חשיפת יתר
בוא נגיד את זה ככה, מה אתה דואג לחשוף? מהם הנכסים היקרים ביותר שלך? מספר הביטוח הלאומי שלך? פרטי חשבון הבנק שלך? מסמכים פרטיים, או תמונות? ביטוי הזרע הקריפטו שלך? אם אתה מנהל חברה, או אחראי על שמירת הנתונים, אתה עלול לדאוג שאותם סוגי מידע ייפגעו, אבל ב-abroadקנה מידה. הלקוחות שלך הופקדו על ההגנה על הנתונים שלהם.
כצרכנים, אנו לוקחים את אבטחת הנתונים שלנו כמובן מאליו. לעתים קרובות יותר ויותר בימים אלה הנתונים מאוחסנים בענן. מספר ספקים מציעים שירותים המאפשרים ללקוחות לגבות נתונים מהמחשבים המקומיים שלהם לענן. תחשוב על זה ככונן קשיח וירטואלי בשמיים. זה מפורסם כדרך בטוחה ונוחה להגן על הנתונים שלך. נוח, כן. אתה יכול לשחזר קובץ שמחקת בטעות. אתה יכול לשחזר כונן קשיח שלם שהנתונים שלו נפגמו.
אבל האם זה בטוח? מסופקים לכם מנעול ומפתח. המפתח הוא, בדרך כלל, שם משתמש וסיסמה. זה מוצפן ומוכר רק לך. לכן מומחי אבטחה ממליצים לשמור על הסיסמה שלך מאובטחת. אם מישהו מקבל גישה לסיסמה שלך, יש לו את המפתח הווירטואלי לבית הווירטואלי שלך.
אתה יודע את כל זה. הסיסמה שלך לשירות ענן הגיבוי היא באורך 16 תווים, מכילה אותיות רישיות וקטנות, מספרים וכמה תווים מיוחדים. אתה משנה את זה כל שישה חודשים כי אתה יודע שזה מקשה על ההאקר. זה שונה מהסיסמאות האחרות שלך - אתה לא משתמש באותה סיסמה עבור מספר אתרים. מה יכול להשתבש?
חברות מסוימות מציעות את מה שהן ממותגות כ"ענן אישי". מערבית Digital היא אחת מאותן חברות המספקות דרך קלה לגבות את הנתונים שלך למרחב האישי שלך בענן. זה אחסון ברשת הזמין דרך האינטרנט. הוא מתחבר לנתב ה-Wi-Fi שלך כך שתוכל לגשת אליו מכל מקום בתוך הרשת שלך. באופן נוח, מכיוון שהוא מחובר גם לאינטרנט, אתה יכול לגשת לנתונים האישיים שלך מכל מקום באינטרנט. עם הנוחות בא הסיכון.
עמדה מתפשרת
מוקדם יותר השנה, האקרים פרצו למערבון Digitalמערכות של והיו מסוגלים להוריד כ-10 TB של נתונים. לאחר מכן, הדואר השחור החזיק את הנתונים עבור כופר וניסו לנהל משא ומתן על עסקה מצפון ל-10,000,000 דולר אמריקאי להחזרה בטוחה של הנתונים. נתונים הם כמו שמן. או אולי זהב הוא אנלוגיה טובה יותר. אחד ההאקרים דיבר בתנאי של אנונימיות. הא! TechCrunch ראיין אותו בזמן שהיה בתהליך העסקה העסקית הזו. מה שמעניין הוא שהנתונים שנפגעו כללו את מערבון Digitalתעודת חתימת קוד של. זוהי המקבילה הטכנולוגית של סריקת רשתית. התעודה נועדה לזהות באופן חיובי את הבעלים או הנושא. עם סריקת רשתית וירטואלית זו, לא נדרשת סיסמה לגישה לנתונים "מאובטחים". במילים אחרות, עם התעודה הזו איש העסקים הכובע השחור הזה יכול ללכת ממש בדלת הכניסה של ה- digital אַרְמוֹן.
מערבי Digital סירב להגיב בתגובה לטענות ההאקר כי הם עדיין נמצאים ברשת של WD. ההאקר האלמוני הביע אכזבה מכך שנציגי ווסטרן Digital לא יחזיר לו שיחות. באופן רשמי, ב א בידיעה שהונפקה לתקשורת, מערבי Digital הודיעה כי "בהתבסס על החקירה עד כה, החברה מאמינה שהגורם הבלתי מורשה השיג נתונים מסוימים ממערכותיה ופועל להבנת טיבם והיקפם של נתונים אלה". אז מערבי Digital זה אמא, אבל ההאקר מקשקש. באשר לאופן שבו הם עשו זאת, ההאקר מתאר כיצד הם ניצלו נקודות תורפה ידועות והצליחו לקבל גישה לנתונים בענן כמנהל עולמי.
