과잉 노출
이렇게 말하면 노출에 대해 무엇을 걱정합니까? 당신의 가장 소중한 자산은 무엇입니까? 귀하의 사회보장번호는 무엇입니까? 귀하의 은행 계좌 정보는 무엇입니까? 개인 문서 또는 사진? 당신의 암호화폐 시드 문구는요? 회사를 관리하거나 데이터 보호를 담당하는 경우 동일한 유형의 정보가 손상될까 걱정할 수 있지만,road어 스케일. 귀하는 귀하의 고객으로부터 데이터 보호를 위임받았습니다.
소비자로서 우리는 데이터 보안을 당연하게 여깁니다. 요즘에는 데이터가 클라우드에 저장되는 경우가 점점 더 많아지고 있습니다. 많은 공급업체에서는 고객이 로컬 컴퓨터에서 클라우드로 데이터를 백업할 수 있는 서비스를 제공합니다. 하늘에 있는 가상 하드 드라이브라고 생각해보세요. 이는 귀하의 데이터를 보호하는 안전하고 편리한 방법으로 광고됩니다. 편리합니다. 그렇습니다. 실수로 삭제한 파일을 복구할 수 있습니다. 데이터가 손상된 전체 하드 드라이브를 복원할 수 있습니다.
하지만 안전한가요? 자물쇠와 열쇠가 제공됩니다. 키는 일반적으로 사용자 이름과 비밀번호입니다. 암호화되어 본인에게만 알려집니다. 그렇기 때문에 보안 전문가는 비밀번호를 안전하게 유지할 것을 권장합니다. 누군가 귀하의 비밀번호에 접근할 수 있게 되면 귀하의 가상 주택에 대한 가상 키를 갖게 됩니다.
당신은 이 모든 것을 알고 있습니다. 백업 클라우드 서비스의 비밀번호는 16자이며, 대문자와 소문자, 숫자, 특수 문자 두 개를 포함합니다. 해커가 더 어려워진다는 것을 알기 때문에 XNUMX개월마다 변경합니다. 이는 다른 비밀번호와 다릅니다. 여러 사이트에 동일한 비밀번호를 사용하지 않습니다. 무엇이 잘못될 수 있나요?
일부 회사에서는 "개인 클라우드"라는 브랜드를 제공합니다. 서부 사람 Digital 는 클라우드의 개인 공간에 데이터를 쉽게 백업할 수 있는 방법을 제공하는 회사 중 하나입니다. 인터넷을 통해 사용할 수 있는 네트워크 스토리지입니다. Wi-Fi 라우터에 연결하면 네트워크 내부 어디에서나 액세스할 수 있습니다. 편리하게도 인터넷에 연결되어 있기 때문에 인터넷 어디에서나 개인 데이터에 접근할 수 있습니다. 편리함에는 위험도 따릅니다.
타협적인 입장
올해 초, 해커들이 서부에 침입했습니다. Digital의 시스템을 사용하여 약 10TB의 데이터를 다운로드할 수 있었습니다. 그런 다음 블랙 메일러는 데이터를 몸값으로 보관하고 데이터의 안전한 반환을 위해 미화 10,000,000달러 이상의 거래 협상을 시도했습니다. 데이터는 석유와 같다. 아니면 금이 더 나은 비유일 수도 있습니다. 해커 중 한 명은 익명을 조건으로 말했습니다. 하아! 테크 크런치 그가 이 사업 거래를 진행하는 동안 그를 인터뷰했습니다. 흥미로운 점은 손상된 데이터에 서양의 데이터도 포함되어 있다는 것입니다. Digital의 코드 서명 인증서입니다. 이는 망막 스캔과 기술적으로 동일합니다. 인증서는 소유자나 보유자를 확실히 식별하기 위한 것입니다. 이 가상 망막 스캔을 사용하면 "보안" 데이터에 액세스하는 데 비밀번호가 필요하지 않습니다. 즉, 이 증명서가 있으면 이 검은 모자 사업가가 회사 정문으로 바로 걸어 들어갈 수 있습니다. digital 궁전.
