Mēs runājam par drošību mākonī

Pārmērīga ekspozīcija

Teiksim tā, ko jūs uztraucat par atmaskošanu? Kādi ir jūsu vērtīgākie īpašumi? Jūsu sociālās apdrošināšanas numurs? Jūsu bankas konta informācija? Privāti dokumenti vai fotogrāfijas? Jūsu kriptovalūtu sēklu frāze? Ja jūs pārvaldāt uzņēmumu vai esat atbildīgs par datu glabāšanu, varat uztraukties par tāda paša veida informācijas apdraudējumu, tačuroader mērogs. Jūsu klienti jums ir uzticējuši savu datu aizsardzību.

Mēs kā patērētāji savu datu drošību uzskatām par pašsaprotamu. Mūsdienās arvien biežāk dati tiek glabāti mākonī. Vairāki pārdevēji piedāvā pakalpojumus, kas ļauj klientiem dublēt datus no saviem lokālajiem datoriem mākonī. Padomājiet par to kā par virtuālu cieto disku debesīs. Tas tiek reklamēts kā drošs un ērts veids, kā aizsargāt jūsu datus. Ērti, jā. Varat atgūt nejauši izdzēstu failu. Varat atjaunot visu cieto disku, kura dati ir bojāti.

Bet vai tas ir droši? Jums tiek nodrošināta slēdzene un atslēga. Parasti galvenais ir lietotājvārds un parole. Tas ir šifrēts un zināms tikai jums. Tāpēc drošības eksperti iesaka glabāt savu paroli drošībā. Ja kāds iegūst piekļuvi jūsu parolei, viņam ir jūsu virtuālās mājas virtuālā atslēga.

Jūs to visu zināt. Jūsu rezerves mākoņpakalpojuma parole ir 16 rakstzīmes gara, tajā ir lielie un mazie burti, cipari un dažas speciālās rakstzīmes. Jūs to mainiet ik pēc sešiem mēnešiem, jo ​​zināt, ka tas hakeram apgrūtina darbu. Tā atšķiras no citām jūsu parolēm — jūs neizmantojat vienu un to pašu paroli vairākām vietnēm. Kas varētu noiet greizi?

Daži uzņēmumi piedāvā to, ko viņi ir nodēvējuši par “personīgo mākoni”. Rietumu Digital ir viens no tiem uzņēmumiem, kas nodrošina vienkāršu veidu, kā dublēt datus savā personīgajā mākonī. Tā ir tīkla krātuve, kas pieejama internetā. Tas tiek pievienots jūsu Wi-Fi maršrutētājam, lai jūs varētu tam piekļūt no jebkuras vietas tīklā. Ērti, jo tam ir arī savienojums ar internetu, varat piekļūt saviem personas datiem no jebkuras vietas internetā. Ar ērtībām nāk risks.

Kompromitējoša pozīcija

Šī gada sākumā hakeri ielauzās Western Digitalsistēmas un varēja lejupielādēt aptuveni 10 Tb datu. Pēc tam melnie sūtītāji turēja datus par izpirkuma maksu un mēģināja vienoties par darījumu uz ziemeļiem no USD 10,000,000 XNUMX XNUMX par drošu datu atgriešanu. Dati ir kā nafta. Vai varbūt zelts ir labāka līdzība. Viens no hakeriem vēlējās palikt anonīms. Ha! TechCrunch intervēja viņu, kamēr viņš bija šī biznesa darījuma procesā. Interesanti ir tas, ka dati, kas tika apdraudēti, ietvēra Rietumu datus Digitalkoda parakstīšanas sertifikāts. Tas ir tīklenes skenēšanas tehnoloģiskais ekvivalents. Sertifikāts ir paredzēts, lai pozitīvi identificētu īpašnieku vai uzrādītāju. Izmantojot šo virtuālo tīklenes skenēšanu, nav nepieciešama parole, lai piekļūtu “drošajiem” datiem. Citiem vārdiem sakot, ar šo sertifikātu šis melnās cepures uzņēmējs var ieiet tieši pa ārdurvīm digital pils.

rietumu Digital atteicās komentēt, atbildot uz hakeru apgalvojumiem, ka viņi joprojām atrodas WD tīklā. Vārdā nenosauktais hakeris pauda vilšanos, ka Rietumu pārstāvji Digital neatbildētu uz saviem zvaniem. Oficiāli, a presei, Rietumu Digital paziņoja, ka: "Pamatojoties uz līdzšinējo izmeklēšanu, uzņēmums uzskata, ka nepilnvarotā persona ieguva noteiktus datus no savām sistēmām un strādā, lai izprastu šo datu būtību un apjomu." Tātad, Rietumu Digital ir mamma, bet hakeris pļāpā. Runājot par to, kā viņi to izdarīja, hakeris apraksta, kā viņi izmantoja zināmās ievainojamības un kā globālais administrators varēja piekļūt datiem mākonī.

