Kita ngomong babagan keamanan ing awan

Over Exposure

Ayo dadi kaya mangkene, apa sing sampeyan kuwatir babagan mbabarake? Apa aset sampeyan sing paling larang? Nomer Jaminan Sosial sampeyan? Informasi akun bank sampeyan? Dokumen pribadi, utawa foto? Frasa wiji crypto sampeyan? Yen sampeyan ngatur perusahaan, utawa tanggung jawab kanggo nyimpen data, sampeyan bisa uga kuwatir babagan jinis informasi sing padha sing bakal dikompromi, nanging ing abroader skala. Sampeyan wis dipasrahake dening pelanggan kanggo nglindhungi data kasebut.

Minangka konsumen, kita njupuk keamanan data kita kanggo diwenehake. Saiki, luwih asring data kasebut disimpen ing méga. Sawetara vendor nawakake layanan sing ngidini pelanggan nggawe serep data saka komputer lokal menyang awan. Mikir minangka hard drive virtual ing langit. Iki diiklanake minangka cara sing aman lan trep kanggo nglindhungi data sampeyan. Trep, ya. Sampeyan bisa mbalekake file sing ora sengaja dibusak. Sampeyan bisa mulihake kabeh hard drive sing data wis rusak.

Nanging apa aman? Sampeyan diwenehi kunci lan kunci. Kuncine, biasane, jeneng pangguna lan sandhi. Iki dienkripsi lan mung sampeyan ngerti. Pramila pakar keamanan nyaranake supaya tembung sandhi sampeyan tetep aman. Yen wong entuk akses menyang sandhi sampeyan, dheweke duwe kunci virtual menyang omah virtual sampeyan.

Sampeyan ngerti kabeh iki. Tembung sandhi kanggo layanan maya serep dawane 16 karakter, ngemot huruf gedhe lan cilik, nomer lan karakter khusus saperangan. Sampeyan ngganti saben nem sasi amarga sampeyan ngerti sing ndadekake iku harder kanggo hacker. Iki beda karo tembung sandhi liyane – sampeyan ora nggunakake tembung sandhi sing padha kanggo macem-macem situs. Apa bisa salah?

Sawetara perusahaan nawakake apa sing dicap minangka "Awan Pribadi." barat Digital minangka salah sawijining perusahaan sing nyedhiyakake cara sing gampang kanggo nggawe serep data menyang ruang pribadi ing awan. Iku panyimpenan jaringan kasedhiya liwat internet. Disambungake menyang router Wi-Fi supaya sampeyan bisa ngakses saka ngendi wae ing jaringan sampeyan. Gampang, amarga uga nyambung menyang internet, sampeyan bisa ngakses data pribadhi saka ngendi wae ing internet. Kanthi penak teka resiko.

Posisi Kompromi

Awal taun iki, peretas mlebu ing Kulon Digital's sistem lan bisa ngundhuh kira-kira 10 Tb data. Pengirim ireng banjur nyekel data kanggo tebusan lan nyoba negosiasi kesepakatan ing sisih lor US $ 10,000,000 kanggo mbalekake data kanthi aman. Data kaya lenga. Utawa mungkin emas minangka analogi sing luwih apik. Salah sawijining peretas ngomong babagan kondisi anonimitas. Ha! TechCrunch diwawancarai nalika dheweke ana ing proses kesepakatan bisnis iki. Sing menarik yaiku data sing dikompromi kalebu Barat Digitalsertifikat penandatanganan kode. Iki minangka teknologi sing padha karo scan retina. Sertifikat kasebut dimaksudake kanggo ngenali kanthi positif pemilik utawa sing duwe. Kanthi pindai retina virtual iki, ora ana tembung sandhi sing dibutuhake kanggo ngakses data "aman". Ing tembung liyane,, karo certificate iki pengusaha topi ireng bisa lumaku tengen ing lawang ngarep digital kraton.

Western Digital nolak kanggo Komentar kanggo nanggepi claims hacker sing isih ing jaringan WD. Peretas sing ora dijenengi nyatakake kuciwane wakil ing Kulon Digital ora bakal bali telpon. Resmi, ing a press release, Kulon Digital ngumumake yen, "Adhedhasar investigasi nganti saiki, Perusahaan yakin pihak sing ora sah entuk data tartamtu saka sistem kasebut lan ngupayakake ngerti sifat lan ruang lingkup data kasebut." Dadi, Barat Digital iku mbok, nanging hacker iku blabbing. Minangka carane nindakake, peretas nerangake carane ngeksploitasi kerentanan sing dikenal lan bisa entuk akses menyang data ing awan minangka administrator global.

