Pinag-uusapan natin ang tungkol sa seguridad sa cloud

Over Exposure

Let's put it this way, ano ang inaalala mong ilantad? Ano ang iyong pinakamahalagang pag-aari? Ang iyong Social Security Number? Ang impormasyon ng iyong bank account? Mga pribadong dokumento, o mga litrato? Ang iyong crypto seed phrase? Kung namamahala ka ng isang kumpanya, o responsable para sa pag-iingat ng data, maaari kang mag-alala tungkol sa parehong mga uri ng impormasyon na nakompromiso, ngunit sa abroaday sukat. Pinagkatiwalaan ka ng iyong mga customer ng proteksyon ng kanilang data.

Bilang mga consumer, pinapahalagahan namin ang seguridad ng aming data. Mas at mas madalas sa mga araw na ito na ang data ay naka-imbak sa cloud. Ang ilang mga vendor ay nag-aalok ng mga serbisyo na nagbibigay-daan sa mga customer na mag-backup ng data mula sa kanilang mga lokal na computer patungo sa cloud. Isipin ito bilang isang virtual hard drive sa kalangitan. Ito ay ina-advertise bilang isang ligtas at maginhawang paraan upang maprotektahan ang iyong data. Maginhawa, oo. Maaari mong mabawi ang isang file na hindi mo sinasadyang natanggal. Maaari mong ibalik ang isang buong hard drive na ang data ay nasira.

Ngunit ligtas ba ito? Bibigyan ka ng lock at susi. Ang susi ay, kadalasan, isang username at password. Ito ay naka-encrypt at alam mo lamang. Kaya naman inirerekomenda ng mga eksperto sa seguridad na panatilihing secure ang iyong password. Kung may nakakuha ng access sa iyong password, mayroon silang virtual key sa iyong virtual na bahay.

Alam mo lahat ng ito. Ang iyong password sa backup na serbisyo sa cloud ay 16 na character ang haba, naglalaman ng malalaking titik at maliliit na titik, mga numero at ilang espesyal na character. Pinapalitan mo ito tuwing anim na buwan dahil alam mong nagpapahirap ito sa hacker. Ito ay naiiba sa iyong iba pang mga password – hindi mo ginagamit ang parehong password para sa maraming mga site. Ano ang maaaring magkamali?

Ang ilang mga kumpanya ay nag-aalok ng kung ano ang kanilang branded bilang isang "Personal na Cloud." Kanluranin Digital ay isa sa mga kumpanyang iyon na nagbibigay ng madaling paraan upang i-backup ang iyong data sa iyong personal na espasyo sa isang cloud. Ito ay naka-network na storage na available sa internet. Nakasaksak ito sa iyong Wi-Fi router para ma-access mo ito kahit saan sa loob ng iyong network. Maginhawa, dahil nakakonekta din ito sa internet, maa-access mo ang iyong personal na data mula sa kahit saan sa internet. Sa kaginhawahan ay may panganib.

Isang Posisyon na Nakakompromiso

Mas maaga sa taong ito, ang mga hacker ay pumasok sa Western Digital's system at nakapag-download ng humigit-kumulang 10 Tb ng data. Pagkatapos ay hinawakan ng mga black mailers ang data para sa ransom at sinubukang makipag-ayos sa isang deal sa hilaga ng US $10,000,000 para sa ligtas na pagbabalik ng data. Ang data ay parang langis. O baka ang ginto ay isang mas mahusay na pagkakatulad. Ang isa sa mga hacker ay nagsalita sa kondisyon na hindi nagpapakilala. Ha! TechCrunch ininterbyu siya habang nasa proseso siya ng business deal na ito. Ang kawili-wili ay ang data na nakompromiso ay kasama ang Western Digitalsertipiko ng pagpirma ng code. Ito ang teknolohikal na katumbas ng isang retina scan. Ang sertipiko ay inilaan upang positibong makilala ang may-ari o maydala. Sa virtual retina scan na ito, walang password ang kailangan para sa pag-access sa "secured" na data. Sa madaling salita, sa pamamagitan ng sertipiko na ito ang negosyanteng itim na sumbrero ay maaaring maglakad mismo sa harap ng pintuan ng digital palasyo.