Globālajam administratoram pēc lomas būtības ir piekļuve visam. Viņam nav vajadzīga jūsu parole. Viņam ir galvenā atslēga.

rietumu Digital nav Viens

A pārskats pagājušajā gadā atklājās, ka 83% aptaujāto uzņēmumu bija Vairāk par vienu datu pārkāpums, no kuriem 45% bija mākoņa pamatā. The vidējais datu pārkāpuma izmaksas Amerikas Savienotajās Valstīs bija 9.44 miljoni ASV dolāru. Izmaksas tika sadalītas četrās izmaksu kategorijās — zaudēta uzņēmējdarbība, atklāšana un eskalācija, paziņošana un reaģēšana pēc pārkāpuma. (Es neesmu pārliecināts, kurā kategorijā ietilpst datu izpirkuma maksa. Nav skaidrs, vai kāds no respondentiem ir samaksājis izpirkuma maksu.) Vidējais laiks, kas organizācijai nepieciešams, lai identificētu datu pārkāpumu un reaģētu uz to, ir aptuveni 9 mēneši. Tāpēc nav pārsteigums, ka vairākus mēnešus pēc Western Digital vispirms atzina datu pārkāpumu, viņi joprojām izmeklē.

Grūti precīzi pateikt, cik uzņēmumiem ir bijuši datu pārkāpumi. Es zinu vienu lielu privātu uzņēmumu, kuram uzbruka izpirkuma programmatūra. Saimnieki atteicās no sarunām un nemaksāja. Tas nozīmēja, ka tika zaudēti e-pasta ziņojumi un datu faili. Viņi izvēlējās atjaunot visu, sākot no neinficētām dublējumkopijām un pārinstalēt programmatūru. Bija ievērojams dīkstāves laiks un zaudēta produktivitāte. Šis notikums nekad nav bijis plašsaziņas līdzekļos. Šim uzņēmumam paveicās, jo 66% mazie un vidējie uzņēmumi, kuriem uzbrūk izspiedējvīrusa programmatūra, 6 mēnešu laikā pārtrauc darbību.

• Ir 30,000 XNUMX vietņu hacked ik dienas
• 4 miljoni failu ir nozagts katru dienu
• Bija 22 miljardi ierakstu pārtraukts jo 2021

Ja kādreiz esat sadarbojies ar Capital One, Marriott, Equifax, Target vai Uber vai izmantojis tos, iespējams, jūsu parole ir apdraudēta. Katrs no šiem lielākajiem uzņēmumiem cieta no ievērojama datu pārkāpuma.

• Capital One: hakeris ieguva piekļuvi 100 miljoniem klientu un pretendentu, izmantojot uzņēmuma mākoņa infrastruktūras ievainojamību.
• Marriott: datu pārkāpums atklāja informāciju par 500 miljoniem klientu (šis pārkāpums netika atklāts 4 gadus).
• Equifax: tika atklāta personiskā informācija mākonī par 147 miljoniem klientu.
• Mērķis: kibernoziedznieki piekļuva 40 miljoniem kredītkaršu numuru.
• Uber: hakeri apdraudēja izstrādātāja klēpjdatoru un ieguva piekļuvi 57 miljoniem lietotāju un 600,000 XNUMX draiveru.
• LastPass^[1]: hakeri nozaga 33 miljonus klientu glabātuves datu mākoņa krātuves pārkāpumā šim paroļu pārvaldnieka uzņēmumam. Uzbrucējs ieguva piekļuvi Lastpass mākoņkrātuvei, izmantojot “mākoņa krātuves piekļuves atslēgu un divu krātuves konteineru atšifrēšanas atslēgas”, kas nozagtas no izstrādātāja vides.

Šajā vietnē varat pārbaudīt, vai esat saskāries ar datu pārkāpumu: esmu bijis pwned? Ievadiet savu e-pasta adresi, un tas parādīs, cik datu pārkāpumos šī e-pasta adrese ir atrasta. Piemēram, es ierakstīju vienu no savām personīgajām e-pasta adresēm un atklāju, ka tā ir bijusi daļa no 25 dažādiem datu pārkāpumiem, tostarp Evite. , Dropbox, Adobe, LinkedIn un Twitter.

Nevēlamo pielūdzēju izjaukšana

Iespējams, ka Western nekad nebūs publiski atzinuši Digital tieši par notikušo. Incidents ilustrē divas lietas: dati mākonī ir tik droši, cik droši to turētājiem un atslēgu turētājiem jābūt īpaši uzmanīgiem. Pārfrāzējot Pītera Pārkera principu, saknes piekļuve rada lielu atbildību.

