Зборуваме за безбедност во облакот

Прекумерна експозиција

Да го ставиме вака, што се грижите за изложување? Кои се вашите највредни средства? Вашиот број за социјално осигурување? Информации за вашата банкарска сметка? Приватни документи или фотографии? Твојата фраза за крипто семе? Ако управувате со компанија или сте одговорни за чување на податоците, може да се грижите дека истите видови на информации се компромитирани, но на abroader скала. Вашите клиенти ви ја довериле заштитата на нивните податоци.

Како потрошувачи, ја земаме безбедноста на нашите податоци здраво за готово. Сè почесто овие денови тие податоци се складираат во облакот. Голем број продавачи нудат услуги кои им овозможуваат на клиентите да направат резервна копија на податоците од нивните локални компјутери на облакот. Размислете за тоа како виртуелен хард диск на небото. Ова се рекламира како безбеден и удобен начин за заштита на вашите податоци. Погодно, да. Можете да вратите датотека што случајно сте ја избришале. Можете да вратите цел хард диск чии податоци се оштетени.

Но, дали е безбедно? Добиени сте брава и клуч. Клучот е, обично, корисничко име и лозинка. Таа е шифрирана и позната само за вас. Затоа експертите за безбедност препорачуваат да ја чувате вашата лозинка безбедна. Ако некој добие пристап до вашата лозинка, тој го има виртуелниот клуч на вашата виртуелна куќа.

Вие го знаете сето ова. Вашата лозинка за резервната облак услуга е долга 16 знаци, содржи големи и мали букви, бројки и неколку специјални знаци. Го менувате на секои шест месеци бидејќи знаете дека тоа го отежнува хакерот. Таа се разликува од другите ваши лозинки - не ја користите истата лозинка за повеќе локации. Што може да тргне наопаку?

Некои компании го нудат она што го означија како „Личен облак“. Западен Digital е една од оние компании кои обезбедуваат лесен начин за резервна копија на вашите податоци во вашиот личен простор во облак. Тоа е мрежно складирање достапно преку интернет. Се приклучува на вашиот Wi-Fi рутер за да можете да му пристапите од каде било во вашата мрежа. Погодно, бидејќи е исто така поврзан на интернет, можете да пристапите до вашите лични податоци од каде било на интернет. Со удобноста доаѓа и ризикот.

Компромитирачка позиција

Претходно оваа година, хакери упаднаа во Western Digital's системи и беа во можност да преземат приближно 10 Tb податоци. Црните испраќачи потоа ги чуваа податоците за откуп и се обидоа да преговараат за договор северно од 10,000,000 американски долари за безбедно враќање на податоците. Податоците се како нафта. Или можеби златото е подобра аналогија. Еден од хакерите зборуваше под услов да остане анонимен. Ха! TechCrunch го интервјуирал додека бил во процес на оваа деловна зделка. Она што е интересно е дека податоците што беа компромитирани го вклучуваат Western Digitalсертификат за потпишување на кодот. Ова е технолошки еквивалент на скенирање на мрежницата. Сертификатот е наменет за позитивно идентификување на сопственикот или носителот. Со ова виртуелно скенирање на мрежницата, не е потребна лозинка за пристап до „обезбедени“ податоци. Со други зборови, со овој сертификат, овој бизнисмен со црна капа може да оди право на влезната врата на digital палата.

Западен Digital одби да коментира како одговор на тврдењата на хакерот дека тие сè уште се во мрежата на WD. Неименуваниот хакер изрази разочарување што претставниците на Western Digital не одговараше на неговите повици. Официјално, во А печатот, Западен Digital објави дека, „Врз основа на досегашната истрага, компанијата верува дека неовластената страна добила одредени податоци од нејзините системи и работи на разбирање на природата и обемот на тие податоци“. Значи, западно Digital е мама, но хакерот џагор. Што се однесува до тоа како го направиле тоа, хакерот опишува како ги искористиле познатите пропусти и како глобален администратор успеале да добијат пристап до податоците во облакот.

Глобален администратор, по природа на улогата, има пристап до сè. Нему не му треба вашата лозинка. Го има главниот клуч.

Западен Digital не е сам

A анкета минатата година покажа дека 83% од анкетираните компании имале повеќе од еден прекршување на податоците, од кои 45% беа базирани на облак. На просечната трошоците за прекршување на податоците во Соединетите Држави беа 9.44 милиони американски долари. Трошоците беа поделени во четири категории на трошоци - изгубен бизнис, откривање и ескалација, известување и одговор по прекршување. (Не сум сигурен во која категорија е откупот на податоците. Не е јасно дали некој од испитаниците платил барања за откуп.) Просечното време што и е потребно на организацијата да идентификува и да одговори на прекршување на податоците е околу 9 месеци. Затоа, не е изненадување што неколку месеци по Вестерн Digital прво признаа прекршување на податоците, тие сè уште истражуваат.

