De securitate loquimur in nube

Per Patefacio

Sic eamus, quid de exponendo solliciti estis? Quae sunt pretiosa bona? Social Security Number tua? Ripae propter informationem? Documenta privata, an imagines? Crypto semen tuum sententia? Si societatem administrare vel notitiarum custodiae responsales es, cures de eisdem speciebus informationum suspectarum, sed de ab.roader libra. A clientibus tuis data tutela creditus es.

Ut perussi, securitatem nostram datam pro concesso accipimus. Pluribus ac saepius his diebus data in nubem reponuntur. Plures venditores operas offerunt quae clientes ad tergum notitias e computatris localibus ad nubes permittunt. Cogita illum virtualem ferreum coegi in caelo. Haec proscripta est via tuta et opportuna ad notitias tuas tutandas. Commodum, etiam. Recipere potes fasciculum quem casu delevisti. Reddere potes integrum coegi cuius notitia corrupta est.

Sed estne tutum? Sera et clavis es instructa. Clavis est, typice, username et password. Encryptum est, et solum tibi notum est. Ideo periti securitatis custodiam es tesserae tuae tutis commendant. Si quis accessum ad tesseram tuam acquirit, clavem virtualem domus tuae virtualis habent.

Nostis haec omnia. Tessera tua ad nubem tergum muneris XVI characteres longus est, auto et litteras minusculas continet, numeros et characteres singulares iugo. Singulos menses sex mutas quia scis id difficilius esse in piratica. Differt ab aliis Tesserae tuis – eadem tessera non pluribus locis uteris. Quid enim mali potuit?

Alie societates offerunt id quod notaverunt ut "Personal Cloud." Occidentis Digital una ex illis societatibus est quae facilem viam praebent ad tergum tuum datam ad spatium personale in nube. Recondita reposita in interrete praesto est. It plugs in Wi-Fi iter tuum ut illud accedere potes ab intra retis tuis usquam. Commode, quia etiam cum interrete coniungitur, personale notitiae tuae aliunde in interreti accedere potes. Cum periculo commodo.

A Composuisse Position

Hoc anno ante, hackers in occidentales irrumpunt Digitalsystemata et circiter 10 Tb notitiarum extrahere potuerunt. Negotiatores nigri tunc notitias redimendi tenuerunt et negotiando plurimum US$10,000,000 ad septentrionem versus pro reditu notitiarum conabantur. Data similis est olei. Vel fortasse aurum melius analogia est. Unus e gratis locutus est de conditione anonymitatis. Ha! TechCrunch dum in processu hujus negotii ageret eum adierunt. Quid interest, quod notitia quae aedilis includitur occidentalis est DigitalCodicis-signationis libellum. Hoc est instar technologicorum retinae scan. Testimonium certificatorium intendit positive cognoscere dominum vel armigerum suum. Cum hoc virtuali retina scan, nulla tessera ad accessum ad "tutum" data requiritur. Aliis verbis, cum hoc libello negotiator iste niger petasus ius in ostio domus ante ostium ambulare potest digital palatium.

Western Digital recusavit explanare responsionem piraticae affirmat se adhuc in retis WD esse. In nomine Piratica expressit destitutionem repraesentativis apud Occidentem Digital non reddit vocat. Publice in a Press Release, occidentalis Digital "Ex investigatione moderna, Societas credit partem non legitimorum certas notitias ex suis systematibus habere et laborat ad cognoscendam naturam et ambitum illius notitiae". Ita, Occidentis Digital mum est, sed piratica blattat. Quomodo id fecerint, piratica describit quomodo vulnerabilitates notas abutuntur et accessum ad notitias in nube ut administratores globalis consequi poterant.

Administrator globalis natura muneris ad omnia aditus habet. Tessera tua non eget. Dominus clavem habet.

Western Digital non solum

A contemplatio anno praeterito deprehendi LXXXIII% societatum lustrata habuit quam plures data contritio, 45% quorum nubilum fundatum est. The medium cost of data contritio in Civitatibus Foederatis Americae US $9.44 decies centena millia fuit. Sumptus in quattuor categoriis sumptus fracti sunt - negotia amissa, detectio et propagationis, notificatio et responsio post contritionem. (Non certus sum quid categoria data redemptio sit. Si quis ex conventi pretium pretium exigat non liquet.) Mediocris tempus ordinationem accipit cognoscendi et respondendi notae interruptae circiter 9 menses. Non mirum igitur aliquot menses post Occidentem Digital primo agnita data contritione adhuc investigat.