Kanluranin Digital tumangging magkomento bilang tugon sa mga sinasabi ng hacker na nasa network pa rin sila ng WD. Ang hindi pinangalanang hacker ay nagpahayag ng pagkabigo na ang mga kinatawan sa Western Digital hindi sumasagot sa kanyang mga tawag. Opisyal, sa isang pahayag, Kanluranin Digital inihayag na, "Batay sa pagsisiyasat hanggang sa kasalukuyan, naniniwala ang Kumpanya na ang hindi awtorisadong partido ay nakakuha ng ilang partikular na data mula sa mga system nito at nagsusumikap na maunawaan ang kalikasan at saklaw ng data na iyon." Kaya, Western Digital ay ina, ngunit ang hacker ay daldal. Kung paano nila ito ginawa, inilalarawan ng hacker kung paano nila pinagsamantalahan ang mga kilalang kahinaan at nakakuha ng access sa data sa cloud bilang isang global administrator.

Ang isang pandaigdigang administrator, ayon sa likas na tungkulin, ay may access sa lahat. Hindi niya kailangan ang iyong password. Nasa kanya ang master key.

Kanluranin Digital ay Hindi Nag-iisa

A pagsisiyasat noong nakaraang taon ay natagpuan na 83% ng mga kumpanyang sinuri ay mayroon higit sa isa data breach, 45% nito ay cloud-based. Ang karaniwan ang halaga ng data breach sa United States ay US $9.44 milyon. Hinati-hati ang mga gastos sa apat na kategorya ng gastos — nawalang negosyo, pagtuklas at pagdami, pag-abiso at pagtugon pagkatapos ng paglabag. (Hindi ako sigurado kung anong kategorya ang ransom ng data. Hindi malinaw kung nagbayad ng ransom demand ang sinuman sa mga respondent.) Ang average na oras na kailangan ng isang organisasyon upang matukoy at tumugon sa isang paglabag sa data ay humigit-kumulang 9 na buwan. Ito ay hindi isang sorpresa, pagkatapos, na ilang buwan pagkatapos ng Western Digital unang nakilala ang isang paglabag sa data, nag-iimbestiga pa rin sila.

Mahirap sabihin nang eksakto kung gaano karaming mga kumpanya ang nagkaroon ng mga paglabag sa data. May kilala akong isang malaking pribadong kumpanya na inatake ng ransomware. Tumanggi ang mga may-ari na makipag-ayos at hindi nagbabayad. Ibig sabihin, sa halip, nawala ang mga email at data file. Pinili nilang itayo muli ang lahat mula sa hindi na-infect na mga backup at muling i-install ang software. Nagkaroon ng makabuluhang down-time at nawalan ng produktibidad. Ang kaganapang ito ay hindi kailanman sa media. Maswerte ang kumpanyang iyon dahil 66% ng maliliit hanggang katamtamang laki ng mga kumpanya na inaatake ng ransomware ay mawawalan ng negosyo sa loob ng 6 na buwan.

• 30,000 mga website ay hack araw-araw
• 4 milyong mga file ay ninakaw araw-araw
• 22 bilyon ang mga rekord nilabag sa 2021

Kung nakipagnegosyo ka na sa, o gumamit ng mga serbisyo ng Capital One, Marriott, Equifax, Target o Uber, posibleng nakompromiso ang iyong password. Ang bawat isa sa mga pangunahing kumpanyang ito ay nagdusa ng isang makabuluhang paglabag sa data.

