Биз булуттагы коопсуздук жөнүндө айтып жатабыз

Ашыкча экспозиция

Муну мындай коелу, эмнени ачыкка чыгаруудан кабатыр болосуң? Сиздин эң баалуу байлыктарыңыз кайсылар? Сиздин коомдук коопсуздук номери? Сиздин банк эсебиңиздин маалыматы? Жеке документтерби же сүрөттөрбү? Сиздин крипто урук сөз айкашы? Эгер сиз компанияны башкарсаңыз же маалыматтардын сакталышы үчүн жооптуу болсоңуз, сиз ошол эле түрдөгү маалыматтын бузулушуна тынчсызданышыңыз мүмкүн, бирокroader масштабы. Сизге кардарларыңыз алардын маалыматтарын коргоону ишенип тапшырган.

Керектөөчүлөр катары биз маалыматтарыбыздын коопсуздугун кадимкидей кабыл алабыз. Бул күндөрдө маалыматтар булутта сакталат. Бир катар сатуучулар кардарларга жергиликтүү компьютерлерден булуттагы маалыматтардын камдык көчүрмөсүн сактоого мүмкүндүк берген кызматтарды сунушташат. Аны асмандагы виртуалдык катуу диск катары элестетиңиз. Бул маалыматыңызды коргоонун коопсуз жана ыңгайлуу жолу катары жарыяланды. Ыңгайлуу, ооба. Сиз кокустан жок кылган файлды калыбына келтире аласыз. Маалыматтары бузулган катуу дискти толугу менен калыбына келтире аласыз.

Бирок ал коопсузбу? Сиз кулпу жана ачкыч менен камсыз кылынат. Ачкыч, адатта, колдонуучу аты жана сырсөз болуп саналат. Ал шифрленген жана сизге гана белгилүү. Ошондуктан коопсуздук адистери сырсөзүңүздү коопсуз сактоону сунушташат. Эгер кимдир бирөө сиздин паролуңузга кире алса, анда виртуалдык үйүңүздүн виртуалдык ачкычы бар.

Мунун баарын сен билесиң. Камдык булут кызматына сырсөзүңүз 16 белгиден турат, чоң жана кичине тамгаларды, сандарды жана бир нече өзгөчө белгилерди камтыйт. Сиз аны алты ай сайын алмаштырып турасыз, анткени бул хакерди кыйындатат. Ал башка сырсөздөрүңүздөн айырмаланып турат – бир эле сырсөздү бир нече сайттар үчүн колдонбойсуз. Эмне туура эмес болушу мүмкүн?

Кээ бир компаниялар "Жеке булут" деп атаган нерсени сунушташат. Батыш Digital булуттагы жеке мейкиндикке маалыматтарыңыздын камдык көчүрмөсүн алуунун оңой жолун камсыз кылган компаниялардын бири. Бул интернет аркылуу жеткиликтүү тармактык сактагыч. Ал Wi-Fi роутериңизге туташып турат, андыктан ага тармактын ичиндеги каалаган жерден кире аласыз. Ыңгайлуу, анткени ал интернетке да туташкандыктан, сиз өзүңүздүн жеке маалыматтарыңызга интернеттин каалаган жеринен кире аласыз. Ыңгайлуулук менен бирге тобокелдик да келет.

Компроматтык позиция

Ушул жылдын башында хакерлер Батышка кирип кетишкен Digitalнын тутумдары жана болжол менен 10 Тб маалыматтарды жүктөй алышты. Андан кийин кара катчылар маалыматтарды кун үчүн кармап, маалыматтарды коопсуз кайтаруу үчүн 10,000,000 XNUMX XNUMX АКШ доллары өлчөмүндө келишим түзүүгө аракет кылышкан. Маалыматтар мунай сыяктуу. Же, балким, алтын жакшы окшоштурушу мүмкүн. Хакерлердин бири атын атабоону өтүнгөн. Ха! TechCrunch аны менен бул бизнес келишиминин жүрүшүндө маектешкен. Кызыгы, бузулган маалыматтарга Батыш кирген Digitalкодго кол коюу сертификаты. Бул торчо челди сканерлөөнүн технологиялык эквиваленти. Күбөлүк ээсин же ээсин оң аныктоо үчүн арналган. Бул виртуалдык торчо скандоо менен, "корголгон" маалыматтарга кирүү үчүн эч кандай сырсөз талап кылынбайт. Башкача айтканда, бул күбөлүк менен бул кара шляпалуу бизнесмен эшиктин алдынан эле баса алат digital сарай.