Тешко е да се каже точно колку компании имале прекршување на податоците. Познавам една голема приватна компанија која беше нападната од откуп. Сопствениците одбиле да преговараат и не платиле. Тоа значеше, наместо тоа, изгубени е-пошта и датотеки со податоци. Тие избраа да обноват сè, од неинфицирани резервни копии и повторно да инсталираат софтвер. Имаше значително застој и изгубена продуктивност. Овој настан никогаш не беше во медиумите. Таа компанија имаше среќа затоа што 66% малите и средни компании кои се нападнати од откупнина завршуваат без бизнис во рок од 6 месеци.

• 30,000 веб-страници се пробиени секојдневно
• 4 милиони датотеки се украдени секој ден
• Беа 22 милијарди записи прекршени во 2021

Ако некогаш сте работеле или сте ги користеле услугите на Capital One, Marriott, Equifax, Target или Uber, можно е вашата лозинка да е компромитирана. Секоја од овие големи компании претрпе значителна повреда на податоците.

• Capital One: Хакер доби пристап до 100 милиони клиенти и апликанти преку искористување на ранливоста во инфраструктурата на облакот на компанијата.
• Мериот: Прекршувањето на податоците откри информации за 500 милиони клиенти (ова прекршување беше неоткриено 4 години).
• Equifax: Лични информации во облакот на 147 милиони клиенти беа изложени.
• Цел: Сајбер-криминалците пристапиле до 40 милиони броеви на кредитни картички.
• Uber: Хакери го компромитираа лаптопот на програмер и добија пристап до 57 милиони корисници и 600,000 возачи.
• LastPass^[1]: Хакери украдоа 33 милиони податоци од сефот на клиентите при прекршување на складиштето во облак за оваа компанија за управување со лозинки. Напаѓачот доби пристап до складиштето во облак на Lastpass користејќи „клуч за пристап во складиштето во облак и клучеви за дешифрирање на контејнер со двојни складишта“ украдени од неговата програмерска околина.

Може да проверите дали сте биле изложени во прекршување на податоците на оваа веб-локација: дали сум добиен? Внесете ја вашата е-адреса и таа ќе ви покаже во колку прекршувања на податоците е пронајдена адресата на е-пошта. На пример, внесов една од моите лични адреси на е-пошта и открив дека таа била дел од 25 различни прекршувања на податоци, вклучувајќи го и Evite , Dropbox, Adobe, LinkedIn и Twitter.

Спречување на несаканите додворувачи

Можеби никогаш нема да има јавно признание од Вестерн Digital за тоа што точно се случило. Инцидентот илустрира две работи: податоците во облакот се безбедни само како и нивните чувари и чуварите на клучевите треба да бидат особено внимателни. Да го парафразираме принципот на Питер Паркер, со root пристапот доаѓа голема одговорност.

Да бидам попрецизен, root корисник и глобален администратор не се сосема исти. И двете имаат голема моќ, но треба да бидат посебни сметки. Корисникот на root поседува и има пристап до корпоративната сметка на облак на најниско ниво. Како таква, оваа сметка може да ги избрише сите податоци, VM, информации за клиентите - сè што бизнисот има обезбедено во облакот. Во AWS, постојат само Задачи 10, вклучително и поставување и затворање на вашата AWS сметка, која навистина бара root пристап.

Треба да се креираат администраторски сметки за извршување на административни задачи (duh). Обично има повеќе администраторски сметки кои обично се засноваат на личности, за разлика од единствената root сметка. Бидејќи администраторските сметки се врзани за поединец, можете лесно да следите кој какви промени направил во околината.

Најмалата привилегија за максимална безбедност

Истражувањето за прекршување на податоците го проучуваше влијанието на 28 фактори врз сериозноста на прекршувањето на податоците. Употребата на безбедноста на вештачката интелигенција, пристапот DevSecOps, обуката на вработените, управувањето со идентитетот и пристапот, МНР, безбедносните аналитики, сите имаа позитивно влијание во намалувањето на просечниот износ на долар изгубен во инцидент. Додека, неуспесите во усогласеноста, сложеноста на безбедносниот систем, недостигот на безбедносни вештини и миграцијата на облак беа фактори кои придонесоа за поголем нето зголемување на просечната цена на прекршување на податоците.

Како што мигрирате во облакот, треба да бидете повнимателни од кога било во заштитата на вашите податоци. Еве неколку дополнителни начини да го намалите ризикот и да водите побезбедна средина од a безбедност гледна точка:

1. Автентикација со повеќе фактори: наметнете го MFA за root и сите администраторски сметки. Уште подобро, користете физички хардверски уред MFA. На потенцијалниот хакер не му треба само името и лозинката на сметката, туку и физичкото МНР кое генерира синхронизиран код.

2. Моќ во мал број: Ограничете кој има пристап до коренот. Некои безбедносни експерти предлагаат не повеќе од 3 корисници. Управувајте со пристапот на root корисникот внимателно. Ако го извршувате управувањето со идентитетот и не влегувате во авион никаде на друго место, направете го тоа овде. Ако некој од кругот на доверба ја напушти организацијата, сменете ја лозинката за root. Вратете го MFA уредот.

