Біз бұлттағы қауіпсіздік туралы айтып отырмыз
Артық экспозиция
Оны былай қояйық, нені әшкерелеуге алаңдайсыз? Сіздің ең құнды активтеріңіз қандай? Сіздің әлеуметтік сақтандыру нөміріңіз? Сіздің банктік шотыңыз туралы ақпарат? Жеке құжаттар ма, әлде фотосуреттер ме? Сіздің криптографиялық фразаңыз? Егер сіз компанияны басқарсаңыз немесе деректердің сақталуына жауапты болсаңыз, ақпараттың бірдей түрлерінің бұзылуына алаңдауыңыз мүмкін, бірақroader масштабы. Сізге тұтынушылар деректерін қорғауды сеніп тапсырды.
Тұтынушылар ретінде біз деректеріміздің қауіпсіздігін әдеттегідей қабылдаймыз. Қазіргі уақытта деректер бұлтта жиі сақталады. Бірқатар жеткізушілер тұтынушыларға жергілікті компьютерлерінен бұлтқа деректердің сақтық көшірмесін жасауға мүмкіндік беретін қызметтерді ұсынады. Оны аспандағы виртуалды қатты диск ретінде елестетіп көріңіз. Бұл деректеріңізді қорғаудың қауіпсіз және ыңғайлы жолы ретінде жарнамаланады. Ыңғайлы, иә. Сіз байқаусызда жойылған файлды қалпына келтіре аласыз. Деректері бүлінген бүкіл қатты дискіні қалпына келтіруге болады.
Бірақ бұл қауіпсіз бе? Сізге құлып пен кілт беріледі. Кілт, әдетте, пайдаланушы аты мен құпия сөз болып табылады. Ол шифрланған және сізге ғана белгілі. Сондықтан қауіпсіздік сарапшылары құпия сөзіңізді қауіпсіз сақтауды ұсынады. Егер біреу сіздің құпия сөзіңізге қол жеткізсе, оларда виртуалды үйіңіздің виртуалды кілті бар.
Мұның бәрін сіз білесіз. Сақтық көшірме бұлт қызметіне арналған құпия сөзіңіз ұзындығы 16 таңбадан тұрады, ол үлкен және кіші әріптерден, сандардан және бірнеше арнайы таңбалардан тұрады. Сіз оны алты ай сайын өзгертесіз, өйткені бұл хакер үшін қиынырақ болатынын білесіз. Бұл басқа құпия сөздерден ерекшеленеді – сіз бірнеше сайттар үшін бірдей құпия сөзді пайдаланбайсыз. Не қате болуы мүмкін?
Кейбір компаниялар «Жеке бұлт» деп белгілеген нәрсені ұсынады. Батыс Digital бұлттағы жеке кеңістігіңізге деректердің сақтық көшірмесін жасаудың оңай жолын ұсынатын компаниялардың бірі. Бұл интернет арқылы қол жетімді желілік сақтау орны. Ол Wi-Fi маршрутизаторына қосылады, осылайша сіз оған желіңіздің кез келген жерінен қол жеткізе аласыз. Ыңғайлы, ол интернетке де қосылғандықтан, жеке деректеріңізге интернеттің кез келген жерінен қол жеткізе аласыз. Ыңғайлылықпен бірге тәуекел де келеді.
Ымырашыл позиция
Осы жылдың басында хакерлер Батысқа еніп кеткен Digitalжүйелерінде және шамамен 10 Тб деректерді жүктеп алу мүмкіндігіне ие болды. Содан кейін қара пошта жіберушілер деректерді төлем үшін ұстап, деректерді қауіпсіз қайтару үшін 10,000,000 XNUMX XNUMX АҚШ долларының солтүстігінде мәміле жасасуға тырысты. Деректер мұнай сияқты. Немесе, мүмкін, алтын жақсы ұқсастық. Хакерлердің бірі атын атамауды сұрады. Ха! TechCrunch осы іскерлік мәмілені жасау барысында онымен сұхбаттасқан. Бір қызығы, бұзылған деректердің ішінде батыстық деректер де бар Digitalкодқа қол қою куәлігі. Бұл көз торын сканерлеудің технологиялық баламасы. Куәлік иесін немесе ұсынушыны оң анықтауға арналған. Бұл виртуалды торды сканерлеу арқылы «қорғалған» деректерге кіру үшін құпия сөз қажет емес. Басқаша айтқанда, бұл қара қалпақты кәсіпкер бұл сертификатпен дәл есік алдында жүре алады digital сарай.
