Hovoríme o bezpečnosti v cloude

Nadmerná expozícia

Povedzme to takto, čoho sa obávate odhalenia? Aké sú vaše najcennejšie aktíva? Vaše číslo sociálneho poistenia? Informácie o vašom bankovom účte? Súkromné ​​dokumenty alebo fotografie? Vaša fráza na semeno kryptomien? Ak riadite spoločnosť alebo ste zodpovední za úschovu údajov, môžete sa obávať ohrozenia rovnakých typov informácií, ale naroader mierka. Vaši zákazníci ste boli poverení ochranou ich údajov.

Ako spotrebitelia považujeme bezpečnosť našich údajov za samozrejmosť. V dnešnej dobe sa dáta čoraz častejšie ukladajú do cloudu. Množstvo predajcov ponúka služby, ktoré zákazníkom umožňujú zálohovať dáta z ich lokálnych počítačov do cloudu. Predstavte si to ako virtuálny pevný disk na oblohe. Toto je propagované ako bezpečný a pohodlný spôsob ochrany vašich údajov. Pohodlné, áno. Môžete obnoviť súbor, ktorý ste omylom odstránili. Môžete obnoviť celý pevný disk, ktorého údaje boli poškodené.

Ale je to bezpečné? Dostanete zámok a kľúč. Kľúčom je zvyčajne používateľské meno a heslo. Je zašifrovaný a poznáte ho iba vy. Odborníci na bezpečnosť preto odporúčajú uchovávať heslo v bezpečí. Ak niekto získa prístup k vášmu heslu, má virtuálny kľúč k vášmu virtuálnemu domu.

Toto všetko vieš. Vaše heslo do zálohovacej cloudovej služby má 16 znakov, obsahuje veľké a malé písmená, čísla a niekoľko špeciálnych znakov. Vymieňate ho každých šesť mesiacov, pretože viete, že to hackerovi sťažuje. Odlišuje sa od vašich ostatných hesiel – nepoužívate rovnaké heslo pre viacero stránok. Čo sa môže pokaziť?

Niektoré spoločnosti ponúkajú to, čo označili ako „Osobný cloud“. západnej Digital je jednou z tých spoločností, ktoré poskytujú jednoduchý spôsob zálohovania údajov do osobného priestoru v cloude. Je to sieťové úložisko dostupné cez internet. Pripája sa k smerovaču Wi-Fi, takže k nemu máte prístup odkiaľkoľvek vo vašej sieti. Pohodlne, pretože je pripojený aj na internet, môžete pristupovať k svojim osobným údajom odkiaľkoľvek na internete. S pohodlím prichádza aj riziko.

Kompromisná pozícia

Začiatkom tohto roka prenikli hackeri do Western Digitala boli schopné stiahnuť približne 10 Tb dát. Vydierači potom držali údaje za výkupné a pokúsili sa vyjednať dohodu severne od 10,000,000 XNUMX XNUMX USD za bezpečné vrátenie údajov. Dáta sú ako ropa. Alebo možno zlato je lepšia analógia. Jeden z hackerov prehovoril pod podmienkou anonymity. Ha! TechCrunch urobil s ním rozhovor, keď bol v procese tejto obchodnej dohody. Zaujímavé je, že údaje, ktoré boli kompromitované, zahŕňali západné Digitalcertifikát na podpisovanie kódu. Ide o technologický ekvivalent skenovania sietnice. Certifikát je určený na pozitívnu identifikáciu vlastníka alebo nositeľa. Pri tomto virtuálnom skenovaní sietnice sa na prístup k „zabezpečeným“ údajom nevyžaduje žiadne heslo. Inými slovami, s týmto certifikátom môže tento obchodník s čiernym klobúkom vstúpiť priamo do vchodových dverí digital palác.

Západné Digital odmietol komentovať v reakcii na hackerove tvrdenia, že sú stále v sieti WD. Nemenovaný hacker vyjadril sklamanie, že predstavitelia spoločnosti Western Digital neodpovedal na svoje hovory. Oficiálne v a tlačová správa, Západné Digital oznámila, že „Na základe doterajšieho vyšetrovania sa Spoločnosť domnieva, že neoprávnená strana získala určité údaje z jej systémov a pracuje na tom, aby pochopila povahu a rozsah týchto údajov.“ Takže západná Digital je mama, ale hacker bľabotá. Pokiaľ ide o to, ako to urobili, hacker popisuje, ako zneužili známe zraniteľnosti a ako globálny správca dokázali získať prístup k údajom v cloude.

