Mes kalbame apie saugumą debesyje
Per didelė ekspozicija
Sakykime taip, ką nerimaujate dėl atskleidimo? Koks jūsų vertingiausias turtas? Jūsų socialinio draudimo numeris? Jūsų banko sąskaitos informacija? Asmeniniai dokumentai ar nuotraukos? Jūsų kriptovaliutų pradinė frazė? Jei vadovaujate įmonei arba esate atsakingi už duomenų saugojimą, galite nerimauti, kad tos pačios rūšies informacija gali būti pažeista, bet ab.roader mastu. Jūsų klientai jums patikėjo savo duomenų apsaugą.
Mes, kaip vartotojai, savo duomenų saugumą laikome savaime suprantamu dalyku. Šiomis dienomis vis dažniau tie duomenys saugomi debesyje. Daugelis pardavėjų siūlo paslaugas, kurios leidžia klientams kurti atsargines duomenų kopijas iš vietinių kompiuterių į debesį. Pagalvokite apie tai kaip apie virtualų standųjį diską danguje. Tai reklamuojama kaip saugus ir patogus būdas apsaugoti jūsų duomenis. Patogu, taip. Galite atkurti netyčia ištrintą failą. Galite atkurti visą standųjį diską, kurio duomenys buvo sugadinti.
Bet ar tai saugu? Jums suteikiama spyna ir raktas. Raktas paprastai yra vartotojo vardas ir slaptažodis. Jis yra užšifruotas ir žinomas tik jums. Štai kodėl saugumo ekspertai rekomenduoja saugoti slaptažodį. Jei kas nors gauna prieigą prie jūsų slaptažodžio, jis turi virtualų raktą į jūsų virtualų namą.
Jūs visa tai žinote. Jūsų atsarginės debesies paslaugos slaptažodis yra 16 simbolių ilgio, jį sudaro didžiosios ir mažosios raidės, skaičiai ir pora specialiųjų simbolių. Keičiate ją kas šešis mėnesius, nes žinote, kad įsilaužėliui tai apsunkina. Jis skiriasi nuo kitų jūsų slaptažodžių – nenaudojate to paties slaptažodžio kelioms svetainėms. Kas gali suklysti?
Kai kurios įmonės siūlo tai, ką jos pavadino „asmeniniu debesiu“. Vakarų Digital yra viena iš tų įmonių, kurios suteikia paprastą būdą sukurti atsargines duomenų kopijas asmeninėje erdvėje debesyje. Tai tinkle sujungta saugykla, pasiekiama internetu. Jis jungiamas prie „Wi-Fi“ maršruto parinktuvo, kad galėtumėte jį pasiekti iš bet kurios tinklo vietos. Patogiai, nes jis taip pat prijungtas prie interneto, galite pasiekti savo asmeninius duomenis iš bet kurios interneto vietos. Dėl patogumo kyla rizika.
Kompromituojanti pozicija
Šių metų pradžioje įsilaužėliai įsiveržė į Western Digitalsistemos ir galėjo atsisiųsti maždaug 10 Tb duomenų. Tada juodieji laiškininkai laikė duomenis, kad gautų išpirką, ir bandė susitarti į šiaurę nuo 10,000,000 XNUMX XNUMX JAV dolerių dėl saugaus duomenų grąžinimo. Duomenys yra kaip nafta. O gal auksas yra geresnė analogija. Vienas iš įsilaužėlių kalbėjo su sąlyga būti anonimiškas. Cha! "TechCrunch" apklausė jį, kai jis vykdė šį verslo sandorį. Įdomu tai, kad duomenys, kurie buvo pažeisti, buvo Vakarų Digitalkodo pasirašymo sertifikatą. Tai yra tinklainės skenavimo technologinis atitikmuo. Sertifikatas skirtas patvirtinti savininko ar turėtojo tapatybę. Naudojant šį virtualų tinklainės nuskaitymą, norint pasiekti „saugius“ duomenis, nereikia slaptažodžio. Kitaip tariant, su šiuo sertifikatu šis juodos kepurės verslininkas gali žengti tiesiai pro priekines duris digital rūmai.
Vakarų Digital atsisakė komentuoti, reaguodama į įsilaužėlio teiginius, kad jie vis dar yra WD tinkle. Neįvardytas įsilaužėlis išreiškė nusivylimą, kad Vakarų atstovai Digital neatsakys į jo skambučius. Oficialiai, a pranešimą spaudai, Vakarų Digital paskelbė, kad „Remiantis iki šiol atliktu tyrimu, Bendrovė mano, kad neįgaliota šalis gavo tam tikrus duomenis iš savo sistemų ir stengiasi suprasti tų duomenų pobūdį ir apimtį. Taigi, vakarietiškas Digital yra mama, bet įsilaužėlis plepa. Kalbant apie tai, kaip jie tai padarė, įsilaužėlis aprašo, kaip jie išnaudojo žinomas spragas ir galėjo gauti prieigą prie duomenų debesyje kaip pasaulinis administratorius.