• Capital One: Ang isang hacker ay nakakuha ng access sa 100 milyong mga customer at mga aplikante sa pamamagitan ng pagsasamantala sa isang kahinaan sa cloud infrastructure ng kumpanya.
• Marriott: Isang paglabag sa data ang naglantad ng impormasyon sa 500 milyong customer (ang paglabag na ito ay hindi natukoy sa loob ng 4 na taon).
• Equifax: Nalantad ang personal na impormasyon sa cloud sa 147 milyong customer.
• Target: Na-access ng mga cybercriminal ang 40 milyong numero ng credit card.
• Uber: Nakompromiso ng mga hacker ang laptop ng developer at nakakuha ng access sa 57 milyong user at 600,000 driver.
• LastPass^[1]: Ninakaw ng mga hacker ang 33 milyong data ng vault ng mga customer sa isang paglabag sa cloud storage para sa kumpanyang ito ng tagapamahala ng password. Nakuha ng attacker ang access sa cloud storage ng Lastpass gamit ang "cloud storage access key at dual storage container decryption key" na ninakaw mula sa developer environment nito.

Maaari mong suriin upang makita kung nalantad ka sa isang paglabag sa data sa website na ito: Mayroon akong pwned? I-type ang iyong email address at ipapakita nito sa iyo kung gaano karaming mga paglabag sa data ang nakitaan ng email address. Halimbawa, nag-type ako sa isa sa aking mga personal na email address at nalaman kong naging bahagi ito ng 25 iba't ibang mga paglabag sa data, kabilang ang Evite , Dropbox, Adobe, LinkedIn at Twitter.

Pinipigilan ang mga Hindi Gustong Manliligaw

Maaaring hindi kailanman magkakaroon ng pampublikong pagkilala ng Kanluranin Digital sa eksaktong nangyari. Ang insidente ay naglalarawan ng dalawang bagay: ang data sa cloud ay kasing-secure lamang ng mga tagapag-ingat nito at ang mga tagapag-ingat ng mga susi ay kailangang mag-ingat lalo na. Upang i-paraphrase ang Prinsipyo ng Peter Parker, na may root access ay may malaking responsibilidad.

Upang maging mas tumpak, ang isang root user at isang global administrator ay hindi eksaktong pareho. Parehong may malaking kapangyarihan ngunit dapat magkahiwalay na mga account. Ang root user ay nagmamay-ari at may access sa corporate cloud account sa pinakamababang antas. Dahil dito, maaaring tanggalin ng account na ito ang lahat ng data, VM, impormasyon ng customer — lahat ng na-secure ng negosyo sa cloud. Sa AWS, meron lang Mga gawain ng 10, kabilang ang pag-set up at pagsasara ng iyong AWS account, na talagang nangangailangan ng root access.

Dapat gumawa ng mga account ng administrator upang magsagawa ng mga gawaing pang-administratibo (duh). Kadalasan mayroong maraming Administrator account na karaniwang nakabatay sa tao, hindi katulad ng iisang root account. Dahil ang mga Administrator account ay nakatali sa isang indibidwal, madali mong masusubaybayan kung sino ang gumawa ng mga pagbabago sa kapaligiran.

Pinakamababang Pribilehiyo para sa Pinakamataas na Seguridad

Pinag-aralan ng survey ng data breach ang epekto ng 28 salik sa kalubhaan ng data breach. Ang paggamit ng seguridad ng AI, isang diskarte sa DevSecOps, pagsasanay sa empleyado, pamamahala ng pagkakakilanlan at pag-access, MFA, analytics ng seguridad lahat ay may positibong epekto sa pagbabawas ng average na halaga ng dolyar na nawala sa isang insidente. Samantalang, ang mga pagkabigo sa pagsunod, pagiging kumplikado ng sistema ng seguridad, kakulangan sa mga kasanayan sa seguridad, at paglilipat ng ulap ay mga salik na nag-ambag sa mas mataas na netong pagtaas sa average na halaga ng isang paglabag sa data.

