We hebben het over beveiliging in de cloud

Overbelichting

Laten we het zo zeggen: waar maak je je zorgen over als je het blootlegt? Wat zijn uw meest waardevolle bezittingen? Uw burgerservicenummer? Uw bankrekeninggegevens? Privédocumenten of foto's? Jouw crypto-zaadzin? Als u leiding geeft aan een bedrijf of verantwoordelijk bent voor de bewaring van gegevens, kunt u zich zorgen maken dat dezelfde soorten informatie in gevaar komen, maar op eenroader schaal. Uw klanten hebben u de bescherming van hun gegevens toevertrouwd.

Als consumenten beschouwen wij de veiligheid van onze gegevens als vanzelfsprekend. Tegenwoordig worden gegevens steeds vaker in de cloud opgeslagen. Een aantal leveranciers biedt diensten aan waarmee klanten een back-up van gegevens van hun lokale computers naar de cloud kunnen maken. Zie het als een virtuele harde schijf in de lucht. Dit wordt geadverteerd als een veilige en gemakkelijke manier om uw gegevens te beschermen. Handig, ja. U kunt een bestand herstellen dat u per ongeluk heeft verwijderd. U kunt een volledige harde schijf herstellen waarvan de gegevens beschadigd zijn.

Maar is het veilig? U bent voorzien van een slot en sleutel. De sleutel is doorgaans een gebruikersnaam en wachtwoord. Het is gecodeerd en alleen bij jou bekend. Daarom raden beveiligingsexperts aan om uw wachtwoord veilig te houden. Als iemand toegang krijgt tot uw wachtwoord, heeft hij of zij de virtuele sleutel tot uw virtuele huis.

Jij weet dit allemaal. Uw wachtwoord voor de back-upcloudservice is 16 tekens lang en bevat hoofdletters en kleine letters, cijfers en een paar speciale tekens. Je verandert het elk half jaar omdat je weet dat dat het moeilijker maakt voor de hacker. Het verschilt van uw andere wachtwoorden: u gebruikt niet hetzelfde wachtwoord voor meerdere sites. Wat kan er fout gaan?

Sommige bedrijven bieden wat zij een ‘persoonlijke cloud’ noemen. Westers Digital is een van die bedrijven die een eenvoudige manier bieden om een ​​back-up van uw gegevens te maken naar uw persoonlijke ruimte in een cloud. Het is netwerkopslag die beschikbaar is via internet. Hij wordt aangesloten op uw Wi-Fi-router, zodat u er overal in uw netwerk toegang toe heeft. Handig, omdat hij ook met internet is verbonden, heb je overal op internet toegang tot je persoonlijke gegevens. Met gemak komt risico.

Een compromispositie

Eerder dit jaar braken hackers in bij Western Digital's systemen en konden ongeveer 10 Tb aan gegevens downloaden. De zwarte mailers hielden vervolgens de gegevens vast voor losgeld en probeerden een deal te sluiten boven de 10,000,000 dollar voor de veilige teruggave van de gegevens. Data zijn als olie. Of misschien is goud een betere analogie. Eén van de hackers sprak op voorwaarde van anonimiteit. Ha! TechCrunch interviewde hem terwijl hij bezig was met deze zakelijke deal. Wat interessant is, is dat de gecompromitteerde gegevens ook westerse gegevens bevatten Digital's code-signing-certificaat. Dit is het technologische equivalent van een netvliesscan. Het certificaat is bedoeld om de eigenaar of drager positief te identificeren. Bij deze virtuele netvliesscan is er geen wachtwoord nodig voor toegang tot ‘beveiligde’ gegevens. Met andere woorden, met dit certificaat kan deze zakenman met zwarte hoed zo de voordeur van de winkel binnenlopen digital paleis.

Western Digital weigerde commentaar te geven in reactie op de beweringen van de hacker dat ze zich nog steeds in het netwerk van WD bevonden. De naamloze hacker uitte zijn teleurstelling over de vertegenwoordigers van Western Digital zou niet terugbellen. Officieel is in a persbericht, Westers Digital kondigde aan dat “op basis van het onderzoek tot nu toe het bedrijf van mening is dat de ongeautoriseerde partij bepaalde gegevens uit zijn systemen heeft verkregen en eraan werkt om de aard en reikwijdte van die gegevens te begrijpen.” Westers dus Digital is moeder, maar de hacker praat. Hoe ze dat deden, beschrijft de hacker hoe ze bekende kwetsbaarheden uitbuitten en als mondiale beheerder toegang konden krijgen tot gegevens in de cloud.