Pasaulinis administratorius pagal vaidmens prigimtį turi prieigą prie visko. Jam nereikia jūsų slaptažodžio. Jis turi pagrindinį raktą.
Vakarų Digital yra Ne vienas
A apklausa pernai nustatė, kad 83% apklaustų įmonių turėjo daugiau nei vienas duomenų pažeidimas, iš kurių 45 % buvo debesies pagrindu. The vidutinis Duomenų pažeidimo JAV kaina siekė 9.44 mln. Išlaidos buvo suskirstytos į keturias išlaidų kategorijas – prarastas verslas, aptikimas ir eskalavimas, pranešimas ir atsakas po pažeidimo. (Nesu tikras, kokiai kategorijai priklauso duomenų išpirka. Neaišku, ar kuris nors iš respondentų sumokėjo išpirkos reikalavimus.) Vidutinis laikas, per kurį organizacija nustato duomenų pažeidimą ir į jį reaguoja, yra apie 9 mėnesius. Todėl nenuostabu, kad praėjus keliems mėnesiams po Western Digital pirmą kartą pripažino duomenų pažeidimą, jie vis dar tiria.
Sunku tiksliai pasakyti, kiek įmonių patyrė duomenų pažeidimų. Žinau vieną didelę privačią įmonę, kurią užpuolė išpirkos reikalaujančios programos. Savininkai atsisakė derėtis ir nemokėjo. Tai reiškė, kad buvo prarasti el. laiškai ir duomenų failai. Jie nusprendė atkurti viską nuo neužkrėstų atsarginių kopijų ir iš naujo įdiegti programinę įrangą. Buvo daug prastovų ir sumažėjo produktyvumas. Šis įvykis niekada nebuvo paskelbtas žiniasklaidoje. Tai įmonei pasisekė, nes 66% mažų ir vidutinių įmonių, kurias užpuolė išpirkos reikalaujančios programos, per 6 mėnesius nutraukia veiklą.
- Yra 30,000 XNUMX svetainių nulaužė kasdien
- 4 milijonai failų pavogtas kasdien
- Buvo 22 milijardai įrašų pažeistas į 2021
Jei kada nors dirbote su „Capital One“, „Marriott“, „Equifax“, „Target“ ar „Uber“ paslaugomis arba naudojote jomis, gali būti, kad jūsų slaptažodis buvo pažeistas. Kiekviena iš šių pagrindinių įmonių patyrė didelį duomenų pažeidimą.
- „Capital One“: įsilaužėlis gavo prieigą prie 100 milijonų klientų ir pareiškėjų, pasinaudojęs bendrovės debesų infrastruktūros pažeidžiamumu.
- Marriott: Duomenų pažeidimas atskleidė informaciją apie 500 milijonų klientų (šis pažeidimas nebuvo aptiktas 4 metus).
- „Equifax“: buvo atskleista 147 mln. klientų asmeninė informacija debesyje.
- Tikslas: kibernetiniai nusikaltėliai pasiekė 40 milijonų kredito kortelių numerių.
- Uber: įsilaužėliai sukompromitavo kūrėjo nešiojamąjį kompiuterį ir gavo prieigą prie 57 milijonų vartotojų ir 600,000 XNUMX tvarkyklių.
- LastPass[1]: įsilaužėliai pavogė 33 milijonus klientų saugyklos duomenų dėl šios slaptažodžių tvarkyklės įmonės debesies saugyklos pažeidimo. Užpuolikas gavo prieigą prie „Lastpass“ debesies saugyklos naudodamas „debesų saugyklos prieigos raktą ir dviejų saugyklų talpyklos iššifravimo raktus“, pavogtus iš kūrėjo aplinkos.
Galite patikrinti, ar nebuvote atskleisti duomenų pažeidimo atveju, šioje svetainėje: ar buvau paskirtas? Įveskite savo el. pašto adresą ir jis parodys, kiek duomenų pažeidimų buvo rastas el. pašto adresas. Pavyzdžiui, įvedžiau vieną iš savo asmeninių el. pašto adresų ir pastebėjau, kad tai buvo 25 skirtingų duomenų pažeidimų dalis, įskaitant Evite. , Dropbox, Adobe, LinkedIn ir Twitter.
