私たちはクラウドのセキュリティについて話しています

露出曝露

このように言っておきますが、暴露することで何を心配していますか？ あなたの最も貴重な資産は何ですか? あなたの社会保障番号は? あなたの銀行口座情報は？ 私的な文書や写真はありますか? あなたの暗号シードフレーズは何ですか？ 会社を経営している場合、またはデータの保管責任を負っている場合は、同じ種類の情報が侵害されるのではないかと心配するかもしれませんが、roadえースケール。 あなたは顧客からデータの保護を委託されています。

消費者として、私たちはデータのセキュリティを当然のことと考えています。 最近では、データがクラウドに保存されることが増えています。 多くのベンダーが、顧客がローカル コンピューターからクラウドにデータをバックアップできるサービスを提供しています。 これを空にある仮想ハード ドライブと考えてください。 これは、データを保護する安全かつ便利な方法として宣伝されています。 便利です、はい。 誤って削除してしまったファイルを復元できます。 データが破損したハードドライブ全体を復元できます。

しかし、それは安全ですか？ ロックとキーが提供されます。 キーは通常、ユーザー名とパスワードです。 それは暗号化されており、あなただけが知っています。 このため、セキュリティ専門家はパスワードを安全に保管することを推奨しています。 誰かがあなたのパスワードにアクセスすると、その人はあなたの仮想ハウスへの仮想鍵を手に入れることになります。

あなたはこれらすべてを知っています。 バックアップ クラウド サービスのパスワードは 16 文字で、大文字と小文字、数字、およびいくつかの特殊文字が含まれています。 XNUMX か月ごとに変更するのは、それによってハッカーが攻撃しにくくなることがわかっているからです。 他のパスワードとは異なります。複数のサイトで同じパスワードを使用することはありません。 何が問題になる可能性がありますか?

一部の企業は、「パーソナル クラウド」と名付けたものを提供しています。 西洋料理 Digital は、クラウド内の個人スペースにデータをバックアップする簡単な方法を提供する企業の XNUMX つです。 インターネット経由で利用できるネットワークストレージです。 Wi-Fi ルーターに接続すると、ネットワーク内のどこからでもアクセスできます。 便利なことに、インターネットにも接続されているため、インターネット上のどこからでも個人データにアクセスできます。 便利さにはリスクが伴います。

妥協的な立場

今年初め、ハッカーが西部に侵入した Digitalのシステムを使用し、約 10 Tb のデータをダウンロードできました。 その後、ブラックメール送信者は身代金目的でデータを保持し、データを安全に返却するために 10,000,000 万米ドルを超える取引を交渉しようとしました。 データは石油のようなものです。 あるいは、金のほうが適切かもしれません。 ハッカーの一人は匿名を条件に語った。 はぁ！ TechCrunchの このビジネス取引の手続き中に彼にインタビューした。 興味深いのは、侵害されたデータには西洋諸国のデータが含まれていることです。 Digitalのコード署名証明書。 これは技術的には網膜スキャンに相当します。 証明書は、所有者または所持者を明確に識別することを目的としています。 この仮想網膜スキャンを使用すると、「保護された」データへのアクセスにパスワードは必要ありません。 言い換えれば、この証明書があれば、このブラックハットの実業家は、会社の正面玄関に入ることができます。 digital 城。

西部の Digital ハッカーはまだWDのネットワークにいたという主張に対し、同社はコメントを控えた。 匿名のハッカーは、ウェスタンの代表者が次のように述べたことに失望を表明した。 Digital 折り返しの電話をしなかった。 正式には、 プレスリリース、西洋 Digital は「これまでの調査に基づいて、当社は無許可の当事者が当社のシステムから特定のデータを取得したと考えており、そのデータの性質と範囲の把握に取り組んでいる」と発表した。 それで、西洋 Digital はママですが、ハッカーはしゃべっています。 どのようにしてそれを行ったのかについて、ハッカーはどのようにして既知の脆弱性を悪用し、全体管理者としてクラウド内のデータにアクセスすることができたのかを説明しています。

グローバル管理者は、役割の性質上、すべてにアクセスできます。 彼はあなたのパスワードを必要としません。 彼はマスターキーを持っています。

西部の Digital ひとりじゃない

A 調査 昨年、調査対象となった企業の 83% が、 複数の データ侵害、そのうち 45% がクラウドベースでした。 の 平均 米国におけるデータ侵害の被害額は 9.44 万米ドルでした。 コストは、ビジネス損失、検出とエスカレーション、通知、侵害後の対応という 9 つのコスト カテゴリに分類されました。 (データ身代金がどのカテゴリに分類されるのかはわかりません。回答者の中に身代金要求を支払った人がいるかどうかは明らかではありません。) 組織がデータ侵害を特定して対応するまでにかかる平均時間は約 XNUMX か月です。 したがって、西部劇の数か月後であることは驚くべきことではありません。 Digital データ侵害を最初に認めましたが、現在も調査中です。

