Бид үүлэн доторх аюулгүй байдлын тухай ярьж байна
Хэт өртөлт
Ингэж хэлье, чи юуг ил гаргахаас санаа зовж байна вэ? Таны хамгийн үнэ цэнэтэй хөрөнгө юу вэ? Таны нийгмийн даатгалын дугаар? Таны банкны дансны мэдээлэл? Хувийн бичиг баримт уу, гэрэл зураг уу? Таны крипто үрийн хэллэг? Хэрэв та компанийг удирдаж байгаа эсвэл мэдээллийн аюулгүй байдлыг хариуцдаг бол ижил төрлийн мэдээлэл алдагдахаас санаа зовж магадгүй.roadмасштаб. Танд үйлчлүүлэгчдийнхээ мэдээллийн хамгаалалтыг даатгасан.
Хэрэглэгчийн хувьд бид мэдээллийнхээ аюулгүй байдлыг энгийн зүйл гэж үздэг. Өгөгдөл нь үүлэн дотор хадгалагдаж байгаа өнөө үед улам бүр нэмэгдсээр байна. Хэд хэдэн борлуулагчид үйлчлүүлэгчдэд өөрсдийн компьютерээсээ үүлэн рүү өгөгдөл нөөцлөх боломжийг олгодог үйлчилгээг санал болгодог. Үүнийг тэнгэрт байгаа виртуал хатуу диск гэж төсөөлөөд үз дээ. Энэ нь таны өгөгдлийг хамгаалах аюулгүй бөгөөд тохиромжтой арга гэж сурталчилж байна. Тохиромжтой, тийм ээ. Та санамсаргүйгээр устгасан файлаа сэргээх боломжтой. Та өгөгдөл нь гэмтсэн хатуу дискийг бүхэлд нь сэргээх боломжтой.
Гэхдээ энэ нь аюулгүй юу? Та цоож, түлхүүрээр хангагдсан. Түлхүүр нь ихэвчлэн хэрэглэгчийн нэр, нууц үг юм. Энэ нь шифрлэгдсэн бөгөөд зөвхөн танд мэдэгддэг. Тиймээс аюулгүй байдлын мэргэжилтнүүд нууц үгээ найдвартай байлгахыг зөвлөж байна. Хэрэв хэн нэгэн таны нууц үгэнд нэвтэрсэн бол таны виртуал байшингийн виртуал түлхүүр тэдэнд байна.
Та энэ бүхнийг мэднэ. Таны нөөц үүлэн үйлчилгээний нууц үг нь 16 тэмдэгтийн урттай, том жижиг үсэг, тоо, хэд хэдэн тусгай тэмдэгтээс бүрдэнэ. Та үүнийг зургаан сар тутамд өөрчилдөг, учир нь энэ нь хакерын ажлыг улам хүндрүүлдэг. Энэ нь таны бусад нууц үгээс ялгаатай - та олон сайтад ижил нууц үгийг ашигладаггүй. Юу буруу болж болох вэ?
Зарим компаниуд "Personal Cloud" гэж нэрлэсэн зүйлээ санал болгодог. Баруун Digital нь үүлэн доторх өөрийн хувийн орон зайд мэдээллээ нөөцлөх хялбар аргыг санал болгодог компаниудын нэг юм. Энэ нь интернетээр ашиглах боломжтой сүлжээний санах ой юм. Энэ нь таны Wi-Fi чиглүүлэгч рүү залгагддаг тул та сүлжээндээ хаанаас ч хандах боломжтой. Тохиромжтой, энэ нь интернетэд холбогдсон тул та интернетийн хаанаас ч хувийн мэдээлэлдээ хандах боломжтой. Тохиромжтой байхад эрсдэл ирдэг.