למנהל עולמי, מטבעו של התפקיד, יש גישה לכל דבר. הוא לא צריך את הסיסמה שלך. יש לו את המפתח הראשי.
מערבי Digital הוא לא לבד
A סקר בשנה שעברה נמצא כי ל-83% מהחברות שנסקרו היו יותר מאחד הפרת נתונים, 45% מהם היו מבוססי ענן. ה מְמוּצָע העלות של פרצת מידע בארצות הברית הייתה 9.44 מיליון דולר. העלויות חולקו לארבע קטגוריות עלויות - עסק אבוד, זיהוי והסלמה, הודעה ותגובה לאחר הפרה. (אני לא בטוח באיזו קטגוריה נמצא כופר הנתונים. לא ברור אם מישהו מהמשיבים אכן שילם דרישות כופר.) הזמן הממוצע שלוקח לארגון לזהות ולהגיב לפרצת נתונים הוא כ-9 חודשים. אין זה מפתיע, אם כן, שמספר חודשים לאחר ווסטרן Digital תחילה הכירו בפרצת נתונים, הם עדיין חוקרים.
קשה לומר בדיוק לכמה חברות היו פרצות מידע. אני מכיר חברה אחת גדולה בבעלות פרטית שהותקפה על ידי תוכנת כופר. הבעלים סירבו לנהל משא ומתן ולא שילמו. פירוש הדבר, במקום זאת, איבדו אימיילים וקבצי נתונים. הם בחרו לבנות הכל מחדש מגיבויים לא נגועים ולהתקין מחדש תוכנה. היה זמן השבתה משמעותי ואיבוד פרודוקטיביות. האירוע הזה מעולם לא היה בתקשורת. לחברה הזו היה מזל כי 66% של חברות קטנות עד בינוניות המותקפות על ידי תוכנות כופר בסופו של דבר יוצאות מהעסק תוך 6 חודשים.
- 30,000 אתרי אינטרנט הם פרוצים יומי
- 4 מיליון קבצים הם גָנוּב כל יום
- היו 22 מיליארד רשומות הפרוצה ב2021
אם אי פעם עשית עסקים עם, או השתמשת בשירותים של Capital One, Marriott, Equifax, Target או Uber, ייתכן שהסיסמה שלך נפגעה. כל אחת מהחברות הגדולות הללו סבלה מפרצת מידע משמעותית.
- Capital One: האקר השיג גישה ל-100 מיליון לקוחות ומועמדים על ידי ניצול פגיעות בתשתית הענן של החברה.
- מריוט: פרצת נתונים חשפה מידע על 500 מיליון לקוחות (הפרה הזו לא זוהתה במשך 4 שנים).
- Equifax: מידע אישי בענן על 147 מיליון לקוחות נחשף.
- יעד: פושעי סייבר ניגשו ל-40 מיליון מספרי כרטיסי אשראי.
- אובר: האקרים התפשרו על מחשב נייד של מפתח וקיבלו גישה ל-57 מיליון משתמשים ו-600,000 מנהלי התקנים.
- LastPass[1]: האקרים גנבו 33 מיליון נתונים מהכספת של לקוחות בפרצת אחסון בענן עבור חברת מנהל הסיסמאות הזו. התוקף השיג גישה לאחסון הענן של Lastpass באמצעות "מפתח גישה לאחסון ענן ומפתחות פענוח של מיכל אחסון כפול" שנגנב מסביבת המפתחים שלו.
אתה יכול לבדוק אם נחשפת בפרצת נתונים באתר זה: האם הייתי pwned? הקלד את כתובת הדוא"ל שלך וזה יראה לך בכמה פרצות נתונים נמצאה כתובת הדוא"ל. לדוגמה, הקלדתי אחת מכתובות הדוא"ל האישיות שלי וגיליתי שהיא הייתה חלק מ-25 הפרות נתונים שונות, כולל Evite , Dropbox, Adobe, LinkedIn וטוויטר.
סיכול מחזרים לא רצויים
ייתכן שלעולם לא תהיה הכרה פומבית מצד המערב Digital על מה שקרה בדיוק. התקרית אכן ממחישה שני דברים: הנתונים בענן מאובטחים רק כמו השומרים שלו ושומרי המפתחות צריכים להיות זהירים במיוחד. בפרפרזה על עקרון פיטר פארקר, עם גישה לשורש מגיעה אחריות גדולה.