データ侵害が発生した企業の数を正確に言うことは困難です。 私は、ランサムウェアによる攻撃を受けた大規模な非公開企業を知っています。 所有者は交渉を拒否し、支払いをしませんでした。 つまり、電子メールとデータ ファイルが失われることになります。 彼らは、感染していないバックアップからすべてを再構築し、ソフトウェアを再インストールすることを選択しました。 大幅なダウンタイムが発生し、生産性が低下しました。 この出来事は決してメディアには取り上げられませんでした。 あの会社は幸運だった、なぜなら 視聴者の３８%が ランサムウェアの攻撃を受けた中小企業の割合は 6 か月以内に廃業に追い込まれています。

• 30,000 の Web サイトは SIMカード製造会社の最大手がアメリカやイギリスのスパイ機関によってハッキングされたとの情報が見つかっている。 daily
• 4万ファイルは 盗まれました 毎日
• 22億件のレコードがあった 違反した in 2021

Capital One、Marriott、Equifax、Target、または Uber と取引したことがある場合、またはそのサービスを利用したことがある場合は、パスワードが漏洩した可能性があります。 これらの大手企業はそれぞれ重大なデータ侵害に見舞われました。

• Capital One: ハッカーが会社のクラウド インフラストラクチャの脆弱性を悪用し、100 億人の顧客と応募者にアクセスしました。
• マリオット: データ侵害により 500 億人の顧客情報が流出しました (この侵害は 4 年間検出されませんでした)。
• Equifax: クラウド内の 147 億 XNUMX 万人の顧客の個人情報が流出しました。
• 標的: サイバー犯罪者は 40 万件のクレジット カード番号にアクセスしました。
• Uber: ハッカーが開発者のラップトップを侵害し、57 万人のユーザーと 600,000 万人のドライバーにアクセスしました。
• のLastPass^【1]: このパスワード マネージャー会社のクラウド ストレージ侵害により、ハッカーが 33 万件の顧客の保管庫データを盗みました。 攻撃者は、開発環境から盗んだ「クラウド ストレージ アクセス キーとデュアル ストレージ コンテナの復号キー」を使用して、Lastpass のクラウド ストレージにアクセスしました。

次の Web サイトで、データ侵害にさらされているかどうかを確認できます。 私はpwnedされている？ 電子メール アドレスを入力すると、その電子メール アドレスが見つかったデータ侵害の件数が表示されます。たとえば、個人の電子メール アドレスの 25 つを入力したところ、それが Evite を含む XNUMX 件の異なるデータ侵害の一部であったことがわかりました。 、Dropbox、Adobe、LinkedIn、Twitter。

望まない求婚者を阻止する

西側諸国が公的に認めることは決してないかもしれない Digital まさに何が起こったのか。 このインシデントは XNUMX つのことを示しています。クラウド内のデータの安全性はその管理者によって決まること、およびキーの管理者は特に注意する必要があるということです。 ピーター・パーカーの原則を言い換えると、root アクセスには大きな責任が伴います。

より正確に言えば、root ユーザーとグローバル管理者はまったく同じではありません。 どちらも大きな権限を持っていますが、別のアカウントにする必要があります。 root ユーザーは、最下位レベルの企業クラウド アカウントを所有し、アクセスできます。 そのため、このアカウントは、企業がクラウドで保護しているすべてのデータ、VM、顧客情報を削除する可能性があります。 AWS には、 10タスクAWS アカウントの設定と閉鎖を含む、本当に root アクセスが必要な作業。

管理タスクを実行するには、管理者アカウントを作成する必要があります (当たり前のこと)。 通常、単一の root アカウントとは異なり、個人ベースの管理者アカウントが複数存在します。 管理者アカウントは個人に関連付けられているため、誰が環境にどのような変更を加えたかを簡単に監視できます。

最小限の権限で最大限のセキュリティを実現

データ侵害に関する調査では、データ侵害の深刻度に対する 28 の要因の影響が調査されました。 AI セキュリティ、DevSecOps アプローチ、従業員トレーニング、ID とアクセス管理、MFA、セキュリティ分析の使用はすべて、インシデントによる平均損失額の削減にプラスの影響を及ぼしました。 一方、コンプライアンスの違反、セキュリティ システムの複雑さ、セキュリティ スキルの不足、クラウドへの移行は、データ侵害の平均コストの純増加の増加に寄与する要因でした。

クラウドに移行するときは、データの保護についてこれまで以上に注意する必要があります。 リスクを軽減し、より安全な環境を実行するための追加の方法をいくつか紹介します。 セキュリティ 立場：

1. 多要素認証: root およびすべての管理者アカウントに対して MFA を強制します。 さらに良いのは、物理ハードウェア MFA デバイスを使用することです。 潜在的なハッカーには、アカウント名とパスワードだけでなく、同期されたコードを生成する物理的な MFA も必要になります。

2. 少数の力: ルートにアクセスできる人を制限します。 一部のセキュリティ専門家は、ユーザーは 3 人以下にすることを推奨しています。 root ユーザーのアクセスを綿密に管理します。 ID 管理とオフボーディングを他では実行しない場合は、ここで実行してください。 信頼の輪のメンバーが組織を離れた場合は、root パスワードを変更してください。 MFA デバイスを回復します。