Precīzāk sakot, saknes lietotājs un globālais administrators nav gluži viens un tas pats. Abiem ir liela jauda, ​​taču tiem jābūt atsevišķiem kontiem. Saknes lietotājam pieder korporatīvā mākoņa konts un viņam ir piekļuve zemākajā līmenī. Tādējādi šis konts var dzēst visus datus, virtuālās mašīnas, klientu informāciju — visu, ko uzņēmums ir nodrošinājis mākonī. AWS ir tikai 10 uzdevumi, tostarp AWS konta iestatīšana un slēgšana, kam patiešām nepieciešama root piekļuve.

Administratīvo uzdevumu veikšanai ir jāizveido administratora konti (duh). Parasti ir vairāki administratora konti, kas parasti ir balstīti uz personu, atšķirībā no viena saknes konta. Tā kā administratora konti ir saistīti ar personu, varat viegli pārraudzīt, kurš ir veicis kādas izmaiņas vidē.

Vismazākā privilēģija maksimālai drošībai

Datu pārkāpumu aptaujā tika pētīta 28 faktoru ietekme uz datu pārkāpuma smagumu. AI drošības izmantošanai, DevSecOps pieejai, darbinieku apmācībai, identitātes un piekļuves pārvaldībai, MFA, drošības analīzei bija pozitīva ietekme, samazinot vidējo negadījumā zaudēto dolāru summu. Tā kā atbilstības kļūmes, drošības sistēmas sarežģītība, drošības prasmju trūkums un mākoņa migrācija bija faktori, kas veicināja lielāku datu pārkāpuma vidējo izmaksu pieaugumu.

Pārejot uz mākoni, jums ir jābūt modram nekā jebkad agrāk, aizsargājot savus datus. Šeit ir daži papildu veidi, kā samazināt risku un nodrošināt drošāku vidi no a drošība viedoklis:

1. Vairāku faktoru autentifikācija: ieviest MFA saknes un visiem administratora kontiem. Vēl labāk, izmantojiet fiziskas aparatūras MFA ierīci. Potenciālajam hakeram būs nepieciešams ne tikai konta nosaukums un parole, bet arī fiziskā MFA, kas ģenerē sinhronizētu kodu.

2. Jauda nelielos skaitļos: Ierobežojiet, kam ir piekļuve saknei. Daži drošības eksperti iesaka ne vairāk kā 3 lietotājus. Rūpīgi pārvaldiet root lietotāja piekļuvi. Ja nekur citur neveicat identitātes pārvaldību un izslēgšanu, dariet to šeit. Ja kāds no uzticības loka pamet organizāciju, mainiet root paroli. Atjaunojiet MFA ierīci.

3. Noklusējuma konta privilēģijas: Nodrošinot jaunus lietotāju kontus vai lomas, pārliecinieties, ka tiem pēc noklusējuma tiek piešķirtas minimālas privilēģijas. Sāciet ar minimālas piekļuves politiku un pēc tam piešķiriet papildu atļaujas, ja nepieciešams. Princips nodrošināt vismazāko drošību uzdevuma izpildei ir modelis, kas izturēs SOC2 drošības atbilstības standartus. Koncepcija ir tāda, ka jebkuram lietotājam vai lietojumprogrammai ir jābūt minimālajai drošībai, kas nepieciešama, lai veiktu nepieciešamo funkciju. Jo augstākas privilēģijas tiek apdraudētas, jo lielāks risks. Un otrādi, jo zemāka ir piešķirtā privilēģija, jo mazāks risks.

4. Audita privilēģijas: Regulāri pārbaudiet un pārskatiet lietotājiem, lomām un kontiem piešķirtās privilēģijas jūsu mākoņa vidē. Tas nodrošina, ka personām ir tikai vajadzīgā atļauja veikt viņiem noteiktos uzdevumus.

5. Identitātes pārvaldība un privilēģijas tieši laikā: identificējiet un atsauciet visas pārmērīgās vai neizmantotās privilēģijas, lai samazinātu nesankcionētas piekļuves risku. Nodrošiniet lietotājiem piekļuves tiesības tikai tad, ja viņiem tās ir vajadzīgas noteiktam uzdevumam vai ierobežotam laika periodam. Tas samazina uzbrukuma virsmu un samazina iespējamo drošības apdraudējumu iespēju.

6. Iegultie akreditācijas dati: aizliedziet nešifrētas autentifikācijas (lietotājvārda, paroles, piekļuves atslēgas) cieto kodēšanu skriptos, darbos vai citos kodos. Tā vietā apskatiet a noslēpumu pārvaldnieks ko varat izmantot, lai programmatiski izgūtu akreditācijas datus.

