Мы говорим о безопасности в облаке

Передержка

Скажем так: что вы боитесь разоблачить? Каковы ваши самые ценные активы? Ваш номер социального страхования? Информация о вашем банковском счете? Частные документы или фотографии? Ваша крипто-сид-фраза? Если вы управляете компанией или отвечаете за сохранность данных, вы можете беспокоиться о том, что те же типы информации будут скомпрометированы, но в некоторых случаяхroadэээ масштаб. Ваши клиенты доверили вам защиту своих данных.

Как потребители, мы воспринимаем безопасность наших данных как нечто само собой разумеющееся. В наши дни все чаще данные хранятся в облаке. Ряд поставщиков предлагают услуги, которые позволяют клиентам выполнять резервное копирование данных со своих локальных компьютеров в облако. Думайте об этом как о виртуальном жестком диске в небе. Это рекламируется как безопасный и удобный способ защитить ваши данные. Удобно, да. Вы можете восстановить файл, который случайно удалили. Вы можете восстановить весь жесткий диск, данные которого были повреждены.

Но безопасно ли это? Вам предоставляется замок и ключ. Ключом обычно является имя пользователя и пароль. Он зашифрован и известен только вам. Вот почему эксперты по безопасности рекомендуют хранить ваш пароль в безопасности. Если кто-то получит доступ к вашему паролю, у него будет виртуальный ключ от вашего виртуального дома.

Вы все это знаете. Ваш пароль к облачному сервису резервного копирования имеет длину 16 символов, содержит прописные и строчные буквы, цифры и пару специальных символов. Вы меняете его каждые шесть месяцев, потому что знаете, что это усложняет жизнь хакеру. Он отличается от других ваших паролей: вы не используете один и тот же пароль для нескольких сайтов. Что может пойти не так?

Некоторые компании предлагают то, что они называют «персональным облаком». Западный Digital — одна из тех компаний, которые предоставляют простой способ резервного копирования ваших данных в ваше личное пространство в облаке. Это сетевое хранилище, доступное через Интернет. Он подключается к маршрутизатору Wi-Fi, поэтому вы можете получить к нему доступ из любой точки вашей сети. Удобно, поскольку он также подключен к Интернету, вы можете получить доступ к своим личным данным из любого места в Интернете. С удобством приходит и риск.

Компромиссная позиция

Ранее в этом году хакеры взломали западную Digitalи смогли загрузить около 10 ТБ данных. Затем черные почтовые агенты удержали данные с целью получения выкупа и попытались заключить сделку на сумму более 10,000,000 XNUMX XNUMX долларов США за безопасный возврат данных. Данные подобны нефти. Или, может быть, золото – лучшая аналогия. Один из хакеров рассказал на условиях анонимности. Ха! TechCrunch взял у него интервью, когда он находился в процессе этой деловой сделки. Интересно то, что данные, которые были скомпрометированы, включали западные Digitalсертификат подписи кода. Это технологический эквивалент сканирования сетчатки. Сертификат предназначен для точной идентификации владельца или предъявителя. Благодаря этому виртуальному сканированию сетчатки для доступа к «защищенным» данным пароль не требуется. Другими словами, с этим сертификатом этот бизнесмен в черной шляпе может войти прямо в парадную дверь digital дворец.

западный Digital отказался комментировать заявления хакера о том, что он все еще находится в сети WD. Неназванный хакер выразил разочарование тем, что представители Western Digital не отвечал на его звонки. Официально в пресс-релизеЗападный Digital объявила, что «на основании проведенного расследования компания считает, что несанкционированная сторона получила определенные данные из ее систем и работает над пониманием характера и объема этих данных». Итак, вестерн Digital мама, но хакер болтает. Что касается того, как они это сделали, хакер описывает, как они воспользовались известными уязвимостями и смогли получить доступ к данным в облаке в качестве глобального администратора.

Глобальный администратор по своей роли имеет доступ ко всему. Ему не нужен ваш пароль. У него есть главный ключ.

западный Digital не одинок

A , В прошлом году выяснилось, что 83% опрошенных компаний имели больше одного утечка данных, 45% из которых произошли в облаке. в среднем Стоимость утечки данных в США составила 9.44 миллиона долларов США. Затраты были разбиты на четыре категории затрат — потеря бизнеса, обнаружение и эскалация, уведомление и реагирование после нарушения. (Я не уверен, к какой категории относится выкуп данных. Неясно, платил ли кто-либо из респондентов требования о выкупе.) Среднее время, необходимое организации для выявления утечки данных и реагирования на нее, составляет около 9 месяцев. Поэтому неудивительно, что через несколько месяцев после того, как Западный Digital впервые признали утечку данных, они все еще продолжают расследование.

