Mówimy o bezpieczeństwie w chmurze

Prześwietlenie

Ujmijmy to w ten sposób: czego boisz się ujawnić? Jakie są Twoje najcenniejsze aktywa? Twój numer ubezpieczenia społecznego? Informacje o Twoim koncie bankowym? Prywatne dokumenty czy zdjęcia? Twoja fraza zalążkowa kryptowaluty? Jeśli zarządzasz firmą lub odpowiadasz za bezpieczeństwo danych, możesz obawiać się, że tego samego rodzaju informacje zostaną naruszone, ale z drugiej stronyroade skala. Twoi klienci powierzyli Ci ochronę ich danych.

Jako konsumenci traktujemy bezpieczeństwo naszych danych jako coś oczywistego. Obecnie coraz częściej dane te przechowywane są w chmurze. Wielu dostawców oferuje usługi umożliwiające klientom tworzenie kopii zapasowych danych z komputerów lokalnych w chmurze. Pomyśl o tym jak o wirtualnym dysku twardym w niebie. Jest to reklamowane jako bezpieczny i wygodny sposób ochrony danych. Wygodny, tak. Możesz odzyskać przypadkowo usunięty plik. Można przywrócić cały dysk twardy, którego dane zostały uszkodzone.

Ale czy jest to bezpieczne? Otrzymujesz zamek i klucz. Kluczem jest zazwyczaj nazwa użytkownika i hasło. Jest zaszyfrowany i znany tylko Tobie. Dlatego eksperci ds. bezpieczeństwa zalecają dbanie o bezpieczeństwo hasła. Jeśli ktoś uzyska dostęp do Twojego hasła, będzie miał wirtualny klucz do Twojego wirtualnego domu.

Wiesz to wszystko. Twoje hasło do usługi kopii zapasowych w chmurze ma 16 znaków, zawiera duże i małe litery, cyfry oraz kilka znaków specjalnych. Zmieniasz go co sześć miesięcy, ponieważ wiesz, że to utrudnia hakerowi. Różni się od innych haseł – nie używasz tego samego hasła do wielu witryn. Co mogłoby pójść źle?

Niektóre firmy oferują coś, co nazwały „chmurą osobistą”. Zachodni Digital to jedna z tych firm, które zapewniają łatwy sposób tworzenia kopii zapasowych danych w osobistej przestrzeni w chmurze. Jest to pamięć sieciowa dostępna przez Internet. Podłącza się go do routera Wi-Fi, dzięki czemu można uzyskać do niego dostęp z dowolnego miejsca w sieci. Wygodnie, ponieważ jest również podłączony do Internetu, możesz uzyskać dostęp do swoich danych osobowych z dowolnego miejsca w Internecie. Z wygodą wiąże się ryzyko.

Kompromisowe stanowisko

Na początku tego roku hakerzy włamali się do Westernu Digitalsystemów i udało nam się pobrać około 10 Tb danych. Następnie czarni rozsyłacze poczty zatrzymali dane dla okupu i próbowali wynegocjować umowę o wartości ponad 10,000,000 XNUMX XNUMX dolarów w zamian za bezpieczny zwrot danych. Dane są jak ropa naftowa. A może złoto jest lepszą analogią. Jeden z hakerów wypowiadał się pod warunkiem zachowania anonimowości. Ha! TechCrunch przeprowadził z nim wywiad, gdy był w trakcie realizacji tej transakcji biznesowej. Co ciekawe, dane, które zostały naruszone, obejmowały dane pochodzące z witryn zachodnich Digitalcertyfikat podpisywania kodu. Jest to technologiczny odpowiednik skanu siatkówki. Certyfikat ma na celu pozytywną identyfikację właściciela lub okaziciela. Dzięki temu wirtualnemu skanowi siatkówki dostęp do „zabezpieczonych” danych nie wymaga hasła. Innymi słowy, z tym certyfikatem ten biznesmen w czarnym kapeluszu może wejść prosto do drzwi wejściowych firmy digital pałac.

Western Digital odmówił komentarza w odpowiedzi na twierdzenia hakera, że ​​nadal znajdują się w sieci WD. Bezimienny haker wyraził rozczarowanie przedstawicielami firmy Western Digital nie odpowiadał na jego telefony. Oficjalnie w komunikat prasowy, Zachodni Digital ogłosił, że „Na podstawie dotychczasowego dochodzenia Spółka uważa, że ​​nieupoważniona strona uzyskała pewne dane z jej systemów i pracuje nad zrozumieniem charakteru i zakresu tych danych”. A więc zachodni Digital jest mama, ale haker papla. Jeśli chodzi o sposób, w jaki tego dokonali, haker opisuje, w jaki sposób wykorzystał znane luki w zabezpieczeniach i jako administrator globalny mógł uzyskać dostęp do danych w chmurze.