서양의 Digital 그들은 여전히 WD의 네트워크에 있다는 해커의 주장에 대해 논평을 거부했습니다. 이름이 알려지지 않은 해커는 Western의 대표자들에게 실망감을 표시했습니다. Digital 그의 전화에 응답하지 않을 것입니다. 공식적으로는 릴리스를 누르십시오, 서양 Digital 회사는 “현재까지 조사한 결과, 회사는 승인되지 않은 당사자가 시스템에서 특정 데이터를 획득한 것으로 믿고 있으며 해당 데이터의 성격과 범위를 이해하기 위해 노력하고 있습니다”라고 발표했습니다. 그래서 서양은 Digital 엄마인데 해커가 떠들고 있어요. 그 방법에 대해 해커는 어떻게 알려진 취약점을 악용하고 글로벌 관리자로서 클라우드의 데이터에 액세스할 수 있었는지 설명합니다.
전역 관리자는 역할 특성상 모든 것에 액세스할 수 있습니다. 그 사람은 당신의 비밀번호가 필요하지 않습니다. 그는 마스터 키를 가지고 있습니다.
서양의 Digital 혼자가 아니다
A 측량 작년에 조사 대상 기업의 83%가 하나 이상 데이터 유출 중 45%가 클라우드 기반이었습니다. 그만큼 평균 미국의 데이터 유출 비용은 미화 9.44만 달러였습니다. 비용은 비즈니스 손실, 탐지 및 에스컬레이션, 알림, 침해 후 대응 등 9가지 비용 범주로 분류되었습니다. (데이터 몸값이 어떤 범주에 속하는지는 잘 모르겠습니다. 응답자 중 몸값 요구 사항을 지불한 사람이 있는지는 확실하지 않습니다.) 조직이 데이터 침해를 식별하고 대응하는 데 걸리는 평균 시간은 약 XNUMX개월입니다. 그렇다면 서부극이 끝난 지 몇 달이 지난 것은 놀라운 일이 아닙니다. Digital 처음으로 데이터 침해를 인정했지만 여전히 조사 중입니다.
정확히 얼마나 많은 회사에서 데이터 유출이 발생했는지 말하기는 어렵습니다. 나는 랜섬웨어의 공격을 받은 한 대규모 비상장 회사를 알고 있습니다. 소유자는 협상을 거부하고 비용을 지불하지 않았습니다. 이는 대신 이메일과 데이터 파일이 손실되었음을 의미했습니다. 그들은 감염되지 않은 백업을 통해 모든 것을 재구축하고 소프트웨어를 재설치하기로 결정했습니다. 상당한 다운타임이 발생하고 생산성이 저하되었습니다. 이 사건은 언론에 보도된 적이 없습니다. 그 회사는 운이 좋았으니까 66% 랜섬웨어 공격을 받은 중소기업 중 6개월 이내에 폐업하는 기업의 비율.
Capital One, Marriott, Equifax, Target 또는 Uber와 거래했거나 해당 서비스를 사용한 적이 있다면 비밀번호가 유출되었을 가능성이 있습니다. 이들 주요 기업 각각은 심각한 데이터 침해를 겪었습니다.
- Capital One: 해커가 회사 클라우드 인프라의 취약점을 악용하여 100억 명의 고객과 지원자에 대한 액세스 권한을 얻었습니다.
- Marriott: 데이터 침해로 인해 500억 명의 고객에 대한 정보가 노출되었습니다(이 침해는 4년 동안 감지되지 않았습니다).
- Equifax: 147억 XNUMX만 고객의 클라우드에 있는 개인 정보가 노출되었습니다.
- 표적: 사이버범죄자들은 40천만 개의 신용카드 번호에 접근했습니다.
- Uber: 해커는 개발자의 노트북을 손상시키고 57만 명의 사용자와 600,000명의 운전자에 대한 액세스 권한을 얻었습니다.
- 제작 : LastPass[1]: 해커들은 이 비밀번호 관리 회사의 클라우드 저장소 침해로 인해 33만 명의 고객 금고 데이터를 훔쳤습니다. 공격자는 개발자 환경에서 훔친 '클라우드 스토리지 액세스 키와 듀얼 스토리지 컨테이너 복호화 키'를 사용해 Lastpass의 클라우드 스토리지에 액세스했습니다.
다음 웹사이트에서 귀하가 데이터 침해에 노출되었는지 확인할 수 있습니다. 내가 그랬니? 이메일 주소를 입력하면 해당 이메일 주소에서 발견된 데이터 위반 건수를 확인할 수 있습니다. 예를 들어 개인 이메일 주소 중 하나를 입력했는데 해당 주소가 Evite를 포함한 25가지 데이터 위반의 일부인 것으로 나타났습니다. , Dropbox, Adobe, LinkedIn 및 Twitter.