Трудно сказать точно, сколько компаний столкнулись с утечкой данных. Я знаю одну крупную частную компанию, которая подверглась атаке программы-вымогателя. Владельцы отказались вести переговоры и не заплатили. Вместо этого это означало потерю электронных писем и файлов данных. Они решили восстановить все из незараженных резервных копий и переустановить программное обеспечение. Были значительные простои и потеря производительности. Это событие никогда не было в СМИ. Этой компании повезло, потому что 66% малых и средних компаний, атакованных программами-вымогателями, прекращают свою деятельность в течение 6 месяцев.

• 30,000 XNUMX веб-сайтов взломанa ежедневно
• 4 миллиона файлов украли каждый день
• 22 миллиарда записей были нарушенного в 2021 году

Если вы когда-либо сотрудничали или пользовались услугами Capital One, Marriott, Equifax, Target или Uber, возможно, ваш пароль был взломан. Каждая из этих крупных компаний пострадала от серьезной утечки данных.

• Capital One: Хакер получил доступ к 100 миллионам клиентов и претендентов, воспользовавшись уязвимостью в облачной инфраструктуре компании.
• Marriott: В результате утечки данных была раскрыта информация о 500 миллионах клиентов (эта утечка оставалась незамеченной в течение 4 лет).
• Equifax: раскрыта личная информация 147 миллионов клиентов в облаке.
• Цель: Киберпреступники получили доступ к 40 миллионам номеров кредитных карт.
• Uber: Хакеры взломали ноутбук разработчика и получили доступ к 57 миллионам пользователей и 600,000 XNUMX водителям.
• LastPass^[1]: Хакеры украли данные 33 миллионов клиентов в результате взлома облачного хранилища этой компании, занимающейся управлением паролями. Злоумышленник получил доступ к облачному хранилищу Lastpass, используя «ключ доступа к облачному хранилищу и ключи расшифровки контейнера двойного хранилища», украденные из среды разработки.

Вы можете проверить, стали ли вы жертвой утечки данных, на этом веб-сайте: меня обманули? Введите свой адрес электронной почты, и он покажет вам, сколько утечек данных было обнаружено по этому адресу электронной почты. Например, я ввел один из своих личных адресов электронной почты и обнаружил, что он был частью 25 различных утечек данных, включая Evite. , Dropbox, Adobe, LinkedIn и Twitter.

Препятствование нежелательным поклонникам

Возможно, никогда не будет публичного признания со стороны Запада. Digital о том, что именно произошло. Этот инцидент иллюстрирует две вещи: данные в облаке защищены настолько, насколько безопасны их хранители, а хранителям ключей необходимо быть особенно осторожными. Перефразируя принцип Питера Паркера, получение root-доступа подразумевает большую ответственность.

Точнее, пользователь root и глобальный администратор — это не одно и то же. Оба имеют большую власть, но должны иметь отдельные учетные записи. Пользователь root владеет и имеет доступ к учетной записи корпоративного облака на самом низком уровне. Таким образом, эта учетная запись может удалить все данные, виртуальные машины, информацию о клиентах — все, что компания сохранила в облаке. В AWS есть только задачи 10, включая настройку и закрытие вашей учетной записи AWS, для которых действительно требуется root-доступ.

Учетные записи администратора должны быть созданы для выполнения административных задач (ага). Обычно существует несколько учетных записей администратора, которые обычно являются индивидуальными, в отличие от одной учетной записи root. Поскольку учетные записи администратора привязаны к отдельному пользователю, вы можете легко отслеживать, кто какие изменения внес в среду.

Минимум привилегий для максимальной безопасности

В ходе исследования утечки данных изучалось влияние 28 факторов на серьезность утечки данных. Использование ИИ-безопасности, подхода DevSecOps, обучения сотрудников, управления идентификацией и доступом, MFA, аналитики безопасности – все это оказало положительное влияние на снижение средней суммы потерь в результате инцидента. Принимая во внимание, что несоблюдение требований, сложность системы безопасности, нехватка навыков в области безопасности и миграция в облако были факторами, которые способствовали более высокому чистому увеличению средней стоимости утечки данных.

При переходе в облако вам необходимо как никогда бдительно относиться к защите своих данных. Вот несколько дополнительных способов снизить риск и создать более безопасную среду с помощью безопасность точка зрения:

1. Многофакторная аутентификация: принудительно использовать MFA для учетных записей root и всех администраторов. Еще лучше использовать физическое аппаратное устройство MFA. Потенциальному хакеру потребуются не только имя и пароль учетной записи, но и физический MFA, который генерирует синхронизированный код.

2. Мощность в небольших количествах: Ограничьте тех, у кого есть доступ к руту. Некоторые эксперты по безопасности предлагают использовать не более трех пользователей. Тщательно управляйте доступом пользователей root. Если вы больше нигде не выполняете управление идентификацией и не отключаетесь, сделайте это здесь. Если кто-то из круга доверия покидает организацию, измените пароль root. Восстановите устройство MFA.