Sužlugdyti nepageidaujamus piršlius
Vakarai gali niekada nesulaukti viešo pripažinimo Digital tiksliai to, kas atsitiko. Šis incidentas iliustruoja du dalykus: debesyje esantys duomenys yra tik tokie saugūs, kiek jų saugotojai ir raktų saugotojai turi būti ypač atsargūs. Perfrazuojant Peterio Parkerio principą, root prieiga reiškia didelę atsakomybę.
Tiksliau sakant, root naudotojas ir visuotinis administratorius nėra visiškai tas pats. Abi turi daug galios, tačiau turėtų būti atskiros sąskaitos. Pagrindinis vartotojas turi ir turi prieigą prie įmonės debesies paskyros žemiausiu lygiu. Taigi ši paskyra gali ištrinti visus duomenis, VM, klientų informaciją – viską, ką įmonė apsaugojo debesyje. AWS yra tik 10 užduotys, įskaitant AWS paskyros nustatymą ir uždarymą, kuriems tikrai reikia root prieigos.
Administratoriaus paskyros turėtų būti sukurtos administravimo užduotims atlikti (duh). Paprastai yra kelios administratoriaus paskyros, kurios paprastai yra pagrįstos asmeniu, skirtingai nei viena šakninė paskyra. Kadangi administratoriaus paskyros yra susietos su asmeniu, galite lengvai stebėti, kas kokius pakeitimus padarė aplinkoje.
Mažiausia privilegija siekiant maksimalaus saugumo
Duomenų pažeidimo tyrime buvo tiriamas 28 veiksnių poveikis duomenų pažeidimo sunkumui. AI saugos naudojimas, DevSecOps metodas, darbuotojų mokymas, tapatybės ir prieigos valdymas, MFA, saugos analizė turėjo teigiamą poveikį mažinant vidutinę dolerio sumą, prarastą per incidentą. Tuo tarpu atitikties gedimai, saugos sistemos sudėtingumas, saugos įgūdžių trūkumas ir debesų perkėlimas buvo veiksniai, kurie padidino vidutines duomenų pažeidimo išlaidas. 
Pereidami į debesį turite būti budrūs nei bet kada saugodami savo duomenis. Štai keletas papildomų būdų, kaip sumažinti riziką ir sukurti saugesnę aplinką nuo a saugumas požiūris:
1. Kelių faktorių autentifikavimas: įvesti MFA šakninėms ir visoms administratoriaus paskyroms. Dar geriau, naudokite fizinės aparatinės įrangos MFA įrenginį. Potencialiam įsilaužėliui reikės ne tik paskyros pavadinimo ir slaptažodžio, bet ir fizinės MFA, kuri generuoja sinchronizuotą kodą.
2. Galia mažais skaičiais: Apriboti, kas turi prieigą prie šaknies. Kai kurie saugumo ekspertai siūlo ne daugiau kaip 3 naudotojus. Kruopščiai valdykite root vartotojo prieigą. Jei niekur kitur nevykdote tapatybės valdymo ir išjungimo, atlikite tai čia. Jei vienas iš pasitikėjimo rato palieka organizaciją, pakeiskite pagrindinį slaptažodį. Atkurkite MFA įrenginį.
3. Numatytosios paskyros privilegijos: Suteikdami naujas vartotojų paskyras ar vaidmenis, įsitikinkite, kad pagal numatytuosius nustatymus jiems suteiktos minimalios privilegijos. Pradėkite nuo minimalios prieigos politikos ir prireikus suteikite papildomų leidimų. Mažiausios saugumo užtikrinimo užduočiai atlikti principas yra modelis, kuris atitiks SOC2 saugumo atitikties standartus. Koncepcija yra ta, kad bet kuris vartotojas ar programa turi turėti minimalų saugumą, reikalingą reikiamai funkcijai atlikti. Kuo didesnė privilegija yra pažeista, tuo didesnė rizika. Ir atvirkščiai, kuo mažesnė privilegija, tuo mažesnė rizika.
4. Audito privilegijos: Reguliariai tikrinkite ir peržiūrėkite naudotojams, vaidmenims ir paskyroms priskirtas teises debesies aplinkoje. Taip užtikrinama, kad asmenys turėtų tik būtiną leidimą atlikti jiems paskirtas užduotis.
5. Tapatybės valdymas ir „Just-in-time“ privilegijos: nustatykite ir atšaukite visas perteklines ar nepanaudotas teises, kad sumažintumėte neteisėtos prieigos riziką. Suteikite prieigos teises vartotojams tik tada, kai jų reikia konkrečiai užduočiai arba ribotą laikotarpį. Tai sumažina atakos paviršių ir sumažina galimų saugumo grėsmių galimybę. 