Globálny správca má podľa povahy úlohy prístup ku všetkému. Nepotrebuje tvoje heslo. Má hlavný kľúč.

Západné Digital nie je sám

A prehľad minulý rok zistilo, že 83 % opýtaných spoločností malo viac než jeden porušenie údajov, z ktorých 45 % bolo v cloude. The priemerný náklady na porušenie ochrany údajov v Spojených štátoch boli 9.44 milióna USD. Náklady boli rozdelené do štyroch kategórií nákladov – stratený obchod, detekcia a eskalácia, oznámenie a reakcia po porušení. (Nie som si istý, v akej kategórii je výkupné za údaje. Nie je jasné, či niektorý z respondentov zaplatil požiadavky na výkupné.) Priemerný čas, ktorý organizácii trvá, kým identifikuje porušenie ochrany údajov a zareaguje naň, je približne 9 mesiacov. Nie je teda prekvapením, že niekoľko mesiacov po Westerne Digital najprv priznali porušenie ochrany údajov, stále to vyšetrujú.

Je ťažké presne povedať, koľko spoločností malo únik údajov. Poznám jednu veľkú súkromnú spoločnosť, ktorá bola napadnutá ransomvérom. Majitelia odmietli rokovať a neplatili. To znamenalo namiesto toho stratu e-mailov a dátových súborov. Rozhodli sa prestavať všetko z neinfikovaných záloh a preinštalovať softvér. Vyskytli sa značné prestoje a strata produktivity. Táto udalosť sa nikdy nedostala do médií. Táto spoločnosť mala šťastie, pretože 66% malé a stredné spoločnosti, ktoré sú napadnuté ransomvérom, skončia do 6 mesiacov.

• 30,000 XNUMX webových stránok Nabúral denne
• Sú to 4 milióny súborov ukradnutý každý deň
• Bolo to 22 miliárd záznamov porušila v 2021

Ak ste niekedy obchodovali alebo používali služby Capital One, Marriott, Equifax, Target alebo Uber, je možné, že vaše heslo bolo prezradené. Každá z týchto veľkých spoločností utrpela významné porušenie údajov.

• Capital One: Hacker získal prístup k 100 miliónom zákazníkov a žiadateľov tým, že využil zraniteľnosť v cloudovej infraštruktúre spoločnosti.
• Marriott: Porušenie údajov odhalilo informácie o 500 miliónoch zákazníkov (toto porušenie bolo nezistené počas 4 rokov).
• Equifax: Boli odhalené osobné informácie v cloude o 147 miliónoch zákazníkov.
• Cieľ: Kyberzločinci získali prístup k 40 miliónom čísel kreditných kariet.
• Uber: Hackeri kompromitovali notebook vývojára a získali prístup k 57 miliónom používateľov a 600,000 XNUMX ovládačom.
• LastPass^[1]: Hackeri ukradli 33 miliónov údajov z trezorov zákazníkov pri porušení cloudového úložiska pre túto spoločnosť spravujúcu heslá. Útočník získal prístup ku cloudovému úložisku Lastpass pomocou „prístupového kľúča cloudového úložiska a dešifrovacích kľúčov duálneho úložiska“, ktoré boli ukradnuté z jeho vývojárskeho prostredia.

Na tejto webovej stránke môžete skontrolovať, či ste boli vystavení porušeniu ochrany údajov: bol som pwned? Zadajte svoju e-mailovú adresu a zobrazí sa vám, v koľkých porušeniach ochrany údajov bola e-mailová adresa nájdená. Napríklad som zadal jednu zo svojich osobných e-mailových adries a zistil som, že bola súčasťou 25 rôznych porušení ochrany údajov vrátane Evite , Dropbox, Adobe, LinkedIn a Twitter.

Prekazenie nechcených nápadníkov

Západ to nikdy verejne neuzná Digital presne toho, čo sa stalo. Incident ilustruje dve veci: údaje v cloude sú len také bezpečné, ako sú bezpečné ich správcovia a držitelia kľúčov musia byť obzvlášť opatrní. Aby som parafrázoval princíp Petra Parkera, s koreňovým prístupom prichádza veľká zodpovednosť.

