Говоримо о безбедности у облаку

Прекомерна изложеност

Рецимо то овако, шта се бринеш око разоткривања? Која је ваша највреднија имовина? Ваш број социјалног осигурања? Подаци о вашем банковном рачуну? Приватни документи или фотографије? Ваша крипто фраза? Ако управљате компанијом или сте одговорни за чување података, можете бринути да ће исте врсте информација бити компромитоване, али на абroadер скала. Ваши клијенти су вам поверили заштиту својих података.

Као потрошачи, сигурност наших података узимамо здраво за готово. Ових дана све чешће се ти подаци чувају у облаку. Бројни добављачи нуде услуге које омогућавају корисницима да праве резервне копије података са својих локалних рачунара у облаку. Замислите то као виртуелни чврсти диск на небу. Ово се оглашава као безбедан и згодан начин заштите ваших података. Погодно, да. Можете опоравити датотеку коју сте случајно избрисали. Можете вратити цео чврсти диск чији су подаци оштећени.

Али да ли је безбедно? Добијате браву и кључ. Кључ је, обично, корисничко име и лозинка. Шифрован је и познат само вама. Због тога стручњаци за безбедност препоручују чување лозинке. Ако неко добије приступ вашој лозинки, има виртуелни кључ ваше виртуелне куће.

Ти знаш све ово. Ваша лозинка за резервну услугу у облаку је дуга 16 знакова, садржи велика и мала слова, бројеве и неколико специјалних знакова. Мењате га сваких шест месеци јер знате да хакеру то отежава. Разликује се од ваших других лозинки – не користите исту лозинку за више локација. Шта би могло поћи по злу?

Неке компаније нуде оно што су означиле као „лични облак“. Вестерн Digital је једна од оних компанија које пружају једноставан начин за прављење резервних копија података у ваш лични простор у облаку. То је мрежно складиште доступно преко интернета. Прикључује се на ваш Ви-Фи рутер тако да можете да му приступите са било ког места у вашој мрежи. Погодно, пошто је такође повезан на интернет, можете приступити својим личним подацима са било ког места на интернету. Уз погодност долази и ризик.

Компромитујућа позиција

Раније ове године, хакери су провалили у Вестерн Digital'с система и успели су да преузму приближно 10 Тб података. Пошиљачи црне поште су тада држали податке за откуп и покушали да преговарају о договору северно од 10,000,000 америчких долара за безбедан повратак података. Подаци су као нафта. Или је злато боља аналогија. Један од хакера је говорио под условом анонимности. Ха! ТецхЦрунцх интервјуисао га док је био у процесу овог посла. Оно што је занимљиво јесте да су подаци који су компромитовани укључивали и западне Digitalсертификат за потписивање кода. Ово је технолошки еквивалент скенирању мрежњаче. Сертификат има за циљ да позитивно идентификује власника или носиоца. Са овим виртуелним скенирањем мрежњаче, није потребна лозинка за приступ „безбедним“ подацима. Другим речима, са овим сертификатом овај бизнисмен са црном капом може да уђе право на улазна врата digital палата.

западни Digital одбио је да коментарише као одговор на тврдње хакера да су још увек у мрежи ВД. Неименовани хакер изразио је разочарење што су представници Вестерна Digital не би узвратио на његове позиве. Званично, у а Саопштење, Вестерн Digital објавио је да „На основу досадашње истраге, Компанија верује да је неовлашћена страна добила одређене податке из њених система и ради на разумевању природе и обима тих података. Дакле, западни Digital је мама, али хакер брбља. Што се тиче начина на који су то урадили, хакер описује како су искористили познате рањивости и успели да добију приступ подацима у облаку као глобални администратор.

Глобални администратор, по природи улоге, има приступ свему. Не треба му твоја лозинка. Он има главни кључ.

западни Digital није сам

A преглед прошле године је утврђено да је 83% анкетираних компанија имало више од једног кршење података, од чега је 45% било засновано на облаку. Тхе srednja vrednost цена повреде података у Сједињеним Државама износила је 9.44 милиона долара. Трошкови су подељени у четири категорије трошкова — изгубљени посао, откривање и ескалација, обавештење и одговор након кршења. (Нисам сигуран у коју категорију спада откупнина података. Није јасно да ли је неко од испитаника платио откупнине.) Просечно време потребно организацији да идентификује и реагује на кршење података је око 9 месеци. Није изненађујуће, дакле, да неколико месеци после вестерна Digital први су признали кршење података, још увек истражују.