6. Įterptieji kredencialai: uždrausti nešifruoto autentifikavimo (vartotojo vardo, slaptažodžio, prieigos raktų) kodavimą scenarijuose, užduotyse ar kitame kode. Vietoj to pažiūrėkite į a paslapčių valdytojas kuriuos galite naudoti norėdami programiškai gauti kredencialus.
7. Infrastruktūros kaip kodo (IaC) konfigūracija: laikykitės geriausios saugos praktikos konfigūruodami debesies infrastruktūrą naudodami IaC įrankius, tokius kaip AWS CloudFormation arba Terraform. Venkite suteikti viešą prieigą pagal numatytuosius nustatymus ir apribokite prieigą prie išteklių tik patikimais tinklais, vartotojais arba IP adresais. Naudokite smulkius leidimus ir prieigos kontrolės mechanizmus, kad įgyvendintumėte mažiausiųjų privilegijų principą.
8. Veiksmų registravimas: įgalinkite išsamų veiksmų ir įvykių registravimą ir stebėjimą debesies aplinkoje. Užfiksuokite ir analizuokite žurnalus dėl bet kokios neįprastos ar potencialiai kenkėjiškos veiklos. Įdiekite patikimus žurnalų valdymo ir saugos informacijos bei įvykių valdymo (SIEM) sprendimus, kad galėtumėte greitai aptikti saugos incidentus ir į juos reaguoti.
9. Reguliarus pažeidžiamumo vertinimas: reguliariai atlikite pažeidžiamumo vertinimus ir įsiskverbimo testus, kad nustatytumėte saugos trūkumus debesijos aplinkoje. Nedelsdami pataisykite ir pašalinkite visas nustatytas spragas. Stebėkite debesijos paslaugų teikėjo išleistus saugos naujinimus ir pataisas ir užtikrinkite, kad jie būtų nedelsiant pritaikyti, kad apsisaugotumėte nuo žinomų grėsmių.
10. Švietimas ir mokymas: Skatinkite supratimo apie saugumą kultūrą ir reguliariai mokykite darbuotojus apie mažiausiųjų privilegijų principo svarbą. Išmokykite juos apie galimą riziką, susijusią su pernelyg didelėmis privilegijomis, ir geriausią praktiką, kurios reikia laikytis pasiekiant ir tvarkant išteklius debesies aplinkoje.
11. Pataisymai ir atnaujinimai: sumažinkite pažeidžiamumą reguliariai atnaujindami visą serverio programinę įrangą. Atnaujinkite savo debesų infrastruktūrą ir susijusias programas, kad apsisaugotumėte nuo žinomų pažeidžiamumų. Debesijos paslaugų teikėjai dažnai išleidžia saugos pataisas ir naujinimus, todėl labai svarbu neatsilikti nuo jų rekomendacijų.
Pasitikėkite
Tai priklauso nuo pasitikėjimo – suteikti tik jūsų organizacijos darbuotojams pasitikėjimą, kad jie galėtų atlikti užduotis, kurias jie turi atlikti, kad galėtų atlikti savo darbą. Saugumo ekspertai rekomenduoja Nulis pasitikėjimo. „Zero Trust“ saugumo modelis yra pagrįstas trimis pagrindiniais principais:
- Patvirtinti aiškiai – naudokite visus turimus duomenų taškus, kad patvirtintumėte vartotojo tapatybę ir prieigą.
- Naudokite mažiausiai privilegijų prieigą – laiku ir pakankamai saugumo.
- Įsivaizduokite pažeidimą – užšifruokite viską, naudokite aktyvią analizę ir reaguokite į ekstremalias situacijas.
Kaip debesies ir debesijos paslaugų vartotojas taip pat priklauso nuo pasitikėjimo. Turite savęs paklausti: „Ar aš pasitikiu savo pardavėju, kad mano brangūs duomenys būtų saugomi debesyje? Pasitikėjimas šiuo atveju reiškia, kad pasitikite ta ar panašia įmone, kad valdytumėte saugumą, kaip aprašėme aukščiau. Arba, jei atsakysite neigiamai, ar esate pasirengę atlikti tokias pat saugumo valdymo veiklas savo namų aplinkoje. Ar pasitiki savimi?
Kaip įmonė, teikianti paslaugas debesyje, klientai pasitikėjo jumis, kad apsaugotumėte savo duomenis debesų infrastruktūroje. Tai nuolatinis procesas. Būkite informuoti apie kylančias grėsmes, atitinkamai pritaikykite savo saugos priemones ir bendradarbiaukite su patyrusiais specialistais ar saugos konsultantais, kad užtikrintumėte didžiausią savo verslo apsaugą nuolat besikeičiančiame debesų aplinkoje.
- https://www.bleepingcomputer.com/news/security/lastpass-hackers-stole-customer-vault-data-in-cloud-storage-breach/ ↑