Aby sme boli presnejší, používateľ root a globálny správca nie sú úplne rovnakí. Obaja majú veľkú moc, ale mali by to byť samostatné účty. Používateľ root vlastní a má prístup k firemnému cloudovému účtu na najnižšej úrovni. Tento účet by teda mohol vymazať všetky údaje, virtuálne počítače, informácie o zákazníkoch – všetko, čo firma zabezpečila v cloude. V AWS existujú iba 10 úlohy, vrátane nastavenia a zatvorenia účtu AWS, ktoré skutočne vyžadujú prístup root.

Správcovské účty by mali byť vytvorené na vykonávanie administratívnych úloh (duh). Zvyčajne existuje viacero správcovských účtov, ktoré sú zvyčajne založené na osobe, na rozdiel od jedného root účtu. Keďže účty správcu sú viazané na jednotlivca, môžete jednoducho sledovať, kto vykonal aké zmeny v prostredí.

Najmenej privilégium pre maximálnu bezpečnosť

Prieskum narušenia údajov skúmal vplyv 28 faktorov na závažnosť narušenia údajov. Použitie zabezpečenia AI, prístup DevSecOps, školenia zamestnancov, správa identity a prístupu, MFA, bezpečnostná analytika, to všetko malo pozitívny vplyv na zníženie priemernej straty v dolároch pri incidente. Zlyhania dodržiavania predpisov, zložitosť bezpečnostného systému, nedostatok bezpečnostných zručností a migrácia do cloudu boli faktory, ktoré prispeli k vyššiemu čistému nárastu priemerných nákladov na porušenie údajov.

Pri migrácii do cloudu musíte byť pri ochrane údajov ostražitejší ako kedykoľvek predtým. Tu je niekoľko ďalších spôsobov, ako znížiť riziko a prevádzkovať bezpečnejšie prostredie od a zabezpečenia stanovisko:

1. Viacfaktorové overenie: vynútiť MFA pre root a všetky účty správcu. Ešte lepšie je použiť fyzické hardvérové ​​MFA zariadenie. Potenciálny hacker by potreboval nielen názov účtu a heslo, ale aj fyzické MFA, ktoré generuje synchronizovaný kód.

2. Výkon v malých číslach: Obmedzte, kto má prístup ku koreňu. Niektorí bezpečnostní experti odporúčajú maximálne 3 používateľov. Pravidelne spravujte prístup používateľov root. Ak nikde inde nevykonávate správu identity a offboarding, urobte to tu. Ak niekto z okruhu dôveryhodnosti opustí organizáciu, zmeňte heslo používateľa root. Obnovte zariadenie MFA.

3. Predvolené oprávnenia účtu: Pri poskytovaní nových používateľských účtov alebo rolí sa uistite, že majú štandardne udelené minimálne privilégiá. Začnite s politikou minimálneho prístupu a potom podľa potreby udeľte ďalšie povolenia. Princíp poskytovania najmenšej bezpečnosti na splnenie úlohy je model, ktorý bude spĺňať bezpečnostné štandardy SOC2. Koncept je taký, že každý používateľ alebo aplikácia by mala mať minimálne zabezpečenie potrebné na vykonávanie požadovanej funkcie. Čím vyššie privilégium je ohrozené, tým väčšie je riziko. Naopak, čím nižšie je privilégium vystavené, tým nižšie je riziko.

4. Oprávnenia auditu: Pravidelne kontrolujte a kontrolujte privilégiá priradené používateľom, rolám a účtom vo vašom cloudovom prostredí. To zaisťuje, že jednotlivci majú na vykonávanie svojich určených úloh len nevyhnutné povolenie.

5. Správa identity a privilégiá just-in-time: Identifikujte a zrušte akékoľvek nadmerné alebo nepoužívané privilégiá, aby ste minimalizovali riziko neoprávneného prístupu. Používateľom poskytnite prístupové práva len vtedy, keď ich požadujú na konkrétnu úlohu alebo na obmedzené obdobie. Tým sa minimalizuje plocha útoku a znižuje sa okno príležitostí pre potenciálne bezpečnostné hrozby.

6. Vložené poverenia: Zakážte pevné kódovanie nešifrovanej autentifikácie (používateľské meno, heslo, prístupové kľúče) v skriptoch, úlohách alebo inom kóde. Namiesto toho sa pozrite do a správca tajomstiev ktoré môžete použiť na programové načítanie poverení.