Quam multae societates datae scissurae habuissent, prorsus dicere difficile est. Novi unum magnum et privatim commissum, qui pretio pretio oppugnatus est. Domini agere noluerunt et non reddiderunt. Id significabat, potius, electronicas amissas et notas tabellas. Elegerunt omnia ab infectis tergum reficere et programmata restitui. Significans tempus demissum est et fructibus perditis. Ea res in instrumentis numquam fuit. Quod societas felix, quod 66% societates parvae ad mediocres, quae pretium redemptionis ingrediuntur intra sex menses exeuntes oppugnantur.

• 30,000 websites sunt hacked cotidie
• IV decies files sunt furatus cotidie
• XXII billion records erant dissipatae in 2021

Si umquam negotiatus es vel usus Capitalis One, Marriott, Equifax, Target vel Uber, fieri potest ut tessera tua aedilis sit. Singulae ex his societatibus maioribus notae notae interruptae passi sunt.

• Capital One: Piratica accessum ad centum milia clientium et audit per potentiam vulnerabilitas in infrastructura societatis nubentis opprimit.
• Marriott: Notitia rupturae expositae in 500 decies centena millia clientium (haec contritio inobservata per 4 annos).
• Equifax: Personalis info in nube in 147 miliones clientium exposita est.
• Scopum: cybercriminales accessed 40 decies promeritum pectoris numerorum.
• Uber: Hackers de laptop viae decipitur et accessum ad 57 decies centena usorum et 600,000 rectorum comparavit.
• LastPass^[1]: Hackers subripuit XXXIII miliones clientium crypta data in nube rupturae repositae ob tesseram villici huius societatis. Percussor accessum ad Lastpass nubem repositionis utens "clavem accessum repositionis nubem et claves duplices continens decryption" subrepta e environment elit eius.

Potes videre si expositae sunt in ruptura data in hoc loco: Omnis Asperiores Reprehenderit I have been? Typus in inscriptione tua electronica et ostendet tibi quot notitiarum electronicarum interruptio in electronica reperta sit. Exempli gratia, in una inscriptionum electronicarum personalium mearum figurarum et inveni partem fuisse 25 diversarum ruptarum notitiarum, inter Evite , Dropbox, Adobe, LinkedIn et Twitter.

Impedimentum invitis procorum

Numquam potest esse publice agnitio occidentis Digital prorsus quid accidit. Res duas res illustrat: notitia in nube tam securum est quam custodes et clavium custodes diligenter debent esse. Ad Petri Parker Principium paraphrasin, cum radice accessus magni officii venit.

Ut verius dicam, radix user et administrator globalis non sunt omnino similia. Ambae multam potentiam habent, sed rationes separatae esse debent. Radix usor possidet et accessum ad nubem corporatam in infimo gradu habet. Ut talis, haec ratio omnia notitias delere potuit, VMs, notitias emptorum - omnia quae in nube procuravit. In AWS, sunt tantum 10 munera, inter instituendum et claudendum rationem tuam AWS, quod vere radix accessum requirat.

Administratores rationes creari debent ad officia administrativa facienda (duh). Solent multae rationes administratores quae plerumque personae fundatae sunt, dissimilis ratio unius radicis. Quia Administratores rationes alicui alligatae sunt, facile monitor qui mutationes in ambitu fecit.

Maximum Securitatis ad minimum privilegium

Notitia interruptionis circumspectis studuit ictum 28 factorum in acerbitate fracturae datae. Usus securitatis AI, accessus DevSecOps, disciplina operarius, identitas et accessus administratio, MFA, securitas analytica omnia positivum ictum habuerunt in reducendo mediocris dollaris quantitatem amissam in incidenti. Cum defectibus obsequens, systematis securitatis complexitas, securitas artes inopia, migratio nubes essent factores, quae in rete altiori incremento in mediocris sumptus notitiae fracturae contulerunt.

Ut in nubem migras, vigilantius esse debes quam in notitia tua semper tuenda. Hic nonnullae rationes additi sunt ad periculum redigendum tuum ac tutiorem ambitum currunt ex a Security sub aspectu:

1. Muli-factor authenticitate: exeat MFA ad radix et omnes administrator rationes. Etiam melius, hardware corporis fabrica MFA utere. Piratica potentialis non solum nomen et tesseram rationis opus est, sed etiam physicam MFA quae codicem synchronizatum generat.

2. Virtus in paucitate; Modus qui habet accessum ad radicem. Quidam periti securitatis non plus quam 3 users suadeant. Aditus radix user assidue curo. Si identitatis administrationem feceritis et nusquam alibi extemporalitatem, hic facite. Si unus in circulo fiduciae ordinationem relinquit, tesseram radicem mutat. MFA fabrica recuperet.