Тешко је тачно рећи колико је компанија имало повреде података. Знам једну велику приватну компанију коју је напао рансомваре. Власници су одбили да преговарају и нису платили. То је, уместо тога, значило изгубљене е-поруке и датотеке са подацима. Одлучили су да поново направе све од незаражених резервних копија и поново инсталирају софтвер. Дошло је до значајног застоја и губитка продуктивности. Овај догађај никада није био у медијима. То друштво је имало среће јер 100% мала и средња предузећа која су нападнута рансомвером престају да послују у року од 6 месеци.

• 30,000 сајтова је хакован дневно
• 4 милиона фајлова је украден сваки дан
• 22 милијарде записа било је сломљен у КСНУМКС

Ако сте икада пословали или користили услуге Цапитал Оне, Марриотт, Екуифак, Таргет или Убер, могуће је да је ваша лозинка компромитована. Свака од ових великих компанија претрпела је значајну повреду података.

• Капитал један: Хакер је добио приступ 100 милиона клијената и апликаната тако што је искористио рањивост у инфраструктури облака компаније.
• Марриотт: Кршење података открило је информације о 500 милиона купаца (ова повреда није откривена 4 године).
• Екуифак: Откривени су лични подаци у облаку о 147 милиона клијената.
• Циљ: Сајбер криминалци су приступили 40 милиона бројева кредитних картица.
• Убер: Хакери су компромитовали лаптоп програмера и добили приступ 57 милиона корисника и 600,000 возача.
• ЛастПасс^{[КСНУМКС]}: Хакери су украли податке из трезора 33 милиона клијената у пробоју складишта у облаку за ову компанију за управљање лозинкама. Нападач је добио приступ Ластпасс-овом складишту у облаку користећи „кључ за приступ складишту у облаку и кључеве за дешифровање дуалног контејнера за складиштење“ украдених из његовог развојног окружења.

Можете да проверите да ли сте били изложени кршењу података на овој веб локацији: јесам ли издат? Унесите своју адресу е-поште и она ће вам показати у колико повреда података је пронађена адреса е-поште. На пример, унео сам једну од својих личних адреса е-поште и открио да је била део 25 различитих повреда података, укључујући Евите , Дропбок, Адобе, ЛинкедИн и Твиттер.

Спречавање нежељених удварача

Можда никада неће бити јавног признања од стране Запада Digital тачно шта се догодило. Инцидент илуструје две ствари: подаци у облаку су безбедни онолико колико су безбедни и њихови чувари, а чувари кључева треба да буду посебно пажљиви. Да парафразирам принцип Петера Паркера, са роот приступом долази велика одговорност.

Да будемо прецизнији, роот корисник и глобални администратор нису потпуно исто. Оба имају велику моћ, али би требало да буду одвојени рачуни. Роот корисник поседује и има приступ корпоративном цлоуд налогу на најнижем нивоу. Као такав, овај налог би могао да избрише све податке, ВМ-ове, информације о клијентима — све што је предузеће обезбедило у облаку. У АВС-у постоје само КСНУМКС задаци, укључујући подешавање и затварање вашег АВС налога, који заиста захтевају роот приступ.

Администраторске налоге треба креирати за обављање административних задатака (дух). Обично постоји више администраторских налога који су обично засновани на личности, за разлику од једног роот налога. Пошто су администраторски налози везани за појединца, можете лако да пратите ко је направио које промене у окружењу.

Најмања привилегија за максималну сигурност

Анкета о кршењу података проучавала је утицај 28 фактора на озбиљност повреде података. Употреба АИ безбедности, ДевСецОпс приступа, обука запослених, управљање идентитетом и приступом, МФА, безбедносна аналитика све је имало позитиван утицај на смањење просечног износа у доларима изгубљеног у инциденту. Док су неусклађеност, сложеност безбедносног система, недостатак безбедносних вештина и миграција облака били фактори који су допринели већем нето повећању просечне цене повреде података.

Док прелазите на облак, морате да будете опрезнији него икад у заштити података. Ево неколико додатних начина да смањите ризик и покренете безбедније окружење од а безбедност становиште:

1. Вишефакторска аутентификација: примени МФА за роот и све администраторске налоге. Још боље, користите физички хардверски МФА уређај. Потенцијалном хакеру би били потребни не само име налога и лозинка, већ и физички МФА који генерише синхронизовани код.

2. Снага у малом броју: Ограничите ко има приступ роот-у. Неки стручњаци за безбедност предлажу не више од 3 корисника. Пажљиво управљајте приступом роот корисника. Ако нигде другде не спроводите управљање идентитетом и укрцавање, урадите то овде. Ако неко у кругу поверења напусти организацију, промените роот лозинку. Опоравите МФА уређај.

