Govorimo o varnosti v oblaku

Prekomerna izpostavljenost

Recimo takole, kaj vas skrbi razkrivanje? Katera so vaša najdragocenejša sredstva? Vaša številka socialnega zavarovanja? Podatki o vašem bančnem računu? Zasebni dokumenti ali fotografije? Vaša fraza kripto semena? Če upravljate podjetje ali ste odgovorni za varovanje podatkov, vas lahko skrbi, da bodo ogrožene iste vrste informacij, vendar naroader lestvica. Vaše stranke so vam zaupale varstvo svojih podatkov.

Kot potrošniki jemljemo varnost naših podatkov kot samoumevno. Dandanes se podatki vse pogosteje shranjujejo v oblaku. Številni ponudniki ponujajo storitve, ki strankam omogočajo varnostno kopiranje podatkov iz njihovih lokalnih računalnikov v oblak. Zamislite si ga kot virtualni trdi disk na nebu. To se oglašuje kot varen in priročen način za zaščito vaših podatkov. Priročno, ja. Datoteko, ki ste jo pomotoma izbrisali, lahko obnovite. Obnovite lahko celoten trdi disk, katerega podatki so bili poškodovani.

Toda ali je varno? Zagotovljena vam je ključavnica in ključ. Ključ je običajno uporabniško ime in geslo. Je šifriran in znan samo vam. Zato varnostni strokovnjaki priporočajo, da ohranite svoje geslo varno. Če nekdo pridobi dostop do vašega gesla, ima virtualni ključ vaše virtualne hiše.

Ti vse to veš. Vaše geslo za rezervno storitev v oblaku je dolgo 16 znakov, vsebuje velike in male črke, številke in nekaj posebnih znakov. Zamenjate ga vsakih šest mesecev, ker veste, da je zaradi tega hekerju težje. Razlikuje se od vaših drugih gesel – istega gesla ne uporabljate za več spletnih mest. Kaj bi lahko šlo narobe?

Nekatera podjetja ponujajo tisto, kar so označila kot »osebni oblak«. zahodni Digital je eno tistih podjetij, ki zagotavljajo preprost način varnostnega kopiranja podatkov v vaš osebni prostor v oblaku. To je omrežna shramba, ki je na voljo prek interneta. Priključi se na vaš Wi-Fi usmerjevalnik, tako da lahko do njega dostopate od koder koli v vašem omrežju. Priročno, ker je povezan tudi z internetom, lahko dostopate do svojih osebnih podatkov od koder koli na internetu. Z udobjem pride tveganje.

Kompromisno stališče

V začetku tega leta so hekerji vdrli v Western Digitalsisteme in jim je uspelo prenesti približno 10 Tb podatkov. Črnopoštarji so nato zadržali podatke za odkupnino in se skušali dogovoriti za dogovor v višini 10,000,000 ameriških dolarjev za varno vrnitev podatkov. Podatki so kot olje. Ali pa je morda zlato boljša analogija. Eden od hekerjev je spregovoril pod pogojem anonimnosti. ha! TechCrunch opravil razgovor z njim, medtem ko je bil v procesu tega poslovnega dogovora. Zanimivo je, da so podatki, ki so bili ogroženi, vključevali zahodne Digitalpotrdilo za podpisovanje kode. To je tehnološki ekvivalent skeniranja mrežnice. Certifikat je namenjen pozitivni identifikaciji lastnika oziroma imetnika. Pri tem virtualnem skeniranju mrežnice za dostop do "zavarovanih" podatkov ni potrebno geslo. Z drugimi besedami, s tem potrdilom lahko ta črnoglavi poslovnež vstopi kar na vhodna vrata digital palača.

Zahodna Digital je zavrnil komentar v odgovor na trditve hekerja, da so še vedno v omrežju WD. Neimenovani heker je izrazil razočaranje, da predstavniki pri Western Digital ne bi vračal njegovih klicev. Uradno, v a sporočilo za javnost, Zahodnjaška Digital objavil, da "na podlagi dosedanje preiskave podjetje meni, da je nepooblaščena oseba pridobila določene podatke iz njegovih sistemov in si prizadeva razumeti naravo in obseg teh podatkov." Torej, zahodni Digital je mama, a heker blebeta. Glede tega, kako jim je to uspelo, heker opisuje, kako so izkoristili znane ranljivosti in lahko kot globalni skrbnik pridobili dostop do podatkov v oblaku.