3. Default Account Privilegia: Cum novas usoris rationes vel functiones provideat, curet ut privilegiis minimis per defaltam concedantur. Incipere per minimam accessum consilium et deinde ut necessarias facultates concedas additionals. Principium providentis minimae securitatis ad negotium perficiendum exemplar est quod SOC2 securitatis signa obsequia praeteribit. Notio est quod quaelibet usor vel applicationis debet habere securitatem minimam requisitam ad munus debitum exercendum. Quanto est privilegium, maius periculum. Econtra inferior priuilegio patebit, inferior periculum.

4. Privilegia audientia: Regulariter audit et recognoscere privilegia usoribus, muneribus et rationibus in tuo ambitu nubilo assignata. Hoc efficit ut singuli tantum necessariam habeant licentiam destinata opera exercendi.

5. Identity Management and Just-in-time Privilegia: Cognoscere et revocare privilegia nimia vel insueta ad minimize periculum alienum accessum. Tantum ius utentibus accessum praebent cum ea ad certum munus vel limitatum tempus requirunt. Hic oppugnationis superficiem regit et fenestram opportunitatis ad minas securitatis potentialis minuit.

6. embedded documentorum: Prohibe duro-coding authenticas unencrypted (claves usoris, tesserae accessus) in scriptis, jobs vel in alio codice. Instead inspicere a secreta procurator ut programmatice ad documentorum usum recuperare possis.

7. Infrastructure-as-Codex (Iac) configurationis: Securitati adhaesito exercitia optima, cum infrastructuram nubem figurans utens instrumenta IaC sicut AWS CloudFormation vel Terraformia. Vitare accessum publicum per defaltam et accessum ad facultates restringere ad retiacula tantum credita, utentes, vel IP adscriptiones. Perennem uti licentias et machinas regere accessere ad principium minimi privilegii compellere.

8. Logging de actionibus: Admitte comprehensivam colligationem et vigilantiam actionum et eventuum intra nubem tuam ambitum. Capere et resolvere trabes pro quibusvis actionibus malitiis insolitis vel potentia. Exsecutio stipes robustae procuratio et notitiae securitatis et administrationis eventus (SIEM) solutiones ad detegendas et respondendas ad res securitatis cito.

9. Regularis Passibilitatem Assessments: Perfice vulnerabilitatem regularem aestimationem et acumen probandi ad cognoscendas infirmitates securitatis in ambitu tuo nubes. Patch et remediate quaelibet vulnerabilitates quae identificantur prompte. Vestigium securitatis updates et resarculas a provisore tuo nubilo emissas ac prompte adhibentur ut contra minas notas defendas.

10. Institutio et educatio: culturam securitatis conscientiae promovere et regularem institutionem operariis praebere ad momentum principii minimi privilegii. Educare eos de periculis potentialibus nimia privilegiis consociata et optimas consuetudines sequi, cum accessus et administrandi facultates intra nubes ambitus.

11. Resarcio et Updates: vulnerabilitates reducere regulariter adaequationis omnes programmata server. Nubem infrastructuram tuam custodi et adiunctis applicationibus ad modernum tuendum contra vulnerabilitates notas. Nubes provisores saepe securitatem resarcio et updates emittunt, sic currentes morabantur cum suis commendationibus crucialus est.

fiduciam

Fiducia descendit – modo fiduciae in tua ordinatione providendo ut operas perficias quae opus faciunt ut suum officium peractum efficiant. Securitatis peritis suadeo nulla spera. Nulla spera securitas exemplar tribus principiis clavis nititur:

• Cognoscere explicite – omnia quae data sunt praesto utere ad convalidandum identitatem et accessum utentis.
• Uti minimo-privilegio accessu - modo in tempore et satis iusta securitate.
• Contritionem adhibe - encrypt omnia, proactiva analytica adhibe et in loco subitis responsionem habe.

Sicut nubes et nubes consumit officia, ita etiam descendit in fide. Te ipsum interrogare debes, "Numquid credo venditori meo pretiosam datam in nube reponere?" Fiducia, in hoc casu, significat te in illa societate confidere, vel cui simile est, securitatem administrare sicut supra diximus. Vel, si negative respondes, paratus es praestare easdem rationes securitatis administrationis actionis in ambitu domi tuae. Credis te ipsum?

Cum societas officia in nube praebens, clientes fiduciam in te collocaverunt ut notitias suas in tua nube infrastructura servarent. Processus permanens est. De minis emergentes certiores manete, cautionem vestram proinde accommodare, et cum peritis doctorum vel securitatis consultoribus operam navare, ut negotia tua in nubilo semper evolvente in toparchiis maximis praesidiis tueantur.

1. https://www.bleepingcomputer.com/news/security/lastpass-hackers-stole-customer-vault-data-in-cloud-storage-breach/ ↑