Een globale beheerder heeft, vanwege de aard van zijn rol, toegang tot alles. Hij heeft je wachtwoord niet nodig. Hij heeft de hoofdsleutel.

Western Digital is niet alleen

A klanttevredenheid Vorig jaar bleek dat 83% van de ondervraagde bedrijven dit had gedaan meerdere datalek, waarvan 45% cloudgebaseerd was. De gemiddelde De kosten van een datalek in de Verenigde Staten bedroegen 9.44 miljoen dollar. De kosten werden onderverdeeld in vier kostencategorieën: verloren zaken, detectie en escalatie, melding en reactie na inbreuk. (Ik weet niet zeker in welke categorie het losgeld voor gegevens valt. Het is niet duidelijk of een van de respondenten losgeld heeft betaald.) De gemiddelde tijd die een organisatie nodig heeft om een ​​datalek te identificeren en erop te reageren bedraagt ​​ongeveer negen maanden. Het is dan ook geen verrassing dat enkele maanden na Western Digital erkenden eerst een datalek, ze zijn nog steeds bezig met onderzoek.

Het is moeilijk te zeggen hoeveel bedrijven precies te maken hebben gehad met datalekken. Ik ken een groot particulier bedrijf dat werd aangevallen door ransomware. De eigenaren weigerden te onderhandelen en betaalden niet. Dat betekende in plaats daarvan verloren e-mails en gegevensbestanden. Ze kozen ervoor om alles opnieuw op te bouwen vanaf niet-geïnfecteerde back-ups en de software opnieuw te installeren. Er was sprake van aanzienlijke downtime en productiviteitsverlies. Deze gebeurtenis is nooit in de media geweest. Dat bedrijf had geluk omdat 66% van de kleine tot middelgrote bedrijven die worden aangevallen door ransomware, gaat binnen zes maanden failliet.

• 30,000 websites zijn dat gehackt dagelijks
• 4 miljoen bestanden zijn gestolen elke dag
• Er waren 22 miljard records geschonden in 2021

Als u ooit zaken heeft gedaan met of gebruik heeft gemaakt van de diensten van Capital One, Marriott, Equifax, Target of Uber, is het mogelijk dat uw wachtwoord is gecompromitteerd. Elk van deze grote bedrijven heeft te maken gehad met een aanzienlijk datalek.

• Capital One: Een hacker kreeg toegang tot 100 miljoen klanten en sollicitanten door misbruik te maken van een kwetsbaarheid in de cloudinfrastructuur van het bedrijf.
• Marriott: Door een datalek werd informatie over 500 miljoen klanten vrijgegeven (deze inbreuk bleef vier jaar lang onopgemerkt).
• Equifax: Persoonlijke informatie in de cloud van 147 miljoen klanten werd openbaar gemaakt.
• Doel: Cybercriminelen hebben toegang gekregen tot 40 miljoen creditcardnummers.
• Uber: Hackers hebben de laptop van een ontwikkelaar gecompromitteerd en toegang gekregen tot 57 miljoen gebruikers en 600,000 chauffeurs.
• LastPass^[1]: Hackers hebben de kluisgegevens van 33 miljoen klanten gestolen tijdens een inbreuk op de cloudopslag van dit wachtwoordbeheerderbedrijf. De aanvaller kreeg toegang tot de cloudopslag van Lastpass met behulp van een “toegangssleutel voor cloudopslag en decoderingssleutels voor dubbele opslagcontainers” die waren gestolen uit de ontwikkelaarsomgeving.

U kunt op deze website controleren of u bent blootgesteld aan een datalek: ben ik een pwned? Typ uw e-mailadres in en u ziet bij hoeveel datalekken het e-mailadres is aangetroffen. Ik typte bijvoorbeeld een van mijn persoonlijke e-mailadressen in en ontdekte dat dit onderdeel was van 25 verschillende datalekken, waaronder Evite , Dropbox, Adobe, LinkedIn en Twitter.

Het dwarsbomen van ongewenste vrijers

Er zal wellicht nooit sprake zijn van een publieke erkenning door Western Digital van wat er precies is gebeurd. Het incident illustreert twee dingen: gegevens in de cloud zijn slechts zo veilig als de beheerders ervan, en de beheerders van de sleutels moeten bijzonder voorzichtig zijn. Om het Peter Parker-principe te parafraseren: root-toegang brengt een grote verantwoordelijkheid met zich mee.