Буцах байр суурь
Энэ оны эхээр хакерууд Вестерн рүү нэвтэрсэн Digital-ийн системүүд болон ойролцоогоор 10 Tb өгөгдлийг татаж авах боломжтой болсон. Дараа нь хар шуудан илгээгчид өгөгдлийг золиос болгон хадгалж, өгөгдлийг аюулгүй буцааж өгөхийн тулд 10,000,000 ам.долларын хойд талд хэлэлцээр хийхийг оролдсон. Өгөгдөл нь газрын тос шиг. Эсвэл алт бол илүү сайн зүйрлэл юм. Хакеруудын нэг нь нэрээ нууцлахыг хүссэн юм. Ха! TechCrunch түүнийг энэ бизнесийн гэрээ хийж байх үед нь ярилцлага авсан. Сонирхолтой нь нууцлагдсан өгөгдөлд барууны мэдээлэл орсон байна Digitalкод гарын үсэг зурах гэрчилгээ. Энэ нь нүдний торлог бүрхэвчийг сканнердахтай адил технологийн үзүүлэлт юм. Энэхүү гэрчилгээ нь эзэмшигч эсвэл эзэмшигчийг эерэгээр тодорхойлох зорилготой юм. Энэхүү виртуал торлог бүрхэвчийг скан хийснээр "хамгаалагдсан" өгөгдөлд нэвтрэхэд нууц үг шаардлагагүй болно. Өөрөөр хэлбэл, энэ хар малгайт бизнесмен энэхүү гэрчилгээгээр яг л үүдний хаалгаар алхаж болно digital ордон.
Баруун Digital Тэд WD-ийн сүлжээнд байгаа гэсэн хакерын мэдэгдлийн хариуд тайлбар хийхээс татгалзав. Нэрээ нууцалсан хакер Барууны төлөөлөгчдөд сэтгэл дундуур байгаагаа илэрхийлжээ Digital түүний дуудлагад хариу өгөхгүй байсан. Албан ёсоор, a хэвлэлийн мэдээ, Баруун Digital "Өнөөдрийн мөрдөн байцаалтын үр дүнд компани нь зөвшөөрөлгүй этгээд өөрийн системээс тодорхой мэдээлэл авсан гэж үзэж байгаа бөгөөд эдгээр мэдээллийн мөн чанар, хамрах хүрээг ойлгохоор ажиллаж байна" гэж мэдэгдэв. Тэгэхээр, Баруун Digital энэ бол ээж, гэхдээ хакер шуугиж байна. Үүнийг хэрхэн хийсэн тухайд хакер нь мэдэгдэж буй сул талуудыг хэрхэн ашиглаж, дэлхийн администраторын хувьд үүлэн дэх өгөгдөлд хандах боломжтой болсон талаар тайлбарлав.
Глобал администратор нь үүргийн мөн чанараараа бүх зүйлд хандах боломжтой. Түүнд таны нууц үг хэрэггүй. Түүнд мастер түлхүүр бий.
Баруун Digital Ганцаараа биш
A судалгаа Өнгөрсөн жил судалгаанд хамрагдсан компаниудын 83% нь ийм байна нэгээс илүү өгөгдлийн зөрчил, үүний 45% нь үүлд суурилсан. The дундаж АНУ-д гарсан мэдээллийн зөрчлийн зардал 9.44 сая доллар болжээ. Зардлыг зардлын дөрвөн ангилалд хуваасан - алдагдсан бизнес, илрүүлэх, нэмэгдүүлэх, мэдэгдэл, зөрчлийн дараах хариу арга хэмжээ. (Өгөгдлийн золиос ямар ангилалд багтаж байгааг би сайн мэдэхгүй байна. Судалгаанд оролцогчдын хэн нь ч төлбөр төлсөн эсэх нь тодорхойгүй байна.) Байгууллага мэдээллийн зөрчлийг илрүүлж, хариу өгөхөд дунджаар 9 сар зарцуулдаг. Баруунаас хэдэн сарын дараа болсон нь гайхмаар зүйл биш юм Digital эхлээд мэдээллийн зөрчлийг хүлээн зөвшөөрсөн ч одоог хүртэл шалгаж байна.