Habang lumilipat ka sa cloud, kailangan mong maging mas mapagbantay kaysa dati sa pagprotekta sa iyong data. Narito ang ilang karagdagang paraan upang bawasan ang iyong panganib at magpatakbo ng mas ligtas na kapaligiran mula sa a katiwasayan pananaw:

1. Muli-factor Authentication: ipatupad ang MFA para sa root at lahat ng Administrator account. Mas mabuti pa, gumamit ng pisikal na hardware MFA device. Ang isang potensyal na hacker ay mangangailangan hindi lamang ang pangalan ng account at password, kundi pati na rin ang pisikal na MFA na bumubuo ng isang naka-synchronize na code.

2. Power sa maliit na bilang: Limitahan kung sino ang may access sa ugat. Iminumungkahi ng ilang eksperto sa seguridad na hindi hihigit sa 3 user. Masigasig na pamahalaan ang pag-access ng root user. Kung nagsasagawa ka ng pamamahala ng pagkakakilanlan at wala sa ibang lugar, gawin ito dito. Kung ang isa sa circle of trust ay umalis sa organisasyon, baguhin ang root password. I-recover ang MFA device.

3. Default na Mga Pribilehiyo ng Account: Kapag nagbibigay ng mga bagong user account o tungkulin, tiyaking bibigyan sila ng kaunting mga pribilehiyo bilang default. Magsimula sa kaunting patakaran sa pag-access at pagkatapos ay magbigay ng mga karagdagang pahintulot kung kinakailangan. Ang prinsipyo ng pagbibigay ng pinakamababang seguridad upang magawa ang isang gawain ay isang modelo na papasa sa mga pamantayan sa pagsunod sa seguridad ng SOC2. Ang konsepto ay ang sinumang user o application ay dapat magkaroon ng pinakamababang seguridad na kinakailangan upang maisagawa ang kinakailangang function. Kung mas mataas ang pribilehiyong nakompromiso, mas malaki ang panganib. Sa kabaligtaran, mas mababa ang nakalantad na pribilehiyo, mas mababa ang panganib.

4. Mga Pribilehiyo sa Pag-audit: Regular na i-audit at suriin ang mga pribilehiyong itinalaga sa mga user, tungkulin, at account sa loob ng iyong cloud environment. Tinitiyak nito na ang mga indibidwal ay mayroon lamang ng kinakailangang pahintulot upang maisagawa ang kanilang mga itinalagang gawain.

5. Pamamahala ng Pagkakakilanlan at Mga Pribilehiyo ng Just-in-time: Tukuyin at bawiin ang anumang labis o hindi nagamit na mga pribilehiyo upang mabawasan ang panganib ng hindi awtorisadong pag-access. Magbigay lamang ng mga karapatan sa pag-access sa mga user kapag kailangan nila ang mga ito para sa isang partikular na gawain o isang limitadong panahon. Pinaliit nito ang pag-atake sa ibabaw at binabawasan ang window ng pagkakataon para sa mga potensyal na banta sa seguridad.

6. Mga naka-embed na kredensyal: Ipagbawal ang hard-coding ng hindi naka-encrypt na pagpapatotoo (username, password, mga access key) sa mga script, trabaho, o iba pang code. Sa halip ay tumingin sa isang tagapamahala ng sikreto na magagamit mo sa programmatically retrieve ang mga kredensyal.

7. Infrastructure-as-Code (IaC) Configuration: Sumunod sa pinakamahuhusay na kagawian sa seguridad kapag kino-configure ang iyong imprastraktura ng cloud gamit ang mga tool ng IaC tulad ng AWS CloudFormation o Terraform. Iwasan ang pagbibigay ng pampublikong access bilang default at paghigpitan ang pag-access sa mga mapagkukunan sa mga pinagkakatiwalaang network, user, o IP address lamang. Gumamit ng mga pinong pahintulot at mga mekanismo ng kontrol sa pag-access upang ipatupad ang prinsipyo ng hindi bababa sa pribilehiyo.

8. Pag-log ng mga Aksyon: Paganahin ang komprehensibong pag-log at pagsubaybay ng mga aksyon at kaganapan sa loob ng iyong cloud environment. Kunin at suriin ang mga log para sa anumang hindi pangkaraniwang o potensyal na nakakahamak na aktibidad. Magpatupad ng mahusay na pamamahala ng log at impormasyon sa seguridad at pamamahala ng kaganapan (SIEM) na solusyon upang matukoy at tumugon kaagad sa mga insidente ng seguridad.