Administrator global, kanthi sifat peran, nduweni akses menyang kabeh. Dheweke ora butuh sandhi sampeyan. Dheweke duwe kunci master.

Western Digital ora Piyambak

A survey pungkasan taun ketemu sing 83% saka perusahaan survey wis luwih saka siji nglanggar data, 45% sing adhedhasar awan. Ing rata-rata biaya pelanggaran data ing Amerika Serikat yaiku US $9.44 yuta. Biaya dipérang dadi patang kategori biaya - bisnis sing ilang, deteksi lan eskalasi, kabar lan tanggapan pelanggaran kiriman. (Aku ora yakin apa kategori tebusan data. Ora jelas manawa ana responden sing mbayar panjaluk tebusan.) Wektu rata-rata sing dibutuhake organisasi kanggo ngenali lan nanggapi pelanggaran data yaiku udakara 9 wulan. Dadi ora kaget yen sawetara sasi sawise Western Digital pisanan ngakoni pelanggaran data, dheweke isih nyelidiki.

Iku angel ngomong persis carane akeh perusahaan wis nglanggar data. Aku ngerti siji perusahaan swasta gedhe sing diserang dening ransomware. Sing nduweni ora gelem rembugan lan ora mbayar. Tegese, tinimbang, ilang email lan file data. Dheweke milih mbangun kabeh saka serep sing ora kena infeksi lan nginstal piranti lunak maneh. Ana wektu mudhun sing signifikan lan ilang produktivitas. Acara iki ora tau ana ing media. Sing perusahaan begja amarga 66% perusahaan cilik nganti medium sing diserang ransomware bakal metu saka bisnis sajrone 6 wulan.

• 30,000 situs web disusupi dina
• 4 yuta file dicolong saben dina
• 22 milyar cathetan padha nubruk ing 2021

Yen sampeyan wis nate nindakake bisnis, utawa nggunakake layanan Capital One, Marriott, Equifax, Target utawa Uber, bisa uga sandhi sampeyan dikompromi. Saben perusahaan utama iki ngalami pelanggaran data sing signifikan.

• Capital One: Peretas entuk akses menyang 100 yuta pelanggan lan pelamar kanthi ngeksploitasi kerentanan ing infrastruktur awan perusahaan.
• Marriott: Pelanggaran data nuduhake informasi babagan 500 yuta pelanggan (pelanggaran iki ora bisa dideteksi sajrone 4 taun).
• Equifax: Informasi pribadi ing awan babagan 147 yuta pelanggan kapapar.
• Target: Cybercriminals ngakses 40 yuta nomer kertu kredit.
• Uber: Peretas kompromi laptop pangembang lan entuk akses menyang 57 yuta pangguna lan 600,000 driver.
• LastPass^[1]: Peretas nyolong data kubah 33 yuta pelanggan ing pelanggaran panyimpenan maya kanggo perusahaan manajer sandi iki. Penyerang entuk akses menyang panyimpenan maya Lastpass nggunakake "kunci akses panyimpenan awan lan kunci dekripsi wadhah panyimpenan ganda" sing dicolong saka lingkungan pangembang.

Sampeyan bisa mriksa manawa sampeyan wis ngalami pelanggaran data ing situs web iki: aku wis pwn? Ketik alamat email sampeyan lan bakal nuduhake sampeyan carane akeh data nglanggar alamat email sing wis ditemokake. Contone, aku ngetik salah siji alamat email pribadi lan nemokake yen wis dadi bagean saka 25 pelanggaran data sing beda, kalebu Evite , Dropbox, Adobe, LinkedIn lan Twitter.

Ngalang-alangi Penipu sing Ora Dikarepake

Bisa uga ora ana pengakuan umum saka Barat Digital saka persis apa kedaden. Kedadeyan kasebut nggambarake rong perkara: data ing méga mung aman kaya penjaga lan penjaga kunci kudu ati-ati. Kanggo paraphrase Prinsip Peter Parker, kanthi akses root dadi tanggung jawab gedhe.