Яг хэчнээн компани мэдээлэл зөрчсөн болохыг хэлэхэд хэцүү. Би ransomware халдлагад өртсөн нэгэн томоохон хувийн компанийг мэднэ. Эзэд нь хэлэлцээр хийхээс татгалзаж, мөнгөө төлөөгүй. Энэ нь оронд нь имэйл болон өгөгдлийн файлуудыг алдсан гэсэн үг юм. Тэд халдвар аваагүй нөөцлөлтөөс эхлээд бүх зүйлийг дахин бүтээх, програм хангамжийг дахин суулгахаар сонгосон. Их хэмжээний сул зогсолт, бүтээмж алдагдсан. Энэ үйл явдал хэзээ ч хэвлэл мэдээллийн хэрэгслээр гараагүй. Тэр компани азтай байсан учраас 66% Ransomware халдлагад өртсөн жижиг, дунд хэмжээний компаниуд 6 сарын дотор үйл ажиллагаагаа зогсооно.
- 30,000 вэбсайт байдаг Хакердсан өдөр тутмын
- 4 сая файл байна хулгайлсан өдөр бүр
- 22 тэрбум бичлэг байсан зөрчсөн 2021 нь
Хэрэв та хэзээ нэгэн цагт Capital One, Marriott, Equifax, Target эсвэл Uber-тэй бизнес хийж, үйлчилгээг ашиглаж байсан бол таны нууц үг алдагдсан байх магадлалтай. Эдгээр томоохон компани тус бүр мэдээллийн томоохон зөрчилд өртсөн.
- Capital One: Хакер компаний үүлэн дэд бүтцийн эмзэг байдлыг ашиглан 100 сая үйлчлүүлэгч болон өргөдөл гаргагчид руу нэвтэрч чадсан.
- Марриотт: Мэдээллийн зөрчлийн улмаас 500 сая үйлчлүүлэгчийн мэдээлэл илэрсэн (энэ зөрчил 4 жилийн турш илрээгүй).
- Equifax: 147 сая үйлчлүүлэгчийн үүлэн доторх хувийн мэдээллийг ил болгосон.
- Зорилтот: Кибер гэмт хэрэгтнүүд 40 сая зээлийн картын дугаарт хандсан.
- Uber: Хакерууд хөгжүүлэгчийн зөөврийн компьютерийг эвдэж, 57 сая хэрэглэгч, 600,000 драйвер руу нэвтэрч чадсан.
- LastPass[1]: Хакерууд энэ нууц үг менежерийн компанийн үүлэн хадгалах сангийн 33 сая хэрэглэгчийн мэдээллийг хулгайлсан байна. Халдагчид Lastpass-ын үүлэн сан руу хөгжүүлэгчийн орчноос нь хулгайлагдсан "үүлэн санах ойд нэвтрэх түлхүүр болон давхар хадгалах савны код тайлах түлхүүр"-ийг ашиглан нэвтэрсэн байна.
Та энэ вэб сайтаас мэдээлэл зөрчсөн эсэхээ шалгах боломжтой: би зодсон уу? Имэйл хаягаа оруулна уу, энэ нь таны цахим шуудангийн хаяг хэр их мэдээлэл зөрчсөн болохыг харуулах болно. Жишээлбэл, би өөрийн хувийн имэйл хаягуудынхаа нэгийг оруулаад энэ нь Evite зэрэг 25 өөр мэдээллийн зөрчлийн нэг хэсэг байсныг олж мэдсэн. , Dropbox, Adobe, LinkedIn болон Twitter.
Хүсээгүй хүсэгчдийг таслан зогсоох
Өрнөдийн зүгээс олон нийт хэзээ ч хүлээн зөвшөөрөхгүй байж магадгүй Digital яг юу болсон талаар. Энэ үйл явдал нь хоёр зүйлийг харуулж байна: үүлэн доторх өгөгдөл нь зөвхөн хадгалагчтай адил аюулгүй бөгөөд түлхүүрийг хадгалагч нар онцгой болгоомжтой байх хэрэгтэй. Питер Паркерын зарчмыг тайлбарлах юм бол язгуур хандалт нь асар их үүрэг хариуцлага юм.