3. Стандардни привилегии на сметката: Кога обезбедувате нови кориснички сметки или улоги, проверете дали стандардно им се доделуваат минимални привилегии. Започнете со минимална политика за пристап и потоа доделете дополнителни дозволи по потреба. Принципот на обезбедување на најмала безбедност за извршување на задачата е модел кој ќе ги помине стандардите за усогласеност со безбедноста на SOC2. Концептот е дека секој корисник или апликација треба да има минимална безбедност потребна за извршување на потребната функција. Колку е поголема привилегијата што е загрозена, толку е поголем ризикот. Спротивно на тоа, колку е помала изложената привилегија, толку е помал ризикот.

4. Привилегии за ревизија: Редовно ревидирајте и прегледувајте ги привилегиите доделени на корисниците, улогите и сметките во вашата облак околина. Ова осигурува дека поединците ја имаат само потребната дозвола за извршување на нивните назначени задачи.

5. Управување со идентитетот и привилегии навреме: Идентификувајте и отповикајте ги прекумерните или неискористените привилегии за да го минимизирате ризикот од неовластен пристап. Обезбедете им права на пристап на корисниците само кога тие ги бараат за одредена задача или ограничен период. Ова ја минимизира површината на нападот и го намалува прозорецот на можности за потенцијални безбедносни закани.

6. Вградени ингеренции: Забранете го хардкодирањето на нешифрирана автентикација (корисничко име, лозинка, клучеви за пристап) во скрипти, работни места или друг код. Наместо тоа, погледнете во а менаџер на тајни кои можете да ги користите за програмски да ги вратите ингеренциите.

7. Конфигурација на Infrastructure-as-Code (IaC).: Придржувајте се до најдобрите безбедносни практики кога ја конфигурирате вашата облак инфраструктура користејќи IaC алатки како AWS CloudFormation или Terraform. Избегнувајте стандардно давање јавен пристап и ограничете го пристапот до ресурси само на доверливи мрежи, корисници или IP адреси. Користете ситно-гранулирани дозволи и механизми за контрола на пристап за да го спроведете принципот на најмала привилегија.

8. Евиденција на акции: Овозможете сеопфатно евидентирање и следење на дејствата и настаните во вашата облак околина. Снимајте и анализирајте дневници за какви било невообичаени или потенцијално злонамерни активности. Спроведување на робусно управување со дневници и решенија за безбедносни информации и управување со настани (SIEM) за брзо откривање и реагирање на безбедносни инциденти.

9. Редовни проценки на ранливост: Вршете редовни проценки на ранливоста и тестирање на пенетрација за да ги идентификувате безбедносните слабости во околината на облакот. Закрпи и санирајте ги сите идентификувани пропусти веднаш. Следете ги безбедносните ажурирања и закрпи објавени од вашиот обезбедувач на облак и погрижете се тие да се применат веднаш за да се заштитите од познати закани.

10. Образование и обука: Да се ​​промовира култура на безбедносна свест и да се обезбеди редовна обука за вработените во врска со важноста на принципот на најмала привилегија. Едуцирајте ги за потенцијалните ризици поврзани со прекумерните привилегии и најдобрите практики што треба да се следат при пристап и управување со ресурси во околината на облакот.

11. Закрпи и ажурирања: Намалете ги пропустите со редовно ажурирање на целиот софтвер на серверот. Одржувајте ја вашата облак инфраструктура и придружните апликации ажурирани за да се заштитите од познати пропусти. Обезбедувачите на облак често објавуваат безбедносни закрпи и ажурирања, па затоа е клучно да се остане актуелен со нивните препораки.

Верувајте

Се сведува на доверба - давајќи им доверба само на оние во вашата организација да ги остварат задачите што треба да ги направат за да ја завршат својата работа. Експертите за безбедност препорачуваат Нула доверба. Безбедносниот модел Zero Trust се заснова на три клучни принципи:

• Потврдете експлицитно – користете ги сите достапни точки за податоци за да го потврдите идентитетот и пристапот на корисникот.
• Користете пристап со најмалку привилегии - точно на време и доволно безбедност.
• Претпоставете прекршување - шифрирајте сè, користете проактивна аналитика и имајте одговор за итни случаи.

Како потрошувач на облак и облак услуги, се сведува и на доверба. Мора да се запрашате: „Дали му верувам на мојот продавач да ги складира моите скапоцени податоци во облакот? Довербата, во овој случај, значи дека се потпирате на таа компанија, или слична на неа, за управување со безбедноста како што опишавме погоре. Алтернативно, ако одговорите негативно, дали сте подготвени да ги извршувате истите видови на активности за управување со безбедноста во вашата домашна средина. Дали си веруваш?

Како компанија која обезбедува услуги во облакот, клиентите ја положија својата доверба во вас за да ги заштитите нивните податоци во вашата облак инфраструктура. Тоа е тековен процес. Останете информирани за новите закани, соодветно приспособете ги вашите безбедносни мерки и соработувајте со искусни професионалци или безбедносни консултанти за да обезбедите најголема заштита за вашиот бизнис во пределот на облак кој постојано се развива.

1. https://www.bleepingcomputer.com/news/security/lastpass-hackers-stole-customer-vault-data-in-cloud-storage-breach/ ↑