батыс Digital хакерлердің әлі де WD желісінде екендігі туралы мәлімдемелеріне жауап ретінде түсініктеме беруден бас тартты. Аты-жөнін атамаған хакер Батыс өкілдерінің көңілі қалғанын білдірді Digital қоңырауларына жауап бермеді. Ресми түрде, а баспасөз хабарламасы, Батыс Digital «Бүгінгі күнге дейін жүргізілген тергеудің негізінде Компания рұқсат етілмеген тарап оның жүйелерінен белгілі бір деректерді алды деп есептейді және бұл деректердің сипаты мен көлемін түсіну үшін жұмыс істеп жатыр» деп жариялады. Сонымен, Батыс Digital ол мама, бірақ хакер дірілдеп жатыр. Олардың мұны қалай жасағанына келетін болсақ, хакер олардың белгілі осалдықтарды қалай пайдаланғанын және жаһандық әкімші ретінде бұлттағы деректерге қол жеткізе алғанын сипаттайды.
Жаһандық әкімші рөл сипаты бойынша бәріне қол жеткізе алады. Оған сіздің құпия сөзіңіз керек емес. Оның басты кілті бар.
батыс Digital Жалғыз емес
A тексеру өткен жылы сауалнамаға қатысқан компаниялардың 83%-ы бар екенін анықтады біреуден артық деректердің бұзылуы, оның 45%-ы бұлтқа негізделген. The орташа Құрама Штаттардағы деректердің бұзылуының құны 9.44 миллион АҚШ долларын құрады. Шығындар төрт шығын санатына бөлінді — жоғалған бизнес, анықтау және күшейту, хабарландыру және бұзушылықтан кейінгі жауап. (Деректердің төлемі қай санатқа жататынын білмеймін. Респонденттердің ешқайсысы төлем талаптарын төлегені белгісіз.) Ұйымның деректердің бұзылуын анықтауға және оған жауап беруге кететін орташа уақыты шамамен 9 айды құрайды. Батыстан бірнеше ай өткені таңқаларлық емес Digital алдымен деректердің бұзылғанын мойындады, олар әлі де тергеуде.
Қанша компанияда деректер бұзылғанын нақты айту қиын. Мен Ransomware шабуылына ұшыраған бір ірі жеке компанияны білемін. Үй иелері келіссөздерден бас тартып, төлемейді. Бұл оның орнына электрондық пошталар мен деректер файлдарын жоғалтты дегенді білдіреді. Олар вирусы жоқ сақтық көшірмелерден бастап барлығын қайта құруды және бағдарламалық құралды қайта орнатуды таңдады. Айтарлықтай тоқтап қалу және өнімділікті жоғалту болды. Бұл оқиға ешқашан бұқаралық ақпарат құралдарында болған жоқ. Бұл компания бақытты болды, өйткені 66% Ransomware шабуылына ұшыраған шағын және орта компаниялар 6 ай ішінде жұмысын тоқтатады.
- 30,000 XNUMX веб-сайттар бар бұзылды күн сайын
- 4 миллион файл бар ұрланған күн сайын
- 22 миллиард жазба болды бұзылған 2021 жылы
Егер сіз Capital One, Marriott, Equifax, Target немесе Uber қызметтерімен айналысқан болсаңыз немесе оларды пайдаланған болсаңыз, құпия сөзіңіз бұзылған болуы мүмкін. Осы ірі компаниялардың әрқайсысы деректердің айтарлықтай бұзылуына ұшырады.
- Capital One: Хакер компанияның бұлттық инфрақұрылымындағы осалдықты пайдалану арқылы 100 миллион тұтынушылар мен өтініш берушілерге қол жеткізді.