Илүү нарийвчлалтай хэлэхэд root хэрэглэгч болон глобал администратор нь яг адилхан биш юм. Аль аль нь их эрх мэдэлтэй боловч тусдаа данс байх ёстой. Үндсэн хэрэглэгч нь хамгийн доод түвшинд корпорацийн үүлэн данс эзэмшиж, нэвтрэх эрхтэй. Иймээс энэ бүртгэл нь бүх өгөгдөл, VM-ууд, хэрэглэгчийн мэдээлэл, бизнесийн үүлэн дотор хамгаалагдсан бүх зүйлийг устгах боломжтой. AWS-д зөвхөн байдаг 10 ажлуудAWS бүртгэлээ тохируулах, хаах зэрэг нь root хандалт шаарддаг.
Захиргааны даалгавруудыг гүйцэтгэхийн тулд администраторын данс үүсгэх ёстой (duh). Нэг root бүртгэлээс ялгаатай нь ихэвчлэн хүн дээр суурилсан олон Администраторын бүртгэл байдаг. Администраторын бүртгэл нь хувь хүнтэй холбоотой байдаг тул та хүрээлэн буй орчинд хэн ямар өөрчлөлт хийснийг хялбархан хянах боломжтой.
Хамгийн их аюулгүй байдлын хамгийн бага давуу эрх
Мэдээллийн зөрчлийн судалгаа нь мэдээллийн зөрчлийн ноцтой байдалд 28 хүчин зүйлийн нөлөөллийг судалсан. AI аюулгүй байдлын хэрэглээ, DevSecOps арга барил, ажилчдын сургалт, таних болон хандалтын удирдлага, ГХЯ, аюулгүй байдлын аналитик зэрэг нь ослын улмаас алдагдсан дундаж долларын хэмжээг бууруулахад эерэг нөлөө үзүүлсэн. Харин дагаж мөрдөх алдаа, аюулгүй байдлын системийн нарийн төвөгтэй байдал, аюулгүй байдлын ур чадварын хомсдол, үүлний шилжилт зэрэг нь мэдээллийн зөрчлийн дундаж зардлыг нэмэгдүүлэхэд нөлөөлсөн хүчин зүйлүүд байсан. 
Та үүлэн рүү шилжихдээ мэдээллээ хамгаалахдаа урьд өмнөхөөсөө илүү сонор сэрэмжтэй байх хэрэгтэй. Эндээс эрсдэлээ бууруулж, аюулгүй орчинг бий болгох нэмэлт аргуудыг энд оруулав аюулгүй байдал байр суурь:
1. Олон хүчин зүйлийн баталгаажуулалт: root болон бүх администраторын бүртгэлд MFA-г хэрэгжүүлэх. Бүр илүү сайн, физик техник хангамжийн MFA төхөөрөмжийг ашигла. Боломжит хакер нь зөвхөн дансны нэр, нууц үг төдийгүй синхрончлогдсон код үүсгэдэг физик MFA хэрэгтэй болно.
2. Бага тоогоор хүч: Үндэс рүү хандах хандалтыг хязгаарлах. Зарим аюулгүй байдлын мэргэжилтнүүд 3-аас илүүгүй хэрэглэгчийг санал болгодог. Root хэрэглэгчийн хандалтыг шаргуу удирдах. Хэрэв та өөр хаана ч байхгүй хувийн мэдээллийг удирдаж, гадуур ажиллах бол энд хийгээрэй. Хэрэв итгэлцлийн хүрээллийн нэг нь байгууллагаас гарвал үндсэн нууц үгээ солино уу. MFA төхөөрөмжийг сэргээнэ үү.
