կիրառելու համար:
8. Գործողությունների գրանցումՄիացրեք ձեր ամպային միջավայրում գործողությունների և իրադարձությունների համապարփակ գրանցումն ու մոնիտորինգը: Գրանցեք և վերլուծեք տեղեկամատյանները ցանկացած անսովոր կամ պոտենցիալ վնասակար գործունեության համար: Կիրառեք մատյանների կառավարման և անվտանգության տեղեկատվության և իրադարձությունների կառավարման (SIEM) կայուն լուծումներ՝ անվտանգության միջադեպերը արագ հայտնաբերելու և արձագանքելու համար:
9. Խոցելիության կանոնավոր գնահատումներԿատարեք կանոնավոր խոցելիության գնահատումներ և ներթափանցման թեստավորում՝ ձեր ամպային միջավայրում անվտանգության թույլ կողմերը հայտնաբերելու համար: Անմիջապես կարկատեք և վերացրեք հայտնաբերված խոցելիությունները: Հետևեք ձեր ամպային մատակարարի կողմից թողարկված անվտանգության թարմացումներին և պատչերին և համոզվեք, որ դրանք անմիջապես կիրառվում են հայտնի սպառնալիքներից պաշտպանվելու համար:
10: Կրթություն եւ ուսուցումԽթանել անվտանգության իրազեկման մշակույթը և կանոնավոր ուսուցում տրամադրել աշխատակիցներին նվազագույն արտոնությունների սկզբունքի կարևորության վերաբերյալ: Կրթեք նրանց չափից դուրս արտոնությունների հետ կապված հնարավոր ռիսկերի և լավագույն փորձի մասին, որոնք պետք է հետևել ամպային միջավայրում ռեսուրսներ մուտք գործելու և կառավարելիս:
11: Կարկատներ և թարմացումներՆվազեցրեք խոցելիությունը՝ պարբերաբար թարմացնելով բոլոր սերվերի ծրագրերը: Պահպանեք ձեր ամպային ենթակառուցվածքը և հարակից հավելվածները՝ հայտնի խոցելիություններից պաշտպանվելու համար: Ամպային պրովայդերները հաճախ թողարկում են անվտանգության պատչեր և թարմացումներ, ուստի կարևոր է արդի մնալ իրենց առաջարկություններին:
Վստահեք
Դա հանգում է վստահությանը՝ ապահովելով միայն ձեր կազմակերպության անդամներին վստահություն՝ կատարելու այն խնդիրները, որոնք նրանք պետք է անեն՝ իրենց աշխատանքը կատարելու համար: Անվտանգության փորձագետները խորհուրդ են տալիս Eroրո վստահություն. Zero Trust անվտանգության մոդելը հիմնված է երեք հիմնական սկզբունքների վրա.
- Հստակ հաստատեք – օգտագործեք բոլոր հասանելի տվյալների կետերը՝ օգտատիրոջ ինքնությունը և մուտքը հաստատելու համար:
- Օգտագործեք նվազագույն արտոնություններ ունեցող մուտքը՝ ճիշտ ժամանակին և բավականաչափ անվտանգություն:
- Ենթադրենք խախտում – գաղտնագրեք ամեն ինչ, օգտագործեք ակտիվ վերլուծություն և շտապ արձագանքեք տեղում:
Որպես ամպային և ամպային ծառայությունների սպառող, դա նույնպես հանգում է վստահությանը: Դուք պետք է ինքներդ ձեզ հարցնեք՝ «վստահո՞ւմ եմ իմ վաճառողին իմ թանկարժեք տվյալները ամպի մեջ պահելու համար»: Վստահությունը, այս դեպքում, նշանակում է, որ դուք ապավինում եք այդ ընկերության կամ դրա նման մեկի՝ անվտանգությունը կառավարելու համար, ինչպես մենք նկարագրել ենք վերևում: Որպես այլընտրանք, եթե դուք պատասխանում եք բացասական, պատրա՞ստ եք ձեր տան միջավայրում կատարել անվտանգության կառավարման նույն տեսակները: Դուք վստահու՞մ եք ինքներդ ձեզ:
Որպես ամպում ծառայություններ մատուցող ընկերություն՝ հաճախորդները վստահել են ձեզ՝ ձեր ամպային ենթակառուցվածքում իրենց տվյալները պաշտպանելու համար: Դա շարունակական գործընթաց է: Եղեք տեղեկացված ի հայտ եկած սպառնալիքների մասին, համապատասխանաբար հարմարեցրեք ձեր անվտանգության միջոցները և համագործակցեք փորձառու մասնագետների կամ անվտանգության խորհրդատուների հետ՝ ապահովելու ձեր բիզնեսի առավելագույն պաշտպանությունը մշտապես զարգացող ամպային լանդշաֆտում:
- https://www.bleepingcomputer.com/news/security/lastpass-hackers-stole-customer-vault-data-in-cloud-storage-breach/ ↑