Globalni skrbnik ima po naravi vloge dostop do vsega. Ne potrebuje tvojega gesla. Ima glavni ključ.

Zahodna Digital ni sam

A Raziskava lani ugotovila, da je imelo 83 % anketiranih podjetij več kot en kršitev podatkov, od tega 45 % v oblaku. The povprečno stroški kršitve podatkov v Združenih državah so znašali 9.44 milijona USD. Stroški so bili razdeljeni v štiri kategorije stroškov – izgubljen posel, odkrivanje in stopnjevanje, obvestilo in odziv po kršitvi. (Nisem prepričan, v katero kategorijo sodi odkupnina podatkov. Ni jasno, ali je kdo od anketirancev plačal zahteve po odkupnini.) Povprečni čas, ki ga potrebuje organizacija, da prepozna kršitev podatkov in se odzove nanjo, je približno 9 mesecev. Zato ni presenetljivo, da nekaj mesecev po zahodu Digital prvi priznal kršitev podatkov, še preiskujejo.

Težko je natančno reči, koliko podjetij je imelo kršitve podatkov. Poznam eno veliko zasebno podjetje, ki ga je napadla izsiljevalska programska oprema. Lastniki se niso hoteli pogajati in niso plačali. To je namesto tega pomenilo izgubljeno e-pošto in podatkovne datoteke. Odločili so se, da bodo obnovili vse iz neokuženih varnostnih kopij in znova namestili programsko opremo. Prišlo je do znatnih izpadov in izgube produktivnosti. Ta dogodek ni bil nikoli v medijih. To podjetje je imelo srečo, ker 66% malih do srednje velikih podjetij, ki jih napade izsiljevalska programska oprema, preneha poslovati v 6 mesecih.

• 30,000 spletnih mest je kramp vsak dan
• 4 milijone datotek je ukradeno vsak dan
• 22 milijard zapisov je bilo prekršil v 2021

Če ste kdaj poslovali ali uporabljali storitve Capital One, Marriott, Equifax, Target ali Uber, je možno, da je bilo vaše geslo ogroženo. Vsako od teh večjih podjetij je utrpelo znatno kršitev podatkov.

• Capital One: Heker je pridobil dostop do 100 milijonov strank in prosilcev z izkoriščanjem ranljivosti v infrastrukturi oblaka podjetja.
• Marriott: Kršitev podatkov je razkrila informacije o 500 milijonih strank (ta kršitev ni bila odkrita 4 leta).
• Equifax: Razkriti so bili osebni podatki v oblaku o 147 milijonih strank.
• Tarča: Kibernetski kriminalci so dostopali do 40 milijonov številk kreditnih kartic.
• Uber: Hekerji so ogrozili prenosni računalnik razvijalca in pridobili dostop do 57 milijonov uporabnikov in 600,000 voznikov.
• LastPass^[1]: Hekerji so ukradli podatke iz trezorja 33 milijonov strank pri vdoru v shrambo v oblaku za to podjetje za upravljanje gesel. Napadalec je pridobil dostop do shrambe v oblaku Lastpass s pomočjo "ključa za dostop do shrambe v oblaku in ključev za dešifriranje dvojnega vsebnika za shranjevanje", ukradenega iz njegovega razvijalskega okolja.

Na tem spletnem mestu lahko preverite, ali ste bili izpostavljeni kršitvi podatkov: Ali sem bil panjiran? Vnesite svoj e-poštni naslov in pokazalo se vam bo, v koliko vdorih podatkov je bil najden e-poštni naslov. Na primer, vtipkal sem enega od svojih osebnih e-poštnih naslovov in ugotovil, da je bil del 25 različnih vdorov podatkov, vključno z Evite , Dropbox, Adobe, LinkedIn in Twitter.

Preprečevanje nezaželenih snubcev

Zahod morda nikoli ne bo javnega priznanja Digital točno tega, kar se je zgodilo. Incident sicer ponazarja dvoje: podatki v oblaku so varni le toliko, kolikor so varni njihovi skrbniki, skrbniki ključev pa morajo biti še posebej previdni. Če parafraziramo načelo Petra Parkerja, korenski dostop prinaša veliko odgovornost.