3. Бүртгэлийн үндсэн эрхүүд: Хэрэглэгчийн шинэ бүртгэл эсвэл үүрэг өгөхдөө анхдагчаар тэдэнд хамгийн бага эрх олгосон эсэхийг шалгаарай. Хамгийн бага хандалтын бодлогоор эхэлж, шаардлагатай бол нэмэлт зөвшөөрөл олгоно. Даалгаврыг биелүүлэхийн тулд хамгийн бага аюулгүй байдлыг хангах зарчим нь SOC2 аюулгүй байдлын нийцлийн стандартыг давах загвар юм. Энэхүү үзэл баримтлал нь аливаа хэрэглэгч эсвэл програм нь шаардлагатай функцийг гүйцэтгэхэд шаардагдах хамгийн бага хамгаалалттай байх ёстой. Эрх алдагдах тусам эрсдэл өндөр байна. Харин эсрэгээр, илэрсэн давуу эрх бага байх тусам эрсдэл багасна.
4. Аудитын давуу эрх: Өөрийн үүлэн орчин дахь хэрэглэгчид, үүрэг, бүртгэлд олгосон эрхүүдийг тогтмол шалгаж, хянана. Энэ нь хувь хүмүүс зөвхөн өөрсдийн тогтоосон даалгавраа гүйцэтгэхэд шаардлагатай зөвшөөрөлтэй байхыг баталгаажуулдаг.
5. Identity Management болон Just-in-time давуу эрх: Зөвшөөрөлгүй нэвтрэх эрсдлийг багасгахын тулд хэт их буюу ашиглагдаагүй давуу эрхийг олж, хүчингүй болгох. Хэрэглэгчид тодорхой даалгавар эсвэл хязгаарлагдмал хугацаанд шаардлагатай үед л нэвтрэх эрхийг олгоно. Энэ нь халдлагын гадаргууг багасгаж, аюулгүй байдлын аюул заналхийллийн боломжийн цонхыг багасгадаг. 
6. Оруулсан итгэмжлэлүүд: Скрипт, ажил эсвэл бусад кодонд шифрлэгдээгүй баталгаажуулалтыг (хэрэглэгчийн нэр, нууц үг, нэвтрэх түлхүүр) хатуу кодлохыг хориглоно. Үүний оронд a нууц менежер программчлалын дагуу итгэмжлэлийг сэргээхэд ашиглаж болно.
7. Дэд бүтцийн код (IaC) тохиргоо: AWS CloudFormation эсвэл Terraform зэрэг IaC хэрэгслийг ашиглан үүлэн дэд бүтцээ тохируулахдаа аюулгүй байдлын шилдэг туршлагыг дагаж мөрдөөрэй. Анхдагч байдлаар олон нийтэд хандах эрх олгохоос зайлсхийж, зөвхөн итгэмжлэгдсэн сүлжээ, хэрэглэгчид эсвэл IP хаягаар нөөцөд хандах хандалтыг хязгаарлаарай. Хамгийн бага давуу эрхийн зарчмыг хэрэгжүүлэхийн тулд нарийн ширхэгтэй зөвшөөрөл, хандалтын хяналтын механизмыг ашиглах.
8. Үйлдлийн бүртгэл: Өөрийн үүлэн орчин дахь үйлдлүүд болон үйл явдлуудын иж бүрэн бүртгэл, хяналтыг идэвхжүүлнэ. Аливаа ер бусын эсвэл болзошгүй хортой үйл ажиллагааны бүртгэлийг авч, дүн шинжилгээ хийх. Аюулгүй байдлын зөрчлийг цаг алдалгүй илрүүлж, хариу арга хэмжээ авахын тулд найдвартай бүртгэлийн менежмент, аюулгүй байдлын мэдээлэл, үйл явдлын менежмент (SIEM) шийдлүүдийг хэрэгжүүлээрэй.
9. Эмзэг байдлын тогтмол үнэлгээ: Өөрийн үүлэн орчны аюулгүй байдлын сул талыг тодорхойлохын тулд эмзэг байдлын үнэлгээ, нэвтрэлтийн тестийг тогтмол хийж гүйцэтгээрэй. Илэрсэн сул талыг яаралтай засварлаж, засч залруулах. Клоуд үйлчилгээ үзүүлэгчээс гаргасан аюулгүй байдлын шинэчлэлтүүд болон засваруудыг хянаж, мэдэгдэж буй аюулаас хамгаалахын тулд тэдгээрийг шуурхай хэрэгжүүлж байгаа эсэхийг шалгаарай.