7. Infrastructure-as-Code (IaC) konfigurācija: ievērojiet drošības paraugpraksi, konfigurējot mākoņa infrastruktūru, izmantojot IaC rīkus, piemēram, AWS CloudFormation vai Terraform. Izvairieties no publiskas piekļuves piešķiršanas pēc noklusējuma un ierobežojiet piekļuvi resursiem tikai uzticamiem tīkliem, lietotājiem vai IP adresēm. Izmantojiet detalizētas atļaujas un piekļuves kontroles mehānismus, lai īstenotu mazāko privilēģiju principu.

8. Darbību reģistrēšana: iespējojiet visaptverošu darbību un notikumu reģistrēšanu un uzraudzību mākoņa vidē. Tveriet un analizējiet žurnālus par jebkādām neparastām vai potenciāli ļaunprātīgām darbībām. Ieviesiet stabilus žurnālu pārvaldības un drošības informācijas un notikumu pārvaldības (SIEM) risinājumus, lai nekavējoties atklātu drošības incidentus un reaģētu uz tiem.

9. Regulāri ievainojamības novērtējumi: regulāri veiciet ievainojamības novērtējumus un iespiešanās testus, lai identificētu drošības nepilnības jūsu mākoņa vidē. Nekavējoties izlabojiet un novērsiet visas identificētās ievainojamības. Sekojiet līdzi mākoņa pakalpojumu sniedzēja izdotajiem drošības atjauninājumiem un ielāpiem un nodrošiniet to tūlītēju lietošanu, lai aizsargātu pret zināmiem draudiem.

10. Izglītība un apmācība: Veicināt drošības izpratnes kultūru un regulāri apmācīt darbiniekus par mazāko privilēģiju principa nozīmi. Izglītojiet viņus par iespējamiem riskiem, kas saistīti ar pārmērīgām privilēģijām, un paraugpraksi, kas jāievēro, piekļūstot resursiem un pārvaldot tos mākoņa vidē.

11. ielāpi un atjauninājumi: samaziniet ievainojamības, regulāri atjauninot visu servera programmatūru. Atjauniniet savu mākoņa infrastruktūru un saistītās lietojumprogrammas, lai aizsargātu pret zināmajām ievainojamībām. Mākoņu pakalpojumu sniedzēji bieži izlaiž drošības ielāpus un atjauninājumus, tāpēc ir ļoti svarīgi sekot līdzi viņu ieteikumiem.

Uzticēties

Tas ir saistīts ar uzticēšanos — uzticības nodrošināšana tikai jūsu organizācijas darbiniekiem, lai veiktu uzdevumus, kas viņiem jāveic, lai paveiktu savu darbu. Drošības speciālisti iesaka Nulle uzticība. Zero Trust drošības modeļa pamatā ir trīs galvenie principi:

• Pārbaudīt skaidri — izmantojiet visus pieejamos datu punktus, lai apstiprinātu lietotāja identitāti un piekļuvi.
• Izmantojiet vismazāko privilēģiju piekļuvi — tieši laikā un pietiekami daudz drošības.
• Pieņemiet pārkāpumu — šifrējiet visu, izmantojiet proaktīvu analīzi un reaģējiet uz ārkārtas situācijām.

Kā mākoņa un mākoņpakalpojumu patērētājam tas ir atkarīgs arī no uzticēšanās. Jums ir jāuzdod sev jautājums: "Vai es uzticos savam pārdevējam, ka tas glabā manus vērtīgos datus mākonī?" Uzticēšanās šajā gadījumā nozīmē, ka jūs paļaujaties uz šo vai līdzīgu uzņēmumu, lai pārvaldītu drošību, kā mēs aprakstījām iepriekš. Alternatīvi, ja atbildat noliedzoši, vai esat gatavs veikt tāda paša veida drošības pārvaldības darbības savā mājas vidē. Vai tu uzticies sev?

Kā uzņēmums, kas sniedz pakalpojumus mākonī, klienti ir uzticējušies jums, lai aizsargātu savus datus jūsu mākoņa infrastruktūrā. Tas ir nepārtraukts process. Esiet informēts par jauniem draudiem, attiecīgi pielāgojiet savus drošības pasākumus un sadarbojieties ar pieredzējušiem profesionāļiem vai drošības konsultantiem, lai nodrošinātu vislielāko jūsu uzņēmuma aizsardzību nepārtraukti mainīgajā mākoņu vidē.

1. https://www.bleepingcomputer.com/news/security/lastpass-hackers-stole-customer-vault-data-in-cloud-storage-breach/ ↑