Om preciezer te zijn: een rootgebruiker en een globale beheerder zijn niet precies hetzelfde. Beide hebben veel macht, maar zouden afzonderlijke accounts moeten zijn. De rootgebruiker is eigenaar van en heeft toegang tot het bedrijfscloudaccount op het laagste niveau. Als zodanig kan dit account alle gegevens, VM’s en klantinformatie verwijderen – alles wat een bedrijf in de cloud heeft beveiligd. In AWS zijn er alleen 10 taken, inclusief het instellen en sluiten van uw AWS-account, waarvoor echt root-toegang nodig is.

Beheerderaccounts moeten worden aangemaakt om administratieve taken uit te voeren (duh). Er zijn meestal meerdere beheerdersaccounts die meestal persoonsgebonden zijn, in tegenstelling tot het enkele root-account. Omdat beheerdersaccounts aan een individu zijn gekoppeld, kunt u eenvoudig controleren wie welke wijzigingen in de omgeving heeft aangebracht.

Minste privileges voor maximale veiligheid

In het datalekonderzoek werd de impact van 28 factoren op de ernst van een datalek onderzocht. Het gebruik van AI-beveiliging, een DevSecOps-aanpak, training van medewerkers, identiteits- en toegangsbeheer, MFA en beveiligingsanalyses hadden allemaal een positieve impact op het terugdringen van het gemiddelde bedrag dat verloren ging bij een incident. Terwijl compliancefouten, de complexiteit van het beveiligingssysteem, een tekort aan beveiligingsvaardigheden en cloudmigratie factoren waren die bijdroegen aan een hogere netto stijging van de gemiddelde kosten van een datalek.

Terwijl u naar de cloud migreert, moet u waakzamer dan ooit zijn bij het beschermen van uw gegevens. Hier volgen enkele aanvullende manieren om uw risico te verminderen en een veiligere omgeving te creëren veiligheid standpunt:

1. Multi-factor authenticatie: MFA afdwingen voor root- en alle beheerdersaccounts. Nog beter: gebruik een fysiek hardware-MFA-apparaat. Een potentiële hacker heeft niet alleen de accountnaam en het wachtwoord nodig, maar ook de fysieke MFA die een gesynchroniseerde code genereert.

2. Vermogen in kleine aantallen: Beperk wie toegang heeft tot de root. Sommige beveiligingsexperts raden niet meer dan drie gebruikers aan. Beheer rootgebruikerstoegang ijverig. Als u identiteitsbeheer en off-boarding nergens anders uitvoert, doe dat dan hier. Als iemand uit de vertrouwenskring de organisatie verlaat, wijzig dan het rootwachtwoord. Herstel het MFA-apparaat.

3. Standaard accountrechten: Zorg er bij het inrichten van nieuwe gebruikersaccounts of rollen voor dat deze standaard minimale bevoegdheden krijgen. Begin met een minimaal toegangsbeleid en verleen indien nodig aanvullende machtigingen. Het principe van het bieden van de minste beveiliging om een ​​taak te volbrengen is een model dat voldoet aan de SOC2-beveiligingsnormen. Het concept is dat elke gebruiker of applicatie over de minimale beveiliging moet beschikken die nodig is om de vereiste functie uit te voeren. Hoe hoger het privilege dat wordt aangetast, hoe groter het risico. Omgekeerd geldt: hoe lager het blootgestelde privilege, hoe lager het risico.

4. Controlebevoegdheden: Controleer en controleer regelmatig de rechten die zijn toegewezen aan gebruikers, rollen en accounts binnen uw cloudomgeving. Dit zorgt ervoor dat individuen alleen de noodzakelijke toestemming hebben om hun toegewezen taken uit te voeren.

5. Identiteitsbeheer en just-in-time-rechten: Identificeer en trek eventuele buitensporige of ongebruikte rechten in om het risico van ongeautoriseerde toegang te minimaliseren. Geef gebruikers alleen toegangsrechten als ze deze nodig hebben voor een specifieke taak of een beperkte periode. Dit minimaliseert het aanvalsoppervlak en verkleint de kans op potentiële veiligheidsbedreigingen.