10. Боловсрол ба сургалт: Аюулгүй байдлын соёлыг сурталчлах, ажилчдад хамгийн бага давуу эрх олгох зарчмын ач холбогдлын талаар тогтмол сургалт явуулах. Тэдэнд хэт их эрх олголттой холбоотой болзошгүй эрсдэлүүд болон үүлэн орчны нөөцөд хандах, удирдах үед баримтлах шилдэг туршлагын талаар сурга.
11. Засварууд болон шинэчлэлтүүд: Бүх серверийн программ хангамжийг тогтмол шинэчилж байх замаар эмзэг байдлыг бууруулна. Мэдэгдэж буй эмзэг байдлаас хамгаалахын тулд үүлэн дэд бүтэц болон холбогдох програмуудаа шинэчлээрэй. Үүлэн үйлчилгээ үзүүлэгчид ихэвчлэн хамгаалалтын засварууд болон шинэчлэлтүүдийг гаргадаг тул тэдний зөвлөмжийг дагаж мөрдөх нь маш чухал юм.
Итгэлцлийн
Энэ нь итгэлцэл дээр тулгуурладаг бөгөөд энэ нь зөвхөн танай байгууллагад байгаа хүмүүст л ажлаа амжуулахын тулд хийх ёстой даалгавраа биелүүлэх итгэлийг өгөх явдал юм. Аюулгүй байдлын мэргэжилтнүүд зөвлөж байна Тэг итгэлцэл. Zero Trust аюулгүй байдлын загвар нь гурван үндсэн зарчим дээр суурилдаг.
- Тодорхой баталгаажуулах – хэрэглэгчийн таних болон хандалтыг баталгаажуулахын тулд боломжтой бүх өгөгдлийн цэгийг ашиглана уу.
- Хамгийн бага эрх бүхий хандалтыг ашигла - яг цагтаа, хангалттай аюулгүй байдал.
- Зөрчсөн гэж бодъё – бүгдийг шифрлэж, идэвхтэй аналитик ашиглаж, яаралтай тусламжийн хариу арга хэмжээ аваарай.
Үүл болон үүлэн үйлчилгээний хэрэглэгчийн хувьд энэ нь бас итгэл найдвар төрүүлдэг. Та өөрөөсөө "Би үнэ цэнэтэй мэдээллээ үүлэн дотор хадгална гэдэгт би худалдагчдаа итгэдэг үү?" гэж асуух хэрэгтэй. Энэ тохиолдолд итгэл гэдэг нь дээр дурдсанчлан аюулгүй байдлыг удирдахын тулд тухайн компани эсвэл үүнтэй ижил төстэй компанид найдаж байна гэсэн үг юм. Өөрөөр хэлбэл, хэрэв та сөрөг гэж хариулбал гэрийн нөхцөлд аюулгүй байдлын удирдлагын ижил төрлийн үйл ажиллагаа явуулахад бэлэн үү. Та өөртөө итгэдэг үү?
Үүлэн дээр үйлчилгээ үзүүлдэг компанийн хувьд үйлчлүүлэгчид таны үүлэн дэд бүтцэд байгаа мэдээллээ хамгаалахын тулд танд итгэл хүлээлгэсэн. Энэ бол үргэлжилж буй үйл явц юм. Шинээр гарч ирж буй аюул заналхийллийн талаар мэдээлэлтэй байж, аюулгүй байдлын арга хэмжээгээ тохируулж, байнгын хувьсан өөрчлөгдөж буй үүлэн орчинд бизнесээ дээд зэргээр хамгаалахын тулд туршлагатай мэргэжилтнүүд эсвэл аюулгүй байдлын зөвлөхүүдтэй хамтран ажилла.
- https://www.bleepingcomputer.com/news/security/lastpass-hackers-stole-customer-vault-data-in-cloud-storage-breach/ ↑