батыштык Digital алар дагы эле WD тармагында болгон деген хакердин дооматтарына жооп катары комментарий берүүдөн баш тартты. Аты аталбаган хакер Батыштын өкүлдөрүнө нааразычылыгын билдирди Digital анын чалууларына жооп берген жок. Расмий түрдө, а пресс-релиз, Батыш Digital "Учурдагы иликтөөлөрдүн негизинде, Компания уруксатсыз тарап анын тутумдарынан белгилүү маалыматтарды алган деп эсептейт жана ал маалыматтардын мүнөзүн жана көлөмүн түшүнүү үчүн иштеп жатат" деп жарыялады. Ошентип, Батыш Digital апам, бирок хакер ызылдап жатат. Алар муну кантип жасашканына келсек, хакер алар белгилүү кемчиликтерди кантип пайдаланып, глобалдык администратор катары булуттагы маалыматтарга кире алганын сүрөттөйт.

Глобалдык администратор, ролунун табияты боюнча, бардыгына кире алат. Ал сиздин сырсөзүңүздүн кереги жок. Анын башкы ачкычы бар.

батыштык Digital Жалгыз эмес

A сурамжылоо өткөн жылы сурамжылоого катышкан компаниялардын 83% ээ болгон бир нече маалыматтарды бузуу, анын 45% булут негизинде болгон. The орто Кошмо Штаттардагы маалыматтарды бузуунун баасы 9.44 миллион долларды түздү. Чыгымдар төрт чыгаша категориясына бөлүндү - жоголгон бизнес, аныктоо жана эскалациялоо, билдирүү жана бузуудан кийинки жооп. (Маалымат куну кайсы категорияда экенин билбейм. Респонденттердин кимдир бирөө кун талап кылганы белгисиз.) Уюмга маалымат бузулганын аныктоо жана ага жооп берүү үчүн орточо убакыт 9 айды түзөт. Батыштан бир нече ай өткөндөн кийин бул таң калыштуу эмес Digital адегенде маалымат бузулганын моюнга алды, алар дагы эле иликтеп жатышат.

Канча компанияда маалымат бузулганын так айтуу кыйын. Мен Ransomware кол салган бир ири жеке компанияны билем. Үй ээлери сүйлөшүүдөн баш тартып, акча төлөбөй коюшкан. Бул анын ордуна электрондук почталарды жана маалымат файлдарын жоготууну билдирген. Алар жуктурулбаган камдык көчүрмөлөрдөн баштап бардыгын кайра курууну жана программаны кайра орнотууну тандашкан. Бир топ токтоп калуулар жана өндүрүмдүүлүктү жоготуулар болгон. Бул окуя массалык маалымат каражаттарында эч качан болгон эмес. Бул компания бактылуу болгон, анткени 66% Ransomware чабуулуна кабылган чакан жана орто компаниялар 6 айдын ичинде иштебей калышат.

• 30,000 XNUMX веб-сайттар бар дептир күндө
• 4 миллион файл бар уурдалган ар бир күн
• 22 миллиард рекорд болгон бузган 2021 менен

Эгер сиз качандыр бир убакта Capital One, Marriott, Equifax, Target же Uber менен бизнес кылып же кызматтарын колдонгон болсоңуз, сырсөзүңүз бузулган болушу мүмкүн. Бул ири компаниялардын ар бири олуттуу маалыматтарды бузууга дуушар болгон.