원치 않는 구혼자를 좌절시키다
서구의 공개 인정은 결코 없을 수 있습니다. Digital 정확히 무슨 일이 일어났는지. 이 사건은 두 가지 사실을 보여줍니다. 클라우드의 데이터는 데이터를 보관하는 사람과 키를 보관하는 사람이 특별히 주의해야 하는 만큼만 안전합니다. Peter Parker 원칙을 바꿔 말하면 루트 액세스에는 큰 책임이 따릅니다.
더 정확하게 말하면 루트 사용자와 전역 관리자는 정확히 동일하지 않습니다. 둘 다 많은 권한을 가지고 있지만 별도의 계정이어야 합니다. 루트 사용자는 가장 낮은 수준의 기업 클라우드 계정을 소유하고 액세스할 수 있습니다. 따라서 이 계정은 기업이 클라우드에 안전하게 보관한 모든 데이터, VM, 고객 정보를 삭제할 수 있습니다. AWS에는 10 작업, 실제로 루트 액세스가 필요한 AWS 계정 설정 및 폐쇄를 포함합니다.
관리 작업을 수행하려면 관리자 계정을 만들어야 합니다(duh). 단일 루트 계정과 달리 일반적으로 개인 기반의 여러 관리자 계정이 있습니다. 관리자 계정은 개인과 연결되어 있으므로 누가 환경을 변경했는지 쉽게 모니터링할 수 있습니다.
최대 보안을 위한 최소 권한
데이터 침해 설문조사에서는 28가지 요소가 데이터 침해의 심각도에 미치는 영향을 연구했습니다. AI 보안, DevSecOps 접근 방식, 직원 교육, ID 및 액세스 관리, MFA, 보안 분석의 사용은 모두 사고로 인한 평균 손실 금액을 줄이는 데 긍정적인 영향을 미쳤습니다. 반면, 규정 준수 실패, 보안 시스템 복잡성, 보안 기술 부족, 클라우드 마이그레이션은 데이터 침해 평균 비용의 순 증가를 높이는 데 기여한 요인이었습니다. 
클라우드로 마이그레이션할 때는 데이터 보호에 그 어느 때보다 주의를 기울여야 합니다. 위험을 줄이고 보다 안전한 환경을 운영할 수 있는 몇 가지 추가 방법은 다음과 같습니다. 보안 점:
1. 다중 요소 인증: 루트 및 모든 관리자 계정에 대해 MFA를 시행합니다. 더 나은 방법은 물리적 하드웨어 MFA 디바이스를 사용하는 것입니다. 잠재적인 해커에게는 계정 이름과 비밀번호뿐만 아니라 동기화된 코드를 생성하는 물리적 MFA도 필요합니다.
2. 소수의 전력: 루트에 액세스할 수 있는 사람을 제한합니다. 일부 보안 전문가는 3명 이하의 사용자를 제안합니다. 루트 사용자 액세스를 철저하게 관리하십시오. 다른 곳에서 ID 관리 및 오프보딩을 실행하는 경우 여기에서 수행하세요. 신뢰 범위에 있는 사람이 조직을 떠나면 루트 비밀번호를 변경하세요. MFA 디바이스를 복구합니다.
3. 기본 계정 권한: 새로운 사용자 계정이나 역할을 프로비저닝할 때 기본적으로 최소한의 권한이 부여되었는지 확인하세요. 최소한의 액세스 정책으로 시작한 다음 필요에 따라 추가 권한을 부여하세요. 작업을 달성하기 위해 최소한의 보안을 제공한다는 원칙은 SOC2 보안 준수 표준을 통과하는 모델입니다. 그 개념은 모든 사용자나 애플리케이션이 필요한 기능을 수행하는 데 필요한 최소한의 보안을 갖춰야 한다는 것입니다. 손상되는 권한이 높을수록 위험도 커집니다. 반대로 노출된 권한이 낮을수록 위험도 낮아집니다.
4. 감사 권한: 클라우드 환경 내에서 사용자, 역할, 계정에 할당된 권한을 정기적으로 감사하고 검토하세요. 이를 통해 개인은 지정된 작업을 수행하는 데 필요한 권한만 갖게 됩니다.
5. ID 관리 및 적시 권한: 무단 액세스 위험을 최소화하기 위해 과도하거나 사용되지 않는 권한을 식별하고 취소합니다. 특정 작업이나 제한된 기간 동안 필요한 경우에만 사용자에게 액세스 권한을 제공하십시오. 이렇게 하면 공격 표면이 최소화되고 잠재적인 보안 위협이 발생할 수 있는 기회가 줄어듭니다. 