- Marriott: деректердің бұзылуы 500 миллион тұтынушы туралы ақпаратты ашты (бұл бұзушылық 4 жыл бойы анықталмады).
- Equifax: 147 миллион тұтынушыға арналған бұлттағы жеке ақпарат ашылды.
- Мақсат: Киберқылмыскерлер 40 миллион несие картасының нөміріне қол жеткізді.
- Uber: Хакерлер әзірлеушінің ноутбугын бұзып, 57 миллион пайдаланушы мен 600,000 XNUMX драйверге қол жеткізді.
- LastPass[1]: Хакерлер осы құпия сөзді басқарушы компания үшін бұлтты сақтауды бұзу кезінде 33 миллион тұтынушының қойма деректерін ұрлады. Шабуылдаушы Lastpass бұлттық қоймасына әзірлеуші ортасынан ұрланған «бұлттық жадқа кіру кілті және қос сақтау контейнерінің шифрын шешу кілттері» арқылы қол жеткізді.
Осы веб-сайтта деректердің бұзылуына ұшырағаныңызды тексеруге болады: Мені аластаттың ба? Электрондық пошта мекенжайыңызды енгізіңіз, ол сізге электрондық пошта мекенжайының қанша деректер бұзылғанын көрсетеді. Мысалы, мен жеке электрондық пошта мекенжайларымның бірін енгіздім және оның 25 түрлі деректердің бұзылуының бөлігі болғанын анықтадым, соның ішінде Evite. , Dropbox, Adobe, LinkedIn және Twitter.
Қажетсіз үміткерлердің жолын кесу
Батыс елдері ешқашан мойындамауы мүмкін Digital дәл не болғаны туралы. Оқиға екі нәрсені көрсетеді: бұлттағы деректер оның сақтаушылары сияқты қауіпсіз және кілттерді сақтаушылар ерекше сақ болу керек. Питер Паркер принципін қайталау үшін, түбірлік қатынас үлкен жауапкершілікті талап етеді.
Дәлірек айтсақ, түбірлік пайдаланушы мен жаһандық әкімші мүлдем бірдей емес. Екеуінің де күші көп, бірақ бөлек тіркелгі болуы керек. Түбірлік пайдаланушы ең төменгі деңгейде корпоративтік бұлттық тіркелгіні иеленеді және оған қол жеткізе алады. Осылайша, бұл тіркелгі барлық деректерді, виртуалды құрылғыларды, тұтынушы туралы ақпаратты — бизнес бұлтта қорғағанның бәрін жоя алады. AWS-де тек бар 10 міндеттеріAWS тіркелгісін орнату және жабуды қоса алғанда, шын мәнінде түбірлік қатынасты қажет етеді.
Әкімші тіркелгілері әкімшілік тапсырмаларды орындау үшін жасалуы керек (duh). Бір түбірлік тіркелгіден айырмашылығы әдетте адамға негізделген бірнеше Әкімші тіркелгілері бар. Әкімші тіркелгілері жеке тұлғаға байланысты болғандықтан, ортада кім қандай өзгерістер жасағанын оңай бақылауға болады.
Максималды қауіпсіздік үшін ең аз артықшылық
Деректердің бұзылуы туралы сауалнама деректердің бұзылуының ауырлығына 28 фактордың әсерін зерттеді. AI қауіпсіздігін пайдалану, DevSecOps тәсілі, қызметкерлерді оқыту, сәйкестендіру және қол жеткізуді басқару, СІМ, қауіпсіздік аналитикасының барлығы оқиға кезінде жоғалған орташа доллар сомасын азайтуға оң әсер етті. Ал сәйкестік ақаулары, қауіпсіздік жүйесінің күрделілігі, қауіпсіздік дағдыларының тапшылығы және бұлтты көшіру деректердің бұзылуының орташа құнының жоғары таза өсуіне ықпал еткен факторлар болды. 