7. Konfigurácia Infrastructure-as-Code (IaC).: Pri konfigurácii cloudovej infraštruktúry pomocou nástrojov IaC, ako sú AWS CloudFormation alebo Terraform, dodržiavajte osvedčené postupy zabezpečenia. Predvolene neudeľujte verejný prístup a obmedzte prístup k zdrojom len na dôveryhodné siete, používateľov alebo adresy IP. Využite jemné oprávnenia a mechanizmy riadenia prístupu na presadzovanie princípu najmenších privilégií.

8. Protokolovanie akcií: Umožnite komplexné protokolovanie a monitorovanie akcií a udalostí vo vašom cloudovom prostredí. Zachyťte a analyzujte protokoly pre akékoľvek neobvyklé alebo potenciálne škodlivé aktivity. Implementujte robustnú správu protokolov a riešenia správy bezpečnostných informácií a udalostí (SIEM), aby ste mohli rýchlo odhaliť bezpečnostné incidenty a reagovať na ne.

9. Pravidelné hodnotenia zraniteľnosti: Vykonávajte pravidelné hodnotenia zraniteľnosti a penetračné testovanie s cieľom identifikovať slabé stránky zabezpečenia vo vašom cloudovom prostredí. Okamžite opravte a opravte všetky zistené slabé miesta. Majte prehľad o bezpečnostných aktualizáciách a záplatách, ktoré vydal váš poskytovateľ cloudu, a zaistite, aby boli aplikované rýchlo na ochranu pred známymi hrozbami.

10. Vzdelávanie a odborná príprava: Podporovať kultúru povedomia o bezpečnosti a poskytovať zamestnancom pravidelné školenia týkajúce sa dôležitosti zásady najmenších privilégií. Poučte ich o potenciálnych rizikách spojených s nadmernými privilégiami a o osvedčených postupoch, ktoré treba dodržiavať pri prístupe a správe zdrojov v rámci cloudového prostredia.

11. Opravy a aktualizácie: Znížte zraniteľnosti pravidelnou aktualizáciou serverového softvéru. Udržujte svoju cloudovú infraštruktúru a súvisiace aplikácie aktuálne, aby ste sa chránili pred známymi zraniteľnosťami. Poskytovatelia cloudu často vydávajú bezpečnostné záplaty a aktualizácie, takže je dôležité, aby boli aktuálne s ich odporúčaniami.

Verte

Ide o dôveru – poskytujete dôveru len tým vo vašej organizácii, aby splnili úlohy, ktoré musia urobiť, aby svoju prácu vykonali. Bezpečnostní experti odporúčajú Nulová dôvera. Bezpečnostný model Zero Trust je založený na troch kľúčových princípoch:

• Overiť explicitne – použite všetky dostupné dátové body na overenie identity a prístupu používateľa.
• Použite prístup s najnižšími oprávneniami – práve včas a dostatočne zabezpečený.
• Predpokladajme porušenie – všetko zašifrujte, použite proaktívnu analýzu a zaveďte núdzovú reakciu.

Ako spotrebiteľ cloudu a cloudových služieb tiež záleží na dôvere. Musíte si položiť otázku: „Dôverujem svojmu predajcovi, že ukladá moje vzácne údaje v cloude? Dôvera v tomto prípade znamená, že sa spoliehate na túto spoločnosť alebo jej podobnú spoločnosť pri riadení bezpečnosti, ako sme opísali vyššie. Prípadne, ak odpoviete záporne, ste pripravení vykonávať rovnaké typy činností správy bezpečnosti vo svojom domácom prostredí. veríš si?

Ako spoločnosť poskytujúca služby v cloude vám zákazníci dôverujú, že ochránite svoje údaje vo vašej cloudovej infraštruktúre. Je to neustály proces. Zostaňte informovaní o vznikajúcich hrozbách, prispôsobte tomu svoje bezpečnostné opatrenia a spolupracujte so skúsenými odborníkmi alebo bezpečnostnými konzultantmi, aby ste svojmu podniku zabezpečili maximálnu ochranu v neustále sa vyvíjajúcom cloudovom prostredí.

1. https://www.bleepingcomputer.com/news/security/lastpass-hackers-stole-customer-vault-data-in-cloud-storage-breach/ ↑