3. Привилегии учетной записи по умолчанию: При подготовке новых учетных записей пользователей или ролей убедитесь, что по умолчанию им предоставлены минимальные привилегии. Начните с минимальной политики доступа, а затем при необходимости предоставьте дополнительные разрешения. Принцип обеспечения минимальной безопасности для выполнения задачи — это модель, которая соответствует стандартам безопасности SOC2. Идея заключается в том, что любой пользователь или приложение должны иметь минимальный уровень безопасности, необходимый для выполнения требуемой функции. Чем выше скомпрометированная привилегия, тем выше риск. И наоборот, чем ниже предоставленная привилегия, тем ниже риск.

4. Привилегии аудита: Регулярно проверяйте и проверяйте привилегии, назначенные пользователям, ролям и учетным записям в вашей облачной среде. Это гарантирует, что у людей есть только необходимые разрешения для выполнения назначенных им задач.

5. Управление идентификацией и привилегии «точно в срок»: выявите и отзовите любые чрезмерные или неиспользуемые привилегии, чтобы минимизировать риск несанкционированного доступа. Предоставляйте права доступа пользователям только тогда, когда они необходимы им для выполнения определенной задачи или в течение ограниченного периода времени. Это сводит к минимуму поверхность атаки и уменьшает окно возможностей для потенциальных угроз безопасности.

6. Встроенные учетные данные: запретить жесткое кодирование незашифрованной аутентификации (имя пользователя, пароль, ключи доступа) в сценариях, заданиях или другом коде. Вместо этого загляните в менеджер секретов который можно использовать для программного получения учетных данных.

7. Конфигурация «Инфраструктура как код» (IaC): Придерживайтесь рекомендаций по безопасности при настройке облачной инфраструктуры с помощью инструментов IaC, таких как AWS CloudFormation или Terraform. Избегайте предоставления общего доступа по умолчанию и ограничивайте доступ к ресурсам только доверенным сетям, пользователям или IP-адресам. Используйте детальные разрешения и механизмы контроля доступа, чтобы обеспечить соблюдение принципа минимальных привилегий.

8. Протоколирование действий: Включите комплексную регистрацию и мониторинг действий и событий в вашей облачной среде. Собирайте и анализируйте журналы на предмет любых необычных или потенциально вредоносных действий. Внедрите надежные решения для управления журналами и информацией о безопасности и управления событиями (SIEM), чтобы оперативно обнаруживать инциденты безопасности и реагировать на них.

9. Регулярные оценки уязвимостей: Регулярно проводите оценку уязвимостей и тестирование на проникновение, чтобы выявить слабые места безопасности в вашей облачной среде. Своевременно исправляйте и устраняйте любые выявленные уязвимости. Следите за обновлениями безопасности и исправлениями, выпущенными вашим облачным провайдером, и обеспечьте их своевременное применение для защиты от известных угроз.

10. Образование и обучение: Продвигать культуру осведомленности о безопасности и проводить регулярное обучение сотрудников важности принципа наименьших привилегий. Расскажите им о потенциальных рисках, связанных с чрезмерными привилегиями, и о лучших практиках, которым следует следовать при доступе к ресурсам и управлении ими в облачной среде.

11. Патчи и обновления: Уменьшите количество уязвимостей, регулярно обновляя все серверное программное обеспечение. Поддерживайте актуальность своей облачной инфраструктуры и связанных с ней приложений для защиты от известных уязвимостей. Поставщики облачных услуг часто выпускают исправления и обновления безопасности, поэтому крайне важно следить за их рекомендациями.

Доверие

Все сводится к доверию: предоставляйте только тем, кто в вашей организации, доверие для выполнения задач, которые им необходимы для выполнения своей работы. Эксперты по безопасности рекомендуют Zero Trust. Модель безопасности Zero Trust основана на трёх ключевых принципах:

• Явная проверка — используйте все доступные точки данных для проверки личности и доступа пользователя.
• Используйте доступ с наименьшими привилегиями – вовремя и с достаточной безопасностью.
• Предполагайте взлом – зашифруйте все, используйте упреждающую аналитику и приготовьте экстренное реагирование.

Для потребителя облака и облачных услуг это также сводится к доверию. Вы должны спросить себя: «Доверяю ли я своему поставщику хранение моих ценных данных в облаке?» Доверие в данном случае означает, что вы полагаетесь на эту компанию или подобную ей в вопросах управления безопасностью, как мы описали выше. Альтернативно, если вы ответите отрицательно, готовы ли вы выполнять те же виды деятельности по управлению безопасностью у себя дома. Вы доверяете себе?

Поскольку вы являетесь компанией, предоставляющей облачные услуги, клиенты доверяют вам защиту своих данных в вашей облачной инфраструктуре. Это непрерывный процесс. Будьте в курсе возникающих угроз, соответствующим образом адаптируйте свои меры безопасности и сотрудничайте с опытными профессионалами или консультантами по безопасности, чтобы обеспечить максимальную защиту вашего бизнеса в постоянно меняющейся облачной среде.

1. https://www.bleepingcomputer.com/news/security/lastpass-hackers-stole-customer-vault-data-in-cloud-storage-breach/ ↑