ליתר דיוק, משתמש שורש ומנהל עולמי אינם זהים לחלוטין. לשניהם יש הרבה כוח אבל צריכים להיות חשבונות נפרדים. משתמש השורש הוא הבעלים והגישה לחשבון הענן הארגוני ברמה הנמוכה ביותר. ככזה, חשבון זה יכול למחוק את כל הנתונים, ה-VMs, פרטי הלקוחות - כל מה שעסק אבטח בענן. ב-AWS, יש רק משימות 10, כולל הגדרה וסגירה של חשבון AWS שלך, שבאמת דורשים גישת שורש.
יש ליצור חשבונות מנהל כדי לבצע משימות ניהוליות (דוה). בדרך כלל יש מספר חשבונות Administrator שהם בדרך כלל מבוססי אדם, בניגוד לחשבון השורש היחיד. מכיוון שחשבונות מנהלים קשורים לאדם, אתה יכול בקלות לעקוב אחר מי ביצע אילו שינויים בסביבה.
מינימום הרשאה לאבטחה מרבית
סקר פריצת המידע חקר את ההשפעה של 28 גורמים על חומרת הפרת הנתונים. השימוש באבטחת בינה מלאכותית, גישת DevSecOps, הדרכת עובדים, ניהול זהויות וגישה, MFA, ניתוחי אבטחה, כולם השפיעו לטובה בהפחתת הסכום הממוצע בדולר שאבד בתקרית. בעוד שכשלי תאימות, מורכבות מערכת האבטחה, מחסור במיומנויות אבטחה והגירת ענן היו גורמים שתרמו לעלייה נטו גבוהה יותר בעלות הממוצעת של פריצת נתונים. 
כשאתה עובר לענן, עליך להיות ערני יותר מאי פעם בהגנה על הנתונים שלך. הנה כמה דרכים נוספות לצמצם את הסיכון שלך ולנהל סביבה בטוחה יותר מא אבטחה בְּחִינָה:
1. אימות מולטי-פקטור: לאכוף MFA עבור root וכל חשבונות המנהל. אפילו טוב יותר, השתמש במכשיר MFA פיזי של חומרה. האקר פוטנציאלי יצטרך לא רק את שם החשבון והסיסמה, אלא גם את ה-MFA הפיזי שיוצר קוד מסונכרן.
2. כוח במספרים קטנים: הגבל למי יש גישה לשורש. כמה מומחי אבטחה מציעים לא יותר מ-3 משתמשים. נהל את הגישה של משתמש שורש באדיקות. אם אתה מבצע ניהול זהויות ויציאה לשום מקום אחר, עשה זאת כאן. אם אחד במעגל האמון עוזב את הארגון, שנה את סיסמת השורש. שחזר את התקן MFA.
3. הרשאות ברירת מחדל לחשבון: בעת הקצאת חשבונות משתמש או תפקידים חדשים, ודא שהם מקבלים הרשאות מינימליות כברירת מחדל. התחל עם מדיניות גישה מינימלית ולאחר מכן הענק הרשאות נוספות לפי הצורך. העיקרון של מתן אבטחה מינימלית לביצוע משימה הוא מודל שיעמוד בתקני תאימות אבטחה SOC2. הרעיון הוא שלכל משתמש או אפליקציה צריכה להיות אבטחה מינימלית הנדרשת לביצוע הפונקציה הנדרשת. ככל שהפריבילגיה שנפגעת גבוהה יותר, כך הסיכון גדול יותר. לעומת זאת, ככל שהפריבילגיה הנחשפת נמוכה יותר, הסיכון נמוך יותר.
4. הרשאות ביקורת: בדוק וסקור באופן קבוע את ההרשאות המוקצות למשתמשים, לתפקידים ולחשבונות בסביבת הענן שלך. זה מבטיח שלאנשים יש רק את ההרשאה הדרושה לביצוע המשימות המיועדות להם.
5. ניהול זהויות והטבות בדיוק בזמן: זהה ושלל כל הרשאות מופרזות או שאינן בשימוש כדי למזער את הסיכון של גישה לא מורשית. ספק זכויות גישה למשתמשים רק כאשר הם דורשים אותן עבור משימה מסוימת או תקופה מוגבלת. זה ממזער את משטח ההתקפה ומצמצם את חלון ההזדמנויות לאיומי אבטחה פוטנציאליים. 