Administrator globalny ze względu na swoją rolę ma dostęp do wszystkiego. Nie potrzebuje twojego hasła. On ma klucz główny.

Western Digital nie jest sam

A badanie W zeszłym roku stwierdzono, że 83% ankietowanych firm tak miało więcej niż jeden naruszenia bezpieczeństwa danych, z czego 45% miało miejsce w chmurze. The średni koszt naruszenia bezpieczeństwa danych w Stanach Zjednoczonych wyniósł 9.44 mln dolarów. Koszty podzielono na cztery kategorie kosztów — utrata działalności, wykrywanie i eskalacja, powiadamianie i reakcja po naruszeniu. (Nie jestem pewien, do jakiej kategorii należy okup za dane. Nie jest jasne, czy którykolwiek z respondentów zapłacił żądanie okupu). Średni czas potrzebny organizacji na zidentyfikowanie naruszenia bezpieczeństwa danych i zareagowanie na niego wynosi około 9 miesięcy. Nic więc dziwnego, że kilka miesięcy po Westernie Digital po raz pierwszy przyznali się do naruszenia danych, nadal prowadzą dochodzenie.

Trudno dokładnie powiedzieć, ile firm doświadczyło naruszeń bezpieczeństwa danych. Znam jedną dużą prywatną firmę, która została zaatakowana przez oprogramowanie ransomware. Właściciele odmówili negocjacji i nie zapłacili. Oznaczało to zamiast tego utratę e-maili i plików danych. Zdecydowali się odbudować wszystko z niezainfekowanych kopii zapasowych i ponownie zainstalować oprogramowanie. Nastąpiły znaczne przestoje i utrata produktywności. O tym wydarzeniu nigdy nie było w mediach. Ta firma miała szczęście, ponieważ 66% małych i średnich firm zaatakowanych przez oprogramowanie ransomware kończy działalność w ciągu 6 miesięcy.

• jest 30,000 XNUMX stron internetowych hacked codziennie
• 4 miliony plików to skradziony codziennie
• było 22 miliardy rekordów naruszone w 2021

Jeśli kiedykolwiek robiłeś interesy lub korzystałeś z usług Capital One, Marriott, Equifax, Target lub Uber, możliwe, że Twoje hasło zostało przejęte. Każda z tych dużych firm doświadczyła poważnego naruszenia bezpieczeństwa danych.

• Capital One: Haker uzyskał dostęp do 100 milionów klientów i kandydatów, wykorzystując lukę w infrastrukturze chmurowej firmy.
• Marriott: Naruszenie danych ujawniło informacje o 500 milionach klientów (naruszenie to pozostało niewykryte przez 4 lata).
• Equifax: ujawniono dane osobowe w chmurze 147 milionów klientów.
• Cel: cyberprzestępcy uzyskali dostęp do 40 milionów numerów kart kredytowych.
• Uber: Hakerzy zhakowali laptopa programisty i uzyskali dostęp do 57 milionów użytkowników i 600,000 XNUMX kierowców.
• LastPass^[1]: Hakerzy ukradli dane ze skarbca 33 milionów klientów w wyniku naruszenia przechowywania w chmurze dla tej firmy zarządzającej hasłami. Osoba atakująca uzyskała dostęp do pamięci masowej w chmurze Lastpass za pomocą „klucza dostępu do pamięci w chmurze i kluczy odszyfrowywania kontenera z podwójną pamięcią masową” skradzionych ze środowiska programistycznego.

Na tej stronie możesz sprawdzić, czy doszło do naruszenia bezpieczeństwa danych: zostałem popchnięty? Wpisz swój adres e-mail, a wyświetli się liczba naruszeń danych, w przypadku których wykryto dany adres e-mail. Na przykład wpisałem jeden z moich osobistych adresów e-mail i odkryłem, że był on częścią 25 różnych naruszeń danych, w tym Evite , Dropbox, Adobe, LinkedIn i Twitter.

Pokonywanie niechcianych zalotników

Zachód może nigdy nie uzyskać publicznego uznania Digital dokładnie tego, co się wydarzyło. Ten incydent ilustruje dwie rzeczy: dane w chmurze są tak bezpieczne, jak ich posiadacze, a posiadacze kluczy muszą zachować szczególną ostrożność. Parafrazując Zasadę Petera Parkera, dostęp do konta root wiąże się z dużą odpowiedzialnością.