• Capital One: Хакер компаниянын булут инфраструктурасынын кемчилигин пайдалануу менен 100 миллион кардарларга жана арыз берүүчүлөргө кирүү мүмкүнчүлүгүнө ээ болгон.
• Marriott: Маалыматтын бузулушу 500 миллион кардар тууралуу маалыматты ачыкка чыгарды (бул бузуу 4 жыл бою байкалбай калды).
• Equifax: 147 миллион кардардын булуттагы жеке маалыматы ачыкка чыкты.
• Максат: Киберкылмышкерлер 40 миллион кредиттик карта номерлерине кирди.
• Uber: Хакерлер иштеп чыгуучунун ноутбукун бузуп, 57 миллион колдонуучуга жана 600,000 XNUMX айдоочуга кирүү мүмкүнчүлүгүнө ээ болушкан.
• LastPass^[1]: Хакерлер бул сырсөздү башкаруучу компаниянын булут сактагычын бузуп, 33 миллион кардарлардын сактагычын уурдап кетишкен. Кол салган адам Lastpass'тын булут сактагычына анын иштеп чыгуучу чөйрөсүнөн уурдалган "булуттагы сактагычтын кирүү ачкычы жана кош сактагыч контейнеринин шифрлөө ачкычтары" аркылуу кирүү мүмкүнчүлүгүнө ээ болгон.

Бул вебсайттан маалыматыңыздын бузулушуна кабылганыңызды текшере аласыз: мен кармалганмынбы? Электрондук почта дарегиңизди териңиз, ал сизге электрондук почтанын дареги канча маалымат бузулганын көрсөтөт. Мисалы, мен өзүмдүн жеке электрондук почтамдын даректеримдин бирин тердим жана бул 25 түрдүү маалыматты бузуунун бир бөлүгү болгонун таптым, анын ичинде Evite , Dropbox, Adobe, LinkedIn жана Twitter.

Керексиз дооматчыларга бөгөт коюу

Батыштын коомчулук тарабынан эч качан моюнга алынышы мүмкүн эмес Digital так эмне болгонун. Окуя эки нерсени көрсөтүп турат: булуттагы маалыматтар анын сактоочуларындай эле коопсуз жана ачкычтарды сактоочулар өзгөчө этият болушу керек. Питер Паркер принцибин кайталап айтсак, тамырга кирүү чоң жоопкерчиликти талап кылат.

Тагыраак айтканда, түпкү колдонуучу менен глобалдык администратор так бирдей эмес. Экөө тең көп күчкө ээ, бирок өзүнчө эсеп болушу керек. Түп колдонуучу эң төмөнкү деңгээлде корпоративдик булут эсебине ээ жана ага кирүү мүмкүнчүлүгүнө ээ. Ошентип, бул каттоо эсеби бардык маалыматтарды, VM'дерди, кардар маалыматын - бизнес булутта коргогон нерселердин бардыгын жок кыла алат. AWSде гана бар 10 милдеттериAWS каттоо эсебиңизди орнотуу жана жабуу, анын ичинде чындап эле тамыр мүмкүнчүлүгүн талап кылат.

Администратор эсептери административдик тапшырмаларды аткаруу үчүн түзүлүшү керек (duh). Адатта, бир түпкү каттоо эсебинен айырмаланып, көбүнчө адамга негизделген бир нече Администратор аккаунттары бар. Администратордун аккаунттары жеке адамга байлангандыктан, чөйрөдө ким кандай өзгөрүүлөрдү жасаганын оңой эле көзөмөлдөй аласыз.

Максималдуу коопсуздук үчүн эң аз артыкчылык

Маалыматтардын бузулушу боюнча сурамжылоо 28 фактордун маалыматтын бузулушунун оордугуна тийгизген таасирин изилдеген. AI коопсуздугун колдонуу, DevSecOps мамилеси, кызматкерлерди окутуу, инсандыкты жана кирүү мүмкүнчүлүгүн башкаруу, ТИМ, коопсуздук аналитикасынын бардыгы окуяда жоголгон орточо доллардын көлөмүн кыскартууга оң таасирин тийгизди. Ал эми шайкештиктин бузулушу, коопсуздук тутумунун татаалдыгы, коопсуздук көндүмдөрүнүн жетишсиздиги жана булуттун миграциясы маалыматтарды бузуунун орточо баасынын жогору өсүшүнө шарт түзгөн факторлор болгон.