6. אישורים משובצים: אסרו את הקידוד הקשיח של אימות לא מוצפן (שם משתמש, סיסמה, מפתחות גישה) בסקריפטים, בעבודות או בקוד אחר. במקום זאת תסתכל לתוך א מנהל סודות שבו אתה יכול להשתמש כדי לאחזר אישורים באופן תכנותי.
7. תצורת תשתית כקוד (IaC).: היצמד לשיטות האבטחה המומלצות בעת הגדרת תשתית הענן שלך באמצעות כלי IaC כמו AWS CloudFormation או Terraform. הימנע מהענקת גישה ציבורית כברירת מחדל והגביל את הגישה למשאבים לרשתות, משתמשים או כתובות IP מהימנות בלבד. השתמש בהרשאות מעודנות ובמנגנוני בקרת גישה כדי לאכוף את עקרון ההרשאות הקטנות ביותר.
8. רישום פעולות: אפשר רישום וניטור מקיף של פעולות ואירועים בתוך סביבת הענן שלך. לכוד ולנתח יומנים עבור כל פעילות חריגה או פוטנציאלית זדונית. הטמעו פתרונות חזקים של ניהול יומנים ומידע אבטחה וניהול אירועים (SIEM) כדי לזהות ולהגיב לאירועי אבטחה באופן מיידי.
9. הערכות פגיעות רגילות: בצע הערכות פגיעות קבועות ובדיקות חדירה כדי לזהות חולשות אבטחה בסביבת הענן שלך. תיקון ותיקון כל פגיעות שזוהתה באופן מיידי. עקוב אחר עדכוני אבטחה ותיקונים שפורסמו על ידי ספק הענן שלך והבטח שהם מיושמים באופן מיידי כדי להגן מפני איומים ידועים.
10. חינוך והכשרה: לקדם תרבות של מודעות לאבטחה ולהעניק הכשרה שוטפת לעובדים לגבי חשיבות עקרון הזכות הקטנה ביותר. למד אותם על הסיכונים הפוטנציאליים הקשורים בהרשאות מופרזות ועל השיטות המומלצות שיש לנקוט בהן בעת גישה וניהול משאבים בסביבת הענן.
11. תיקונים ועדכונים: צמצם את הפגיעויות על ידי עדכון קבוע של כל תוכנות השרת. שמור את תשתית הענן והיישומים המשויכים שלך מעודכנים כדי להגן מפני נקודות תורפה ידועות. ספקי ענן משחררים לעתים קרובות תיקוני אבטחה ועדכוני אבטחה, כך שחשוב להישאר מעודכן בהמלצות שלהם.
סומך
זה מסתכם באמון - לספק רק לאלו בארגון שלך את האמון לבצע את המשימות שהם צריכים לעשות כדי לבצע את עבודתם. מומחי אבטחה ממליצים אפס אמון. מודל האבטחה של Zero Trust מבוסס על שלושה עקרונות מרכזיים:
- אמת במפורש - השתמש בכל נקודות הנתונים הזמינות כדי לאמת את זהות המשתמש והגישה שלו.
- השתמש בגישה הכי נמוכה - בדיוק בזמן ובדיוק מספיק אבטחה.
- נניח הפרה - הצפין הכל, השתמש באנליטיקה יזומה ותגוב חירום במקום.
כצרכן של שירותי הענן והענן, זה מסתכם גם באמון. אתה צריך לשאול את עצמך, "האם אני סומך על הספק שלי שיאחסן את הנתונים היקרים שלי בענן?" אמון, במקרה זה, פירושו שאתה סומך על אותה חברה, או על חברה דומה לה, כדי לנהל את האבטחה כפי שתיארנו לעיל. לחילופין, אם תשיב בשלילה, האם אתה מוכן לבצע את אותם סוגי פעילות ניהול אבטחה בסביבת הבית שלך. האם אתה סומך על עצמך?
כחברה המספקת שירותים בענן, לקוחות נתנו בך אמון כדי לשמור על הנתונים שלהם בתשתית הענן שלך. זה תהליך מתמשך. הישאר מעודכן לגבי איומים מתעוררים, התאם את אמצעי האבטחה שלך בהתאם, ושתף פעולה עם אנשי מקצוע מנוסים או יועצי אבטחה כדי להבטיח את ההגנה המרבית לעסק שלך בנוף הענן המתפתח ללא הרף.
- https://www.bleepingcomputer.com/news/security/lastpass-hackers-stole-customer-vault-data-in-cloud-storage-breach/ ↑