Kanggo luwih tepat, pangguna root lan administrator global ora persis padha. Loro-lorone duwe kekuwatan akeh nanging kudu dadi akun sing kapisah. Pangguna root nduweni lan nduweni akses menyang akun maya perusahaan ing tingkat paling murah. Dadi, akun iki bisa mbusak kabeh data, VM, informasi pelanggan - kabeh sing diamanake bisnis ing awan. Ing AWS, mung ana 10 tugas, kalebu nyetel lan nutup akun AWS, sing pancene mbutuhake akses root.

Akun administrator kudu digawe kanggo nindakake tugas administratif (duh). Biasane ana sawetara akun Administrator sing biasane adhedhasar wong, ora kaya akun root tunggal. Amarga akun Administrator diikat karo individu, sampeyan bisa kanthi gampang ngawasi sapa sing nggawe owah-owahan ing lingkungan.

Hak Istimewa Paling Paling kanggo Keamanan Maksimal

Survei pelanggaran data nyinaoni pengaruh 28 faktor ing tingkat keruwetan pelanggaran data. Panggunaan keamanan AI, pendekatan DevSecOps, pelatihan karyawan, manajemen identitas lan akses, MFA, analytics keamanan kabeh duwe pengaruh positif kanggo nyuda jumlah dolar rata-rata sing ilang sajrone kedadeyan. Dene, kegagalan kepatuhan, kerumitan sistem keamanan, kekurangan katrampilan keamanan, lan migrasi awan minangka faktor sing nyebabake kenaikan net sing luwih dhuwur ing biaya rata-rata pelanggaran data.

Nalika sampeyan pindhah menyang awan, sampeyan kudu luwih waspada tinimbang sadurunge kanggo nglindhungi data sampeyan. Kene sawetara cara tambahan kanggo nyuda resiko lan mbukak lingkungan luwih aman saka a keamanan sudut pandang:

1. Muli-faktor Authentication: ngetrapake MFA kanggo root lan kabeh akun Administrator. Luwih apik, gunakake piranti MFA hardware fisik. Peretas potensial ora mung mbutuhake jeneng akun lan sandhi, nanging uga MFA fisik sing ngasilake kode sing disinkronake.

2. Daya ing jumlah cilik: Watesi sing nduweni akses menyang ROOT. Sawetara ahli keamanan nyaranake ora luwih saka 3 pangguna. Ngatur akses pangguna root kanthi tekun. Yen sampeyan nindakake manajemen identitas lan ora ana ing papan liya, lakoni ing kene. Yen salah siji ing bunder saka kapercayan ninggalake organisasi, ngganti tembung sandhi ROOT. Waras piranti MFA.

3. Hak Istimewa Akun Default: Nalika nyedhiyakake akun pangguna utawa peran anyar, priksa manawa dheweke diwenehi hak istimewa minimal kanthi standar. Mulai karo kabijakan akses minimal banjur wenehi ijin tambahan yen perlu. Prinsip nyedhiyakake keamanan paling ora kanggo ngrampungake tugas yaiku model sing bakal ngliwati standar kepatuhan keamanan SOC2. Konsep kasebut yaiku pangguna utawa aplikasi apa wae kudu duwe keamanan minimal sing dibutuhake kanggo nindakake fungsi sing dibutuhake. Sing luwih dhuwur hak istimewa sing dikompromi, luwih gedhe risiko. Kosok baline, luwih murah hak istimewa sing kapapar, luwih murah risiko.

4. Hak Auditing: Audit lan deleng kanthi rutin hak istimewa sing ditugasake kanggo pangguna, peran, lan akun ing lingkungan maya sampeyan. Iki njamin manawa individu mung duwe ijin sing dibutuhake kanggo nindakake tugas sing wis ditemtokake.

5. Manajemen Identitas lan Hak Istimewa Just-in-time: Ngenali lan mbatalake hak istimewa sing gedhe banget utawa ora digunakake kanggo nyilikake risiko akses sing ora sah. Mung menehi hak akses kanggo pangguna nalika mbutuhake kanggo tugas tartamtu utawa wektu winates. Iki nyilikake lumahing serangan lan nyuda jendhela kesempatan kanggo ancaman keamanan potensial.

6. Kapercayan sing dipasang: Larang coding hard otentikasi sing ora dienkripsi (jeneng panganggo, sandi, kunci akses) ing skrip, proyek, utawa kode liyane. Nanging katon menyang a manager rahasia sing bisa digunakake kanggo njupuk kredensial kanthi program.