Бұлтқа көшкен кезде деректеріңізді қорғауда бұрынғыдан да қырағы болуыңыз керек. Төменде тәуекеліңізді азайтудың және қауіпсіз ортаны пайдаланудың кейбір қосымша жолдары берілген қауіпсіздік тұрғысынан:
1. Мулифакторлы аутентификация: түбірлік және барлық әкімші тіркелгілері үшін СІМ-ді қолдану. Одан да жақсырақ, физикалық аппараттық MFA құрылғысын пайдаланыңыз. Әлеуетті хакерге тіркелгі аты мен құпия сөз ғана емес, сонымен қатар синхрондалған кодты жасайтын физикалық СІМ қажет болады.
2. Шағын сандардағы қуат: Түбірге кімнің қол жеткізе алатынын шектеңіз. Кейбір қауіпсіздік сарапшылары 3 пайдаланушыдан аспауды ұсынады. Түбірлік пайдаланушының рұқсатын мұқият басқарыңыз. Егер сіз сәйкестендіруді басқаруды және басқа еш жерде қондырмасаңыз, мұны осында орындаңыз. Сенім шеңберіндегі біреу ұйымнан кетсе, түбірлік құпия сөзді өзгертіңіз. MFA құрылғысын қалпына келтіріңіз.
3. Әдепкі тіркелгі артықшылықтары: Жаңа пайдаланушы тіркелгілерін немесе рөлдерді дайындаған кезде оларға әдепкі бойынша ең аз артықшылықтар берілгеніне көз жеткізіңіз. Минималды қатынас саясатынан бастаңыз, содан кейін қажет болған жағдайда қосымша рұқсаттарды беріңіз. Тапсырманы орындау үшін ең аз қауіпсіздікті қамтамасыз ету принципі SOC2 қауіпсіздік сәйкестік стандарттарынан өтетін үлгі болып табылады. Тұжырымдама кез келген пайдаланушының немесе қолданбаның қажетті функцияны орындау үшін қажетті ең аз қауіпсіздікке ие болуы керек. Бұзылатын артықшылық неғұрлым жоғары болса, соғұрлым тәуекел соғұрлым жоғары болады. Керісінше, артықшылық неғұрлым төмен болса, соғұрлым тәуекел аз болады.
4. Аудиторлық артықшылықтар: Бұлттық ортадағы пайдаланушыларға, рөлдерге және тіркелгілерге тағайындалған артықшылықтарды үнемі тексеріп, қарап шығыңыз. Бұл жеке тұлғалардың тағайындалған тапсырмаларын орындау үшін тек қажетті рұқсатқа ие болуын қамтамасыз етеді.
5. Сәйкестікті басқару және дәл уақытында артықшылықтар: Рұқсат етілмеген қол жеткізу қаупін азайту үшін кез келген артық немесе пайдаланылмаған артықшылықтарды анықтаңыз және жойыңыз. Пайдаланушыларға белгілі бір тапсырма немесе шектеулі кезең үшін қажет болғанда ғана кіру құқықтарын беріңіз. Бұл шабуылдың бетін азайтады және ықтимал қауіпсіздік қатерлері үшін мүмкіндіктер терезесін азайтады. 
6. Енгізілген тіркелгі деректері: Скрипттерде, тапсырмаларда немесе басқа кодтарда шифрланбаған аутентификацияны (пайдаланушы аты, құпия сөз, кіру кілттері) қатты кодтауға тыйым салу. Оның орнына а құпия менеджер тіркелгі деректерін бағдарламалы түрде алу үшін пайдалануға болады.
7. Код ретіндегі инфрақұрылым (IaC) конфигурациясы: AWS CloudFormation немесе Terraform сияқты IaC құралдарын пайдаланып бұлттық инфрақұрылымды конфигурациялау кезінде қауіпсіздіктің ең жақсы тәжірибелерін ұстаныңыз. Әдепкі бойынша жалпыға қолжетімді рұқсатты бермеңіз және ресурстарға тек сенімді желілерге, пайдаланушыларға немесе IP мекенжайларына кіруді шектеңіз. Ең аз артықшылықтар принципін орындау үшін нақты рұқсаттарды және қол жеткізуді басқару тетіктерін пайдаланыңыз.