Natančneje, korenski uporabnik in globalni skrbnik nista povsem enaka. Oba imata veliko moči, vendar bi morala imeti ločena računa. Uporabnik root je lastnik in ima dostop do korporativnega računa v oblaku na najnižji ravni. Kot tak bi lahko ta račun izbrisal vse podatke, VM-je, informacije o strankah – vse, kar ima podjetje zavarovano v oblaku. V AWS so le Naloge 10, vključno z nastavitvijo in zapiranjem računa AWS, ki resnično zahtevajo korenski dostop.

Skrbniški računi bi morali biti ustvarjeni za opravljanje skrbniških nalog (duh). Običajno obstaja več skrbniških računov, ki običajno temeljijo na osebah, za razliko od enega korenskega računa. Ker so skrbniški računi vezani na posameznika, lahko preprosto spremljate, kdo je naredil kakšne spremembe v okolju.

Najmanjši privilegij za največjo varnost

Raziskava o kršitvi podatkov je proučevala vpliv 28 dejavnikov na resnost kršitve podatkov. Uporaba varnosti z umetno inteligenco, pristop DevSecOps, usposabljanje zaposlenih, upravljanje identitete in dostopa, MFA, varnostna analitika so imeli pozitiven učinek na zmanjšanje povprečnega zneska dolarjev, izgubljenega v incidentu. Medtem ko so bili neskladnost, zapletenost varnostnega sistema, pomanjkanje varnostnih veščin in migracija v oblak dejavniki, ki so prispevali k večjemu neto povečanju povprečnih stroškov kršitve podatkov.

Ko se selite v oblak, morate biti pri zaščiti svojih podatkov bolj pazljivi kot kdaj koli prej. Tukaj je nekaj dodatnih načinov za zmanjšanje tveganja in ustvarjanje varnejšega okolja varnost stališče:

1. Večfaktorska avtentikacija: uveljavi MFA za root in vse skrbniške račune. Še bolje je, če uporabite fizično strojno napravo MFA. Potencialni heker ne bi potreboval le imena računa in gesla, ampak tudi fizični MFA, ki ustvari sinhronizirano kodo.

2. Moč v majhnih količinah: Omejite, kdo ima dostop do root. Nekateri varnostni strokovnjaki predlagajo največ 3 uporabnike. Vztrajno upravljajte dostop korenskih uporabnikov. Če izvajate upravljanje identitete in off-boarding nikjer drugje, naredite to tukaj. Če nekdo v krogu zaupanja zapusti organizacijo, spremenite korensko geslo. Obnovite napravo MFA.

3. Privzete pravice računa: Pri zagotavljanju novih uporabniških računov ali vlog zagotovite, da so jim privzeto dodeljene minimalne pravice. Začnite s politiko minimalnega dostopa in nato po potrebi podelite dodatna dovoljenja. Načelo zagotavljanja najmanjše varnosti za izpolnitev naloge je model, ki bo prestal standarde varnostne skladnosti SOC2. Koncept je, da mora vsak uporabnik ali aplikacija imeti minimalno varnost, potrebno za izvajanje zahtevane funkcije. Višji kot je ogrožen privilegij, večje je tveganje. Nasprotno pa nižji kot je izpostavljen privilegij, manjše je tveganje.

4. Revizijski privilegiji: Redno preverjajte in pregledujte privilegije, dodeljene uporabnikom, vlogam in računom v vašem okolju v oblaku. To zagotavlja, da imajo posamezniki samo potrebna dovoljenja za opravljanje dodeljenih nalog.

5. Upravljanje identitete in pravočasni privilegiji: Prepoznajte in prekličite vse pretirane ali neuporabljene privilegije, da zmanjšate tveganje nepooblaščenega dostopa. Uporabnikom zagotovite pravice dostopa le, ko jih potrebujejo za določeno nalogo ali omejeno obdobje. To zmanjša površino napada in zmanjša okno priložnosti za morebitne varnostne grožnje.