Mówiąc dokładniej, użytkownik root i administrator globalny to nie dokładnie to samo. Obydwa mają dużą moc, ale powinny być osobnymi kontami. Użytkownik root jest właścicielem i dostępem do konta w chmurze korporacyjnej na najniższym poziomie. W związku z tym to konto może usunąć wszystkie dane, maszyny wirtualne, informacje o klientach – wszystko, co firma zabezpieczyła w chmurze. W AWS są tylko zadania 10, w tym konfigurowanie i zamykanie konta AWS, które naprawdę wymagają dostępu do konta root.

Konta administratorów powinny być tworzone w celu wykonywania zadań administracyjnych (duh). Zwykle istnieje wiele kont administratorów, które są zazwyczaj oparte na osobach, w przeciwieństwie do pojedynczego konta root. Ponieważ konta administratorów są powiązane z konkretną osobą, możesz łatwo monitorować, kto dokonał jakich zmian w środowisku.

Najmniejsze uprawnienia dla maksymalnego bezpieczeństwa

W ankiecie dotyczącej naruszeń danych zbadano wpływ 28 czynników na powagę naruszenia danych. Zastosowanie zabezpieczeń AI, podejścia DevSecOps, szkoleń pracowników, zarządzania tożsamością i dostępem, MFA, analityki bezpieczeństwa miało pozytywny wpływ na zmniejszenie średniej kwoty utraconej w wyniku incydentu. Natomiast brak zgodności, złożoność systemu bezpieczeństwa, brak umiejętności w zakresie bezpieczeństwa i migracja do chmury to czynniki, które przyczyniły się do wyższego wzrostu netto średniego kosztu naruszenia bezpieczeństwa danych.

Podczas migracji do chmury musisz zachować większą niż kiedykolwiek czujność w ochronie swoich danych. Oto kilka dodatkowych sposobów zmniejszenia ryzyka i zapewnienia bezpieczniejszego środowiska z poziomu: bezpieczeństwo punkt widzenia:

1. Uwierzytelnianie wieloczynnikowe: wymuszaj MFA dla konta root i wszystkich kont administratorów. Jeszcze lepiej, użyj fizycznego urządzenia MFA. Potencjalny haker będzie potrzebował nie tylko nazwy konta i hasła, ale także fizycznego konta MFA, które generuje zsynchronizowany kod.

2. Moc w małych liczbach: Ogranicz, kto ma dostęp do katalogu głównego. Niektórzy eksperci ds. bezpieczeństwa sugerują nie więcej niż 3 użytkowników. Starannie zarządzaj dostępem użytkowników root. Jeśli nie zajmujesz się zarządzaniem tożsamością i opuszczaniem firmy nigdzie indziej, zrób to tutaj. Jeśli ktoś z kręgu zaufania opuści organizację, zmień hasło roota. Odzyskaj urządzenie MFA.

3. Domyślne uprawnienia konta: Podczas udostępniania nowych kont użytkowników lub ról upewnij się, że domyślnie przyznano im minimalne uprawnienia. Zacznij od zasad minimalnego dostępu, a następnie w razie potrzeby przyznaj dodatkowe uprawnienia. Zasada zapewnienia najmniejszego bezpieczeństwa w celu wykonania zadania to model, który spełni standardy zgodności z zabezpieczeniami SOC2. Koncepcja jest taka, że ​​każdy użytkownik lub aplikacja powinna mieć minimalne zabezpieczenia wymagane do wykonywania wymaganej funkcji. Im wyższy poziom uprawnień, który zostanie naruszony, tym większe ryzyko. I odwrotnie, im niższy poziom ujawnionych przywilejów, tym mniejsze ryzyko.

4. Uprawnienia do audytu: Regularnie kontroluj i przeglądaj uprawnienia przypisane użytkownikom, rolom i kontom w środowisku chmury. Dzięki temu poszczególne osoby posiadają jedynie niezbędne uprawnienia do wykonywania wyznaczonych im zadań.

5. Zarządzanie tożsamością i uprawnienia Just-in-time: Zidentyfikuj i cofnij wszelkie nadmierne lub niewykorzystane uprawnienia, aby zminimalizować ryzyko nieautoryzowanego dostępu. Zapewniaj prawa dostępu użytkownikom tylko wtedy, gdy są one potrzebne do określonego zadania lub przez ograniczony okres. Minimalizuje to powierzchnię ataku i zmniejsza szansę na potencjalne zagrożenia bezpieczeństwa.

6. Wbudowane dane uwierzytelniające: Zabroń kodowania niezaszyfrowanego uwierzytelniania (nazwa użytkownika, hasło, klucze dostępu) w skryptach, zadaniach lub innym kodzie. Zamiast tego spójrz na menadżer sekretów których można użyć do programowego pobierania poświadczeń.