3. Подразумеване привилегије налога: Када додељујете нове корисничке налоге или улоге, уверите се да су им подразумевано додељене минималне привилегије. Почните са минималном политиком приступа, а затим дајте додатне дозволе по потреби. Принцип пружања најмање сигурности за постизање задатка је модел који ће проћи стандарде усклађености безбедности СОЦ2. Концепт је да сваки корисник или апликација треба да има минималну сигурност неопходну за обављање тражене функције. Што је већа привилегија која је угрожена, то је већи ризик. Насупрот томе, што је мања привилегија изложена, то је мањи ризик.

4. Привилегије ревизије: Редовно ревидирајте и прегледајте привилегије додељене корисницима, улогама и налозима у оквиру вашег окружења у облаку. Ово осигурава да појединци имају само неопходну дозволу за обављање одређених задатака.

5. Управљање идентитетом и привилегије Јуст-ин-тиме: Идентификујте и опозовите све прекомерне или неискоришћене привилегије да бисте смањили ризик од неовлашћеног приступа. Обезбедите права приступа корисницима само када су им потребна за одређени задатак или ограничени период. Ово минимизира површину напада и смањује прилику за потенцијалне безбедносне претње.

6. Уграђени акредитиви: Забраните тврдо кодирање нешифроване аутентификације (корисничко име, лозинка, приступни кључеви) у скриптама, пословима или другом коду. Уместо тога погледајте а тајни менаџер које можете користити за програмско преузимање акредитива.

7. Конфигурација инфраструктуре као кода (ИаЦ).: Придржавајте се најбољих безбедносних пракси када конфигуришете своју инфраструктуру облака користећи ИаЦ алате као што су АВС ЦлоудФорматион или Терраформ. Избегавајте подразумевано доделу јавног приступа и ограничите приступ ресурсима само на поуздане мреже, кориснике или ИП адресе. Користите детаљне дозволе и механизме контроле приступа да бисте применили принцип најмање привилегија.

8. Евидентирање акција: Омогућите свеобухватно евидентирање и надгледање радњи и догађаја у вашем окружењу у облаку. Снимите и анализирајте евиденцију за било какве необичне или потенцијално злонамерне активности. Имплементирајте робусно управљање евиденцијама и безбедносним информацијама и управљањем догађајима (СИЕМ) решења за брзо откривање и реаговање на безбедносне инциденте.

9. Редовне процене рањивости: Вршите редовне процене рањивости и тестирање пенетрације да бисте идентификовали безбедносне слабости у вашем окружењу у облаку. Закрпите и отклоните све идентификоване рањивости одмах. Пратите безбедносне исправке и закрпе које је објавио ваш провајдер у облаку и уверите се да се примењују одмах ради заштите од познатих претњи.

КСНУМКС. Образовање и обука: Промовисати културу свести о безбедности и обезбедити редовну обуку запослених о важности принципа најмање привилегија. Образујте их о потенцијалним ризицима повезаним са прекомерним привилегијама и најбољим праксама које треба следити приликом приступања и управљања ресурсима у оквиру окружења у облаку.

КСНУМКС. Закрпе и ажурирања: Смањите рањивости тако што ћете редовно ажурирати сав серверски софтвер. Одржавајте своју инфраструктуру облака и повезане апликације ажурном да бисте се заштитили од познатих рањивости. Провајдери у облаку често објављују безбедносне закрпе и ажурирања, тако да је од кључне важности да останете у току са њиховим препорукама.

Поверење

Све се своди на поверење – да само онима у вашој организацији пружите поверење да остваре задатке које треба да ураде да би свој посао обавили. Стручњаци за безбедност препоручују Зеро Труст. Безбедносни модел Зеро Труст заснива се на три кључна принципа:

• Експлицитно верификујте – користите све доступне тачке података да бисте потврдили идентитет и приступ корисника.
• Користите приступ са најмањим привилегијама – на време и довољно сигурности.
• Претпоставите кршење – шифрујте све, користите проактивну аналитику и обезбедите хитан одговор.

Као потрошач облака и услуга у облаку, то се такође своди на поверење. Морате да се запитате „да ли верујем свом добављачу да чува моје драгоцене податке у облаку?“ Поверење, у овом случају, значи да се ослањате на ту компанију, или неку сличну, да управља безбедношћу као што смо описали горе. Алтернативно, ако одговорите негативно, да ли сте спремни да обављате исте врсте активности управљања безбедношћу у свом кућном окружењу. Да ли верујете себи?

Као компанија која пружа услуге у облаку, клијенти су вам указали поверење да заштитите своје податке у вашој инфраструктури облака. То је процес који је у току. Будите информисани о новонасталим претњама, прилагодите своје безбедносне мере у складу са тим и сарађујте са искусним професионалцима или безбедносним консултантима да бисте обезбедили највећу заштиту за своје пословање у окружењу облака који се стално развија.

1. https://www.bleepingcomputer.com/news/security/lastpass-hackers-stole-customer-vault-data-in-cloud-storage-breach/ ↑