6. 내장된 자격 증명: 스크립트, 작업 또는 기타 코드에 암호화되지 않은 인증(사용자 이름, 비밀번호, 액세스 키)의 하드 코딩을 금지합니다. 대신에 비밀 관리자 프로그래밍 방식으로 자격 증명을 검색하는 데 사용할 수 있습니다.
7. IaC(코드형 인프라) 구성: AWS CloudFormation 또는 Terraform과 같은 IaC 도구를 사용하여 클라우드 인프라를 구성할 때 보안 모범 사례를 준수하세요. 기본적으로 공개 액세스 권한을 부여하지 말고 신뢰할 수 있는 네트워크, 사용자 또는 IP 주소로만 리소스에 대한 액세스를 제한하세요. 세분화된 권한과 액세스 제어 메커니즘을 활용하여 최소 권한 원칙을 시행합니다.
8. 작업 로깅: 클라우드 환경 내에서 작업과 이벤트를 포괄적으로 로깅하고 모니터링할 수 있습니다. 비정상적이거나 잠재적으로 악의적인 활동에 대한 로그를 캡처하고 분석합니다. 강력한 로그 관리와 SIEM(보안 정보 및 이벤트 관리) 솔루션을 구현하여 보안 사고를 신속하게 감지하고 대응하세요.
9. 정기 취약점 평가: 정기적인 취약성 평가 및 침투 테스트를 수행하여 클라우드 환경의 보안 약점을 식별합니다. 식별된 취약점을 즉시 패치하고 해결합니다. 클라우드 제공업체가 출시한 보안 업데이트와 패치를 추적하고 알려진 위협으로부터 보호하기 위해 즉시 적용하세요.
10. 교육과 훈련: 보안 인식 문화를 장려하고 최소 권한 원칙의 중요성에 대해 직원들에게 정기적인 교육을 제공합니다. 과도한 권한과 관련된 잠재적 위험과 클라우드 환경 내 리소스에 액세스하고 관리할 때 따라야 할 모범 사례에 대해 교육합니다.
11. 패치 및 업데이트: 모든 서버 소프트웨어를 정기적으로 업데이트하여 취약점을 줄입니다. 알려진 취약점으로부터 보호하려면 클라우드 인프라 및 관련 애플리케이션을 최신 상태로 유지하세요. 클라우드 제공업체는 종종 보안 패치와 업데이트를 출시하므로 최신 권장 사항을 유지하는 것이 중요합니다.
믿어
이는 결국 신뢰로 귀결됩니다. 즉, 조직 내 직원들에게만 업무를 완수하는 데 필요한 작업을 수행할 수 있다는 신뢰를 제공하는 것입니다. 보안 전문가가 권장하는 제로 트러스트. 제로 트러스트 보안 모델은 세 가지 주요 원칙을 기반으로 합니다.
- 명시적으로 확인 – 사용 가능한 모든 데이터 포인트를 사용하여 사용자의 신원과 액세스 권한을 확인합니다.
- 적시에 충분한 보안을 제공하는 최소 권한 액세스를 사용하세요.
- 위반 가정 – 모든 것을 암호화하고 사전 분석을 활용하며 비상 대응을 마련합니다.
클라우드와 클라우드 서비스의 소비자로서 신뢰도 귀결됩니다. "내 소중한 데이터를 클라우드에 저장하는 공급업체를 신뢰하는가?"라고 자문해 보아야 합니다. 이 경우 신뢰란 위에서 설명한 대로 보안을 관리하기 위해 해당 회사 또는 이와 유사한 회사에 의존한다는 것을 의미합니다. 또는 부정적으로 대답한다면 가정 환경에서 동일한 유형의 보안 관리 활동을 수행할 준비가 되어 있습니까? 당신은 자신을 신뢰합니까?
클라우드에서 서비스를 제공하는 회사로서 고객은 클라우드 인프라에 있는 데이터를 보호하기 위해 귀하를 신뢰했습니다. 이는 지속적인 과정입니다. 새로운 위협에 대한 최신 정보를 얻고 그에 따라 보안 조치를 조정하며 숙련된 전문가 또는 보안 컨설턴트와 협력하여 끊임없이 진화하는 클라우드 환경에서 비즈니스를 최대한 보호하세요.
- https://www.bleepingcomputer.com/news/security/lastpass-hackers-stole-customer-vault-data-in-cloud-storage-breach/ ↑