7. Konfiguracja infrastruktury jako kodu (IaC).: przestrzegaj najlepszych praktyk w zakresie bezpieczeństwa podczas konfigurowania infrastruktury chmurowej za pomocą narzędzi IaC, takich jak AWS CloudFormation lub Terraform. Unikaj domyślnego udzielania dostępu publicznego i ograniczaj dostęp do zasobów tylko do zaufanych sieci, użytkowników lub adresów IP. Wykorzystaj szczegółowe uprawnienia i mechanizmy kontroli dostępu, aby egzekwować zasadę najmniejszych uprawnień.

8. Rejestrowanie działań: Włącz kompleksowe rejestrowanie i monitorowanie działań i zdarzeń w środowisku chmury. Przechwytuj i analizuj dzienniki pod kątem wszelkich nietypowych lub potencjalnie złośliwych działań. Wdrażaj niezawodne rozwiązania do zarządzania logami i informacjami o bezpieczeństwie oraz do zarządzania zdarzeniami (SIEM), aby szybko wykrywać incydenty związane z bezpieczeństwem i reagować na nie.

9. Regularne oceny podatności: Wykonuj regularne oceny podatności i testy penetracyjne, aby zidentyfikować słabe punkty bezpieczeństwa w środowisku chmury. Niezwłocznie łataj i usuwaj wszelkie zidentyfikowane luki w zabezpieczeniach. Śledź aktualizacje zabezpieczeń i poprawki wydane przez dostawcę usług w chmurze i upewnij się, że są one niezwłocznie stosowane w celu ochrony przed znanymi zagrożeniami.

10. Edukacja i szkolenie: Promuj kulturę świadomości bezpieczeństwa i zapewniaj pracownikom regularne szkolenia dotyczące znaczenia zasady najmniejszych przywilejów. Edukuj ich o potencjalnych zagrożeniach związanych z nadmiernymi uprawnieniami i najlepszych praktykach, których należy przestrzegać podczas uzyskiwania dostępu do zasobów i zarządzania nimi w środowisku chmury.

11. Poprawki i aktualizacje: Zmniejsz luki w zabezpieczeniach, regularnie aktualizując całe oprogramowanie serwera. Aktualizuj infrastrukturę chmury i powiązane aplikacje, aby chronić się przed znanymi lukami w zabezpieczeniach. Dostawcy usług w chmurze często wydają poprawki i aktualizacje zabezpieczeń, dlatego niezwykle ważne jest bycie na bieżąco z ich zaleceniami.

Zaufaj

Wszystko sprowadza się do zaufania – zapewnienia zaufania tylko osobom w Twojej organizacji, aby mogli wykonać zadania, które muszą wykonać, aby dobrze wykonać swoją pracę. Eksperci ds. bezpieczeństwa zalecają Zero zaufania. Model bezpieczeństwa Zero Trust opiera się na trzech kluczowych zasadach:

• Weryfikuj jawnie — użyj wszystkich dostępnych punktów danych, aby zweryfikować tożsamość i dostęp użytkownika.
• Korzystaj z dostępu o najniższych uprawnieniach – w samą porę i z wystarczającym poziomem bezpieczeństwa.
• Załóż, że doszło do naruszenia — zaszyfruj wszystko, zastosuj proaktywną analizę i przygotuj reakcję awaryjną.

Jako konsument chmury i usług chmurowych zależy mi również na zaufaniu. Musisz zadać sobie pytanie: „Czy ufam mojemu dostawcy, że będzie przechowywać moje cenne dane w chmurze?” Zaufanie w tym przypadku oznacza, że ​​polegasz na tej firmie lub podobnej firmie w zakresie zarządzania bezpieczeństwem, jak opisaliśmy powyżej. Alternatywnie, jeśli odpowiesz przecząco, czy jesteś gotowy na wykonywanie tego samego rodzaju działań związanych z zarządzaniem bezpieczeństwem w swoim środowisku domowym? Czy ufasz sobie?

Jako firma świadcząca usługi w chmurze, klienci obdarzyli Cię zaufaniem w zakresie ochrony swoich danych w Twojej infrastrukturze chmurowej. To ciągły proces. Bądź na bieżąco z pojawiającymi się zagrożeniami, dostosowuj odpowiednio środki bezpieczeństwa i współpracuj z doświadczonymi profesjonalistami lub konsultantami ds. bezpieczeństwa, aby zapewnić najwyższą ochronę swojej firmie w stale rozwijającym się środowisku chmurowym.

1. https://www.bleepingcomputer.com/news/security/lastpass-hackers-stole-customer-vault-data-in-cloud-storage-breach/ ↑