Булутка көчүп жатканыңызда, маалыматыңызды коргоодо болуп көрбөгөндөй сергек болушуңуз керек. Бул жерде сиздин тобокелдикти азайтуу жана коопсуз чөйрөнү иштетүү үчүн кээ бир кошумча жолдор бар коопсуздук көз караш:

1. Мули фактордук аутентификация: тамыр жана бардык администратор эсептерине ТИМди күчтөндүрүү. Андан да жакшыраак, физикалык аппараттык MFA аппаратын колдонуңуз. Потенциалдуу хакерге аккаунттун аты жана сырсөз гана эмес, ошондой эле синхрондоштурулган кодду түзгөн физикалык ТИМ керек болот.

2. Аз санда күч: Кимдин тамырга кирүү мүмкүнчүлүгүн чектеңиз. Кээ бир коопсуздук адистери 3 колдонуучудан ашпоону сунушташат. Түпкү колдонуучунун мүмкүнчүлүгүн кылдаттык менен башкарыңыз. Эгерде сиз башка жерде идентификацияны башкарууну жана оф-boardingди аткарбасаңыз, муну бул жерде жасаңыз. Ишеним чөйрөсүндөгү бирөө уюмдан чыкса, тамыр сырсөзүн өзгөртүңүз. ТИМ аппаратын калыбына келтириңиз.

3. Демейки каттоо эсебинин артыкчылыктары: Жаңы колдонуучу аккаунттарын же ролдорун камсыздоодо, аларга демейки боюнча минималдуу артыкчылыктар берилгенин текшериңиз. Минималдуу кирүү саясаты менен баштаңыз, андан кийин зарыл болгон учурда кошумча уруксаттарды бериңиз. Тапшырманы аткаруу үчүн эң аз коопсуздукту камсыз кылуу принциби SOC2 коопсуздук стандарттарына ылайык келүүчү модель болуп саналат. Концепция, каалаган колдонуучу же колдонмо талап кылынган функцияны аткаруу үчүн талап кылынган минималдуу коопсуздукка ээ болушу керек. Ынтымак канчалык жогору болсо, ошончолук тобокелдик. Тескерисинче, артыкчылык канчалык төмөн болсо, тобокелдик ошончолук төмөн болот.

4. Аудиттин артыкчылыктары: Булут чөйрөңүздөгү колдонуучуларга, ролдорго жана эсептерге берилген артыкчылыктарды үзгүлтүксүз текшерип, карап чыгыңыз. Бул адамдардын белгиленген милдеттерин аткаруу үчүн гана керектүү уруксатка ээ болушун камсыздайт.

5. Идентификацияны башкаруу жана өз убагында артыкчылыктар: Уруксатсыз кирүү коркунучун азайтуу үчүн ашыкча же пайдаланылбаган артыкчылыктарды аныктоо жана жокко чыгаруу. Колдонуучуларга белгилүү бир тапшырма же чектелген мөөнөт үчүн талап кылынганда гана кирүү укуктарын бериңиз. Бул чабуулдун бетин азайтат жана потенциалдуу коопсуздук коркунучтары үчүн мүмкүнчүлүк терезесин азайтат.

6. Камтылган эсептик дайындар: Скрипттерде, жумуштарда же башка коддордо шифрленбеген аутентификацияны (колдонуучунун аты, сырсөз, кирүү ачкычтары) катуу коддоосуна тыюу салыңыз. Анын ордуна а сырлар менеджери аны программалык түрдө эсептик дайындарды алуу үчүн колдоно аласыз.

7. Инфраструктураны код катары (IaC) конфигурациялоо: AWS CloudFormation же Terraform сыяктуу IaC куралдарын колдонуп, булут инфраструктураңызды конфигурациялоодо коопсуздуктун эң жакшы ыкмаларын карманыңыз. Демейки боюнча жалпыга жеткиликтүүлүктү берүүдөн качыңыз жана ресурстарга ишенимдүү тармактарга, колдонуучуларга же IP даректерге гана кирүүнү чектеңиз. Эң аз артыкчылык принцибин ишке ашыруу үчүн кылдат уруксаттарды жана жеткиликтүүлүктү көзөмөлдөө механизмдерин колдонуңуз.