9. Mga Regular na Pagsusuri sa Kahinaan: Magsagawa ng mga regular na pagsusuri sa kahinaan at pagsubok sa pagtagos upang matukoy ang mga kahinaan sa seguridad sa iyong cloud environment. I-patch at ayusin kaagad ang anumang natukoy na mga kahinaan. Subaybayan ang mga update sa seguridad at mga patch na inilabas ng iyong cloud provider at tiyaking inilapat kaagad ang mga ito upang maprotektahan laban sa mga kilalang banta.

10. Edukasyon at Pagsasanay: Isulong ang isang kultura ng kamalayan sa seguridad at magbigay ng regular na pagsasanay sa mga empleyado tungkol sa kahalagahan ng prinsipyo ng hindi bababa sa pribilehiyo. Turuan sila tungkol sa mga potensyal na panganib na nauugnay sa labis na mga pribilehiyo at ang mga pinakamahusay na kagawian na dapat sundin kapag nag-a-access at namamahala ng mga mapagkukunan sa loob ng cloud environment.

11. Mga patch at Update: Bawasan ang mga kahinaan sa pamamagitan ng regular na pag-update ng lahat ng software ng server. Panatilihing napapanahon ang iyong imprastraktura sa cloud at mga nauugnay na application upang maprotektahan laban sa mga kilalang kahinaan. Ang mga tagapagbigay ng cloud ay madalas na naglalabas ng mga patch sa seguridad at mga update, kaya ang pananatiling napapanahon sa kanilang mga rekomendasyon ay napakahalaga.

Pagkatiwalaan

It comes down to trust – pagbibigay lamang sa mga nasa iyong organisasyon ng tiwala para magawa ang mga gawaing kailangan nilang gawin para magawa ang kanilang trabaho. Inirerekomenda ng mga eksperto sa seguridad ZeroTrust. Ang modelo ng seguridad ng Zero Trust ay batay sa tatlong pangunahing prinsipyo:

• I-verify nang tahasan – gamitin ang lahat ng available na data point para mapatunayan ang pagkakakilanlan at pag-access ng isang user.
• Gumamit ng hindi gaanong pribilehiyong pag-access – sa tamang oras at sapat na seguridad.
• Ipagpalagay na may paglabag – i-encrypt ang lahat, gumamit ng proactive analytics at magkaroon ng emergency na pagtugon sa lugar.

Bilang isang consumer ng cloud at cloud services, bumababa rin ito sa pagtitiwala. Kailangan mong tanungin ang iyong sarili, "nagtitiwala ba ako sa aking vendor na iimbak ang aking mahalagang data sa cloud?" Ang pagtitiwala, sa kasong ito, ay nangangahulugan na umaasa ka sa kumpanyang iyon, o sa isang katulad nito, upang pamahalaan ang seguridad tulad ng inilarawan namin sa itaas. Bilang kahalili, kung sasagot ka sa negatibo, handa ka bang gawin ang parehong mga uri ng aktibidad sa pamamahala ng seguridad sa iyong kapaligiran sa tahanan. May tiwala ka ba sa sarili mo?

Bilang isang kumpanyang nagbibigay ng mga serbisyo sa cloud, nagtiwala ang mga customer sa iyo para pangalagaan ang kanilang data sa iyong imprastraktura ng cloud. Ito ay isang patuloy na proseso. Manatiling may alam tungkol sa mga umuusbong na banta, iakma ang iyong mga hakbang sa seguridad nang naaayon, at makipagtulungan sa mga karanasang propesyonal o consultant sa seguridad upang matiyak ang sukdulang proteksyon para sa iyong negosyo sa patuloy na umuusbong na cloud landscape.

1. https://www.bleepingcomputer.com/news/security/lastpass-hackers-stole-customer-vault-data-in-cloud-storage-breach/ ↑