6. Ingebedde referenties: Verbied de harde codering van niet-gecodeerde authenticatie (gebruikersnaam, wachtwoord, toegangssleutels) in scripts, taken of andere code. Kijk in plaats daarvan naar een geheimenbeheerder die u kunt gebruiken om inloggegevens programmatisch op te halen.

7. Configuratie van infrastructuur als code (IaC).: Houd u aan de best practices op het gebied van beveiliging bij het configureren van uw cloudinfrastructuur met behulp van IaC-tools zoals AWS CloudFormation of Terraform. Vermijd standaard het verlenen van openbare toegang en beperk de toegang tot bronnen tot alleen vertrouwde netwerken, gebruikers of IP-adressen. Maak gebruik van fijnmazige machtigingen en mechanismen voor toegangscontrole om het principe van de minste privileges af te dwingen.

8. Registratie van acties: Maak uitgebreide registratie en monitoring van acties en gebeurtenissen binnen uw cloudomgeving mogelijk. Leg logboeken vast en analyseer ze op ongebruikelijke of potentieel kwaadaardige activiteiten. Implementeer robuuste oplossingen voor logboekbeheer en beveiligingsinformatie- en gebeurtenisbeheer (SIEM) om beveiligingsincidenten snel te detecteren en erop te reageren.

9. Regelmatige kwetsbaarheidsbeoordelingen: Voer regelmatig kwetsbaarheidsbeoordelingen en penetratietests uit om beveiligingszwakheden in uw cloudomgeving te identificeren. Patch en herstel eventuele geïdentificeerde kwetsbaarheden onmiddellijk. Houd beveiligingsupdates en patches bij die door uw cloudprovider zijn uitgebracht en zorg ervoor dat ze onmiddellijk worden toegepast om u te beschermen tegen bekende bedreigingen.

10. Onderwijs en Vorming: Bevorder een cultuur van veiligheidsbewustzijn en zorg voor regelmatige training van werknemers over het belang van het beginsel van de minste privileges. Informeer hen over de potentiële risico's die gepaard gaan met buitensporige bevoegdheden en de best practices die moeten worden gevolgd bij het openen en beheren van bronnen binnen de cloudomgeving.

11. Patches en updates: Verminder kwetsbaarheden door alle serversoftware regelmatig bij te werken. Houd uw cloudinfrastructuur en bijbehorende applicaties up-to-date om u te beschermen tegen bekende kwetsbaarheden. Cloudproviders brengen vaak beveiligingspatches en updates uit, dus het is van cruciaal belang om op de hoogte te blijven van hun aanbevelingen.

Trust

Het komt neer op vertrouwen: alleen de mensen in uw organisatie het vertrouwen geven om de taken uit te voeren die zij nodig hebben om hun werk gedaan te krijgen. Beveiligingsexperts adviseren Geen vertrouwen. Het Zero Trust-beveiligingsmodel is gebaseerd op drie belangrijke principes:

• Expliciet verifiëren – gebruik alle beschikbare datapunten om de identiteit en toegang van een gebruiker te valideren.
• Gebruik toegang met de minste privileges – precies op tijd en net voldoende beveiliging.
• Ga uit van een inbreuk: versleutel alles, gebruik proactieve analyses en zorg voor noodhulp.

Als consument van de cloud en clouddiensten komt het ook aan op vertrouwen. U moet uzelf de vraag stellen: "Vertrouw ik erop dat mijn leverancier mijn kostbare gegevens in de cloud opslaat?" Vertrouwen betekent in dit geval dat u erop vertrouwt dat dat bedrijf, of een vergelijkbaar bedrijf, de beveiliging beheert, zoals we hierboven hebben beschreven. Als u ontkennend antwoordt, bent u dan bereid hetzelfde soort beveiligingsbeheeractiviteiten in uw thuisomgeving uit te voeren? Vertrouw jij jezelf?

Als bedrijf dat diensten in de cloud levert, hebben klanten hun vertrouwen in u gesteld om hun gegevens in uw cloudinfrastructuur te beschermen. Het is een voortdurend proces. Blijf op de hoogte van opkomende bedreigingen, pas uw beveiligingsmaatregelen dienovereenkomstig aan en werk samen met ervaren professionals of beveiligingsconsultants om de grootst mogelijke bescherming voor uw bedrijf te garanderen in het steeds evoluerende cloudlandschap.

1. https://www.bleepingcomputer.com/news/security/lastpass-hackers-stole-customer-vault-data-in-cloud-storage-breach/ ↑