8. Әрекеттерді тіркеу: Бұлттық ортадағы әрекеттер мен оқиғаларды жан-жақты тіркеуді және бақылауды қосыңыз. Кез келген әдеттен тыс немесе ықтимал зиянды әрекеттер үшін журналдарды жазып алыңыз және талдаңыз. Қауіпсіздік оқиғаларын тез анықтау және оларға жауап беру үшін сенімді журналды басқару және қауіпсіздік ақпараты мен оқиғаларды басқару (SIEM) шешімдерін енгізіңіз.
9. Тұрақты осалдықты бағалау: Бұлттық ортаңыздағы қауіпсіздік әлсіз жақтарын анықтау үшін тұрақты осалдықты бағалауды және ену сынақтарын орындаңыз. Кез келген анықталған осалдықтарды түзетіп, дереу түзетіңіз. Бұлт провайдері шығарған қауіпсіздік жаңартулары мен патчтарды қадағалаңыз және олардың белгілі қауіптерден қорғау үшін дереу қолданылғанына көз жеткізіңіз.
10. Білім және оқыту: Қауіпсіздік туралы хабардар болу мәдениетін ілгерілету және қызметкерлерге ең аз артықшылық принципінің маңыздылығы туралы тұрақты оқытуды қамтамасыз ету. Оларды шамадан тыс артықшылықтармен байланысты ықтимал тәуекелдер және бұлттық ортадағы ресурстарға қатынасу және басқару кезінде ұстануға болатын ең жақсы тәжірибелер туралы оқытыңыз.
11. Патчтар мен жаңартулар: Барлық сервер бағдарламалық құралын жүйелі түрде жаңарту арқылы осалдықтарды азайтыңыз. Белгілі осалдықтардан қорғау үшін бұлттық инфрақұрылымды және оған қатысты қолданбаларды жаңартып отырыңыз. Бұлтты провайдерлер жиі қауіпсіздік патчтары мен жаңартуларын шығарады, сондықтан олардың ұсыныстарымен үнемі хабардар болу өте маңызды.
сенім
Бұл сенімге байланысты – ұйымыңыздағы адамдарға өз жұмысын орындау үшін орындауы керек тапсырмаларды орындау сенімін беру. Қауіпсіздік мамандары ұсынады Нөлдік сенім. Zero Trust қауіпсіздік моделі үш негізгі принципке негізделген:
- Анық растау – пайдаланушының жеке басын және кіру рұқсатын тексеру үшін барлық қолжетімді деректер нүктелерін пайдаланыңыз.
- Ең аз артықшылықты рұқсатты пайдаланыңыз – дәл уақытында және жеткілікті қауіпсіздік.
- Бұзушылықты болжаңыз – бәрін шифрлаңыз, белсенді аналитиканы қолданыңыз және төтенше жағдайға жауап беріңіз.
Бұлтты және бұлттық қызметтерді тұтынушы ретінде ол сенімге де байланысты. Сіз өзіңізге сұрақ қоюыңыз керек: «Мен бұлтта құнды деректерімді сақтайтын сатушыма сенемін бе?» Бұл жағдайда сенім жоғарыда сипатталғандай қауіпсіздікті басқару үшін сол компанияға немесе соған ұқсас компанияға сенетіндігіңізді білдіреді. Немесе, егер сіз теріс жауап берсеңіз, үй жағдайында қауіпсіздікті басқару әрекетінің бірдей түрлерін орындауға дайынсыз ба. Сіз өзіңізге сенесіз бе?
Бұлтта қызметтерді ұсынатын компания ретінде тұтынушылар бұлттық инфрақұрылымдағы деректерін қорғау үшін сізге сенім артты. Бұл үздіксіз процесс. Пайда болған қауіптер туралы хабардар болыңыз, қауіпсіздік шараларыңызды сәйкесінше бейімдеңіз және үнемі дамып келе жатқан бұлттық ландшафтта бизнесіңіз үшін барынша қорғауды қамтамасыз ету үшін тәжірибелі мамандармен немесе қауіпсіздік кеңесшілерімен бірлесіп жұмыс істеңіз.
- https://www.bleepingcomputer.com/news/security/lastpass-hackers-stole-customer-vault-data-in-cloud-storage-breach/ ↑