3. デフォルトのアカウント権限: 新しいユーザー アカウントまたはロールをプロビジョニングするときは、デフォルトで最小限の権限が付与されていることを確認してください。 最小限のアクセス ポリシーから始めて、必要に応じて追加のアクセス許可を付与します。 タスクを達成するために最小限のセキュリティを提供するという原則は、SOC2 セキュリティ コンプライアンス標準に合格するモデルです。 コンセプトは、どのユーザーまたはアプリケーションも、必要な機能を実行するために必要な最小限のセキュリティを備えている必要があるということです。 侵害される特権が高くなるほど、リスクも大きくなります。 逆に、公開される権限が低いほど、リスクは低くなります。

4. 監査権限: クラウド環境内のユーザー、ロール、アカウントに割り当てられた権限を定期的に監査して確認します。 これにより、各個人は、指定されたタスクを実行するために必要な権限のみを持つことが保証されます。

5. ID管理とジャストインタイム権限: 過剰な権限または未使用の権限を特定して取り消し、不正アクセスのリスクを最小限に抑えます。 特定のタスクまたは限られた期間でユーザーが必要な場合にのみ、ユーザーにアクセス権を提供します。 これにより、攻撃対象領域が最小限に抑えられ、潜在的なセキュリティ脅威の機会が減少します。

6. 埋め込み認証情報: スクリプト、ジョブ、またはその他のコードでの暗号化されていない認証 (ユーザー名、パスワード、アクセス キー) のハードコーディングを禁止します。 代わりに調べてください 秘密マネージャー プログラムで資格情報を取得するために使用できます。

7. コードとしてのインフラストラクチャ (IaC) 構成: AWS CloudFormation や Terraform などの IaC ツールを使用してクラウド インフラストラクチャを構成する場合は、セキュリティのベスト プラクティスに従ってください。 デフォルトでパブリック アクセスを許可することを避け、リソースへのアクセスを信頼できるネットワーク、ユーザー、または IP アドレスのみに制限します。 きめ細かい権限とアクセス制御メカニズムを利用して、最小特権の原則を強制します。

8. アクションのログ記録: クラウド環境内のアクションとイベントの包括的なログ記録と監視を可能にします。 異常なアクティビティや潜在的に悪意のあるアクティビティのログを取得して分析します。 堅牢なログ管理とセキュリティ情報およびイベント管理 (SIEM) ソリューションを実装して、セキュリティ インシデントを迅速に検出して対応します。

9. 定期的な脆弱性評価: 定期的に脆弱性評価と侵入テストを実行して、クラウド環境のセキュリティの弱点を特定します。 特定された脆弱性には直ちにパッチを適用し、修正します。 クラウド プロバイダーによってリリースされたセキュリティ アップデートとパッチを追跡し、既知の脅威から保護するためにそれらがすぐに適用されるようにします。

10. 教育、訓練: セキュリティ意識の文化を促進し、最小限の特権の原則の重要性について従業員に定期的なトレーニングを提供します。 過剰な権限に関連する潜在的なリスクと、クラウド環境内のリソースにアクセスして管理する際に従うべきベスト プラクティスについて教育します。

11. パッチとアップデート: すべてのサーバー ソフトウェアを定期的に更新することで脆弱性を軽減します。 既知の脆弱性から保護するために、クラウド インフラストラクチャと関連アプリケーションを最新の状態に保ちます。 クラウド プロバイダーはセキュリティ パッチやアップデートを頻繁にリリースするため、推奨事項を常に最新の状態に保つことが重要です。

信頼

それは結局のところ信頼です。組織内のメンバーにのみ、仕事を遂行するために必要なタスクを実行する信頼を提供します。 セキュリティ専門家が推奨する ゼロトラスト。 ゼロ トラスト セキュリティ モデルは、次の XNUMX つの主要な原則に基づいています。

• 明示的に検証 – 利用可能なすべてのデータ ポイントを使用して、ユーザーの ID とアクセスを検証します。
• 最小限の特権アクセスを使用して、ジャストインタイムで十分なセキュリティを確保します。
• 侵害を想定 – すべてを暗号化し、プロアクティブな分析を採用し、緊急対応を準備します。

クラウドとクラウド サービスの消費者として、それは結局のところ信頼にもつながります。 「貴重なデータをクラウドに保存するベンダーを信頼できるか?」と自問する必要があります。 この場合の信頼とは、上で説明したように、セキュリティの管理をその会社またはそれに類する会社に依存することを意味します。 あるいは、否定的に答えた場合は、自宅環境でも同じ種類のセキュリティ管理活動を実行する準備ができていますか。 あなたは自分自身を信頼していますか？

クラウドでサービスを提供する企業として、顧客はクラウド インフラストラクチャ内のデータを保護するために貴社を信頼しています。 それは継続的なプロセスです。 新たな脅威に関する情報を常に入手し、それに応じてセキュリティ対策を調整し、経験豊富な専門家やセキュリティ コンサルタントと協力して、進化し続けるクラウド環境でビジネスを最大限に保護します。

1. https://www.bleepingcomputer.com/news/security/lastpass-hackers-stole-customer-vault-data-in-cloud-storage-breach/ ↑