8. Аракеттер журналы: Булут чөйрөңүздөгү аракеттерди жана окуяларды ар тараптуу каттоону жана мониторинг жүргүзүүнү иштетиңиз. Ар кандай адаттан тыш же потенциалдуу зыяндуу аракеттер үчүн журналдарды басып алып, талдаңыз. Коопсуздук инциденттерин тез арада аныктоо жана аларга жооп берүү үчүн журналды ишенимдүү башкарууну жана коопсуздук маалыматын жана окуяларды башкарууну (SIEM) чечимдерин ишке ашырыңыз.

9. Аялуулукту үзгүлтүксүз баалоо: Булут чөйрөңүздөгү коопсуздуктун алсыз жактарын аныктоо үчүн үзгүлтүксүз аялууларды баалоону жана кирүү тесттерин жүргүзүңүз. Белгиленген кемчиликтерди тез арада оңдоо жана оңдоо. Булут провайдериңиз чыгарган коопсуздук жаңыртууларына жана патчтарына көз салып туруңуз жана белгилүү коркунучтардан коргоо үчүн алардын тез арада колдонулушун камсыз кылыңыз.

10. Билим берүү жана окутуу: Коопсуздукту билүү маданиятын көтөрүү жана эң аз артыкчылык принцибинин маанилүүлүгү боюнча кызматкерлерди үзгүлтүксүз окутуу. Ашыкча артыкчылыктарга байланыштуу мүмкүн болуучу тобокелдиктер жана булут чөйрөсүндөгү ресурстарга кирүү жана башкарууда эң жакшы тажрыйбалар жөнүндө аларга үйрөтүңүз.

11. Жамааттар жана Жаңыртуулар: Бардык сервердик программалык камсыздоону үзгүлтүксүз жаңыртуу менен аялууларды азайтыңыз. Белгилүү алсыздыктардан коргоо үчүн булут инфраструктураңызды жана ага байланыштуу колдонмолорду жаңыртып туруңуз. Булут провайдерлери көбүнчө коопсуздук патчтарын жана жаңыртууларын чыгарышат, андыктан алардын сунуштары менен актуалдуу болуу өтө маанилүү.

ишеним

Бул ишенимге келет - сиздин уюмуңуздагы адамдарга гана алардын ишин бүтүрүү үчүн аткарышы керек болгон милдеттерди аткарууга ишеним берүү. Коопсуздук адистери сунуштайт ZeroTrust. Zero Trust коопсуздук модели үч негизги принципке негизделген:

• Ачык текшерүү – колдонуучунун инсандыгын жана кирүү мүмкүнчүлүгүн текшерүү үчүн бардык жеткиликтүү маалымат чекиттерин колдонуңуз.
• Эң аз артыкчылык мүмкүнчүлүгүн колдонуңуз – өз убагында жана жетиштүү коопсуздук.
• Бузууну болжолдоңуз - бардыгын шифрлаңыз, активдүү аналитиканы колдонуңуз жана өзгөчө кырдаалдарга жооп бериңиз.

Булут жана булут кызматтарын керектөөчү катары, ал да ишенимге келет. Сиз өзүңүзгө суроо беришиңиз керек: "Мен өзүмдүн баалуу маалыматтарымды булутта сактай турган сатуучума ишенемби?" Ишеним, бул учурда биз жогоруда сүрөттөгөн коопсуздукту башкаруу үчүн ошол компанияга же ага окшош компанияга таянганыңызды билдирет. Же болбосо, эгер сиз терс жооп берсеңиз, сиз үй шартыңызда коопсуздукту башкаруунун бирдей түрлөрүн аткарууга даярсызбы. Өзүңө ишенесиңби?

Булуттагы кызматтарды көрсөткөн компания катары, кардарлар булут инфраструктураңыздагы маалыматтарын сактоо үчүн сизге ишенишет. Бул уланып жаткан процесс. Пайда болгон коркунучтардан кабардар болуп туруңуз, коопсуздук чараларыңызды ошого жараша ыңгайлаштырыңыз жана дайыма өнүгүп жаткан булут пейзажында бизнесиңиз үчүн эң жогорку коргоону камсыз кылуу үчүн тажрыйбалуу адистер же коопсуздук боюнча кеңешчилер менен кызматтаңыз.

1. https://www.bleepingcomputer.com/news/security/lastpass-hackers-stole-customer-vault-data-in-cloud-storage-breach/ ↑