6. Vdelane poverilnice: Prepovedajte trdo kodiranje nešifrirane avtentikacije (uporabniško ime, geslo, ključi za dostop) v skriptih, opravilih ali drugi kodi. Namesto tega si oglejte a upravitelj skrivnosti ki jih lahko uporabite za programsko pridobivanje poverilnic.

7. Konfiguracija infrastrukture kot kode (IaC).: Upoštevajte najboljše varnostne prakse, ko konfigurirate svojo infrastrukturo v oblaku z orodji IAC, kot sta AWS CloudFormation ali Terraform. Izogibajte se privzetemu dodeljevanju javnega dostopa in omejite dostop do virov samo na zaupanja vredna omrežja, uporabnike ali naslove IP. Uporabite natančna dovoljenja in mehanizme za nadzor dostopa, da uveljavite načelo najmanjših privilegijev.

8. Beleženje dejanj: Omogočite obsežno beleženje in spremljanje dejanj in dogodkov znotraj vašega okolja v oblaku. Zajemite in analizirajte dnevnike za nenavadne ali potencialno zlonamerne dejavnosti. Implementirajte robustno upravljanje dnevnikov ter rešitve za upravljanje varnostnih informacij in dogodkov (SIEM), da takoj odkrijete varnostne incidente in se nanje odzovete.

9. Redne ocene ranljivosti: Izvajajte redne ocene ranljivosti in testiranje penetracije, da prepoznate varnostne pomanjkljivosti v vašem okolju v oblaku. Takoj popravite in odpravite morebitne ugotovljene ranljivosti. Spremljajte varnostne posodobitve in popravke, ki jih izda vaš ponudnik oblaka, in zagotovite, da so takoj uporabljeni za zaščito pred znanimi grožnjami.

10. Izobraževanje in usposabljanje: Spodbujati kulturo varnostne ozaveščenosti in zagotoviti redno usposabljanje zaposlenih glede pomena načela najmanjših privilegijev. Poučite jih o možnih tveganjih, povezanih s pretiranimi privilegiji, in o najboljših praksah, ki jih je treba upoštevati pri dostopanju in upravljanju virov v okolju oblaka.

11. Popravki in posodobitve: Zmanjšajte ranljivosti z rednim posodabljanjem vse strežniške programske opreme. Svojo infrastrukturo v oblaku in povezane aplikacije posodabljajte za zaščito pred znanimi ranljivostmi. Ponudniki oblakov pogosto izdajo varnostne popravke in posodobitve, zato je bistvenega pomena, da ostanete na tekočem z njihovimi priporočili.

Zaupajte

Gre za zaupanje – zagotavljanje zaupanja samo tistim v vaši organizaciji za opravljanje nalog, ki jih morajo opraviti, da opravijo svoje delo. Varnostni strokovnjaki priporočajo Nič zaupanja. Varnostni model Zero Trust temelji na treh ključnih načelih:

• Izrecno preverite – uporabite vse razpoložljive podatkovne točke za potrditev identitete in dostopa uporabnika.
• Uporabite dostop z najmanjšimi pravicami – ravno pravi čas in ravno dovolj varnosti.
• Predpostavite kršitev – šifrirajte vse, uporabite proaktivno analitiko in zagotovite odziv v sili.

Kot potrošnik oblaka in storitev v oblaku je treba zaupati. Vprašati se morate, "ali zaupam svojemu prodajalcu, da bo shranil moje dragocene podatke v oblak?" Zaupanje v tem primeru pomeni, da se zanašate na to ali podobno podjetje za upravljanje varnosti, kot smo opisali zgoraj. Druga možnost je, če odgovorite nikalno, ali ste pripravljeni izvajati enake vrste dejavnosti upravljanja varnosti v domačem okolju. Zaupate vase?

Kot podjetje, ki ponuja storitve v oblaku, so vam stranke zaupale, da boste zaščitili njihove podatke v vaši infrastrukturi v oblaku. To je stalen proces. Bodite obveščeni o nastajajočih grožnjah, ustrezno prilagodite svoje varnostne ukrepe in sodelujte z izkušenimi strokovnjaki ali varnostnimi svetovalci, da zagotovite največjo zaščito za svoje podjetje v nenehno razvijajočem se okolju oblaka.

1. https://www.bleepingcomputer.com/news/security/lastpass-hackers-stole-customer-vault-data-in-cloud-storage-breach/ ↑