7. Konfigurasi Infrastructure-as-Code (IaC).: Patuhi praktik paling apik keamanan nalika ngonfigurasi infrastruktur awan sampeyan nggunakake alat IaC kaya AWS CloudFormation utawa Terraform. Aja menehi akses umum kanthi standar lan matesi akses menyang sumber daya mung kanggo jaringan, pangguna, utawa alamat IP sing dipercaya. Gunakake ijin sing apik lan mekanisme kontrol akses kanggo ngetrapake prinsip hak istimewa sing paling sithik.

8. Logging saka Tindakan: Aktifake logging lengkap lan ngawasi tumindak lan acara ing lingkungan maya sampeyan. Jupuk lan nganalisa log kanggo kegiatan sing ora biasa utawa duweni potensi angkoro. Ngleksanakake manajemen log lan informasi keamanan lan manajemen acara (SIEM) sing kuat kanggo ndeteksi lan nanggapi kedadeyan keamanan kanthi cepet.

9. Assessment Kerentanan Reguler: Tindakake penilaian kerentanan lan tes penetrasi rutin kanggo ngenali kelemahan keamanan ing lingkungan maya sampeyan. Patch lan ndandani kerentanan sing diidentifikasi kanthi cepet. Lacak nganyari keamanan lan patch sing dirilis dening panyedhiya maya lan priksa manawa aplikasi kasebut langsung ditrapake kanggo nglindhungi saka ancaman sing dikenal.

10. Pendidikan lan Training: Ningkatake budaya kesadaran keamanan lan menehi latihan rutin kanggo karyawan babagan pentinge prinsip hak istimewa sing paling sithik. Ajar dheweke babagan risiko potensial sing ana gandhengane karo hak istimewa sing berlebihan lan praktik paling apik sing kudu ditindakake nalika ngakses lan ngatur sumber daya ing lingkungan awan.

11. Patch lan Update: Ngurangi kerentanan kanthi nganyari kabeh piranti lunak server kanthi rutin. Tansah prasarana awan lan aplikasi sing gegandhengan dadi anyar kanggo nglindhungi saka kerentanan sing dikenal. Panyedhiya awan asring ngeculake patch keamanan lan nganyari, mula tetep karo rekomendasi kasebut penting banget.

dateng

Dadi percaya - mung nyedhiyakake kepercayaan kanggo organisasi sampeyan kanggo ngrampungake tugas sing kudu ditindakake supaya bisa rampung. Pakar keamanan nyaranake Trust Nol. Model keamanan Zero Trust adhedhasar telung prinsip utama:

• Verifikasi kanthi eksplisit – gunakake kabeh titik data sing kasedhiya kanggo validasi identitas lan akses pangguna.
• Gunakake akses paling ora duwe hak istimewa - pas wektune lan keamanan sing cukup.
• Nganggep pelanggaran - enkripsi kabeh, gunakake analytics proaktif lan duwe respon darurat.

Minangka konsumen layanan maya lan awan, uga dipercaya. Sampeyan kudu takon dhewe, "Apa aku dipercaya vendor kanggo nyimpen data larang regane ing méga?" Kapercayan, ing kasus iki, tegese sampeyan ngandelake perusahaan kasebut, utawa sing kaya ngono, kanggo ngatur keamanan kaya sing wis kasebut ing ndhuwur. Utawa, yen sampeyan mangsuli kanthi negatif, apa sampeyan wis siyap nindakake kegiatan manajemen keamanan sing padha ing lingkungan omah sampeyan. Apa sampeyan dipercaya dhewe?

Minangka perusahaan sing nyedhiyakake layanan ing awan, para pelanggan wis percaya marang sampeyan kanggo njaga data ing infrastruktur awan sampeyan. Iku proses sing terus-terusan. Tetep ngerti babagan ancaman sing muncul, atur langkah-langkah keamanan sampeyan, lan kolaborasi karo profesional utawa konsultan keamanan sing berpengalaman kanggo njamin perlindungan maksimal kanggo bisnis sampeyan ing lanskap awan sing terus berkembang.

1. https://www.bleepingcomputer.com/news/security/lastpass-hackers-stole-customer-vault-data-in-cloud-storage-breach/ ↑