Ми говоримо про безпеку в хмарі
Надмірна експозиція
Скажімо так, чого ви турбуєтеся про викриття? Які ваші найцінніші активи? Ваш номер соціального страхування? Інформація про ваш банківський рахунок? Приватні документи чи фотографії? Ваша криптопочаткова фраза? Якщо ви керуєте компанією або відповідаєте за збереження даних, ви можете турбуватися про те, що ті самі типи інформації будуть скомпрометовані, алеroadер масштаб. Ваші клієнти довірили вам захист їхніх даних.
Як споживачі, ми сприймаємо безпеку наших даних як належне. Сьогодні все частіше дані зберігаються в хмарі. Багато постачальників пропонують послуги, які дозволяють клієнтам створювати резервні копії даних зі своїх локальних комп’ютерів у хмарі. Уявіть це як віртуальний жорсткий диск у небі. Це рекламується як безпечний і зручний спосіб захисту ваших даних. Зручно, так. Ви можете відновити файл, який ви випадково видалили. Ви можете відновити весь жорсткий диск, дані якого були пошкоджені.
Але чи безпечно це? Вам надають замок і ключ. Ключем, як правило, є ім’я користувача та пароль. Він зашифрований і відомий лише вам. Ось чому експерти з безпеки рекомендують зберігати пароль у безпеці. Якщо хтось отримає доступ до вашого пароля, він отримає віртуальний ключ від вашого віртуального будинку.
Ти все це знаєш. Ваш пароль до резервної хмарної служби складається з 16 символів, містить великі та малі літери, цифри та кілька спеціальних символів. Ви змінюєте його кожні шість місяців, тому що знаєте, що це ускладнює роботу хакера. Він відрізняється від ваших інших паролів – ви не використовуєте той самий пароль для кількох сайтів. Що може піти не так?
Деякі компанії пропонують те, що вони називають «персональною хмарою». західний Digital є однією з тих компаній, які пропонують простий спосіб резервного копіювання ваших даних у ваш особистий простір у хмарі. Це мережеве сховище, доступне через Інтернет. Він підключається до маршрутизатора Wi-Fi, тож ви можете отримати до нього доступ із будь-якого місця у своїй мережі. Зручно, оскільки він також підключений до Інтернету, ви можете отримати доступ до своїх особистих даних з будь-якого місця в Інтернеті. Зі зручністю приходить ризик.
Компромісна позиція
На початку цього року хакери зламали Western Digitalсистем і змогли завантажити приблизно 10 Тб даних. Потім розсилки мали дані для викупу та намагалися домовитися про угоду на суму 10,000,000 XNUMX XNUMX доларів США для безпечного повернення даних. Дані як нафта. Або, можливо, золото є кращою аналогією. Один із хакерів поговорив на умовах анонімності. Ха! TechCrunch взяв у нього інтерв’ю, коли він був у процесі цієї комерційної угоди. Цікаво, що дані, які були скомпрометовані, включали західні Digitalсертифікат підпису коду. Це технологічний еквівалент сканування сітківки ока. Сертифікат призначений для точної ідентифікації власника або пред'явника. Завдяки цьому віртуальному скануванню сітківки для доступу до «захищених» даних не потрібен пароль. Іншими словами, з цим сертифікатом цей бізнесмен у чорному капелюсі може зайти прямо у вхідні двері digital палац.
Western Digital відмовився коментувати у відповідь на заяви хакера, що вони все ще знаходяться в мережі WD. Неназваний хакер висловив розчарування представниками Western Digital не відповідав на його дзвінки. Офіційно в а прес-реліз, Західний Digital оголосив, що «На підставі розслідування, проведеного на сьогоднішній день, Компанія вважає, що неавторизована сторона отримала певні дані з її систем, і працює над тим, щоб зрозуміти характер і обсяг цих даних». Отже, західний Digital це мама, але хакер базікає. Щодо того, як вони це зробили, хакер описує, як вони використали відомі вразливості та змогли отримати доступ до даних у хмарі як глобальний адміністратор.
Глобальний адміністратор, за характером ролі, має доступ до всього. Йому не потрібен ваш пароль. У нього є головний ключ.
Western Digital не самотній
A огляд минулого року було виявлено, що 83% опитаних компаній мали більше одного порушення даних, 45% з яких були засновані на хмарі. The середній Вартість витоку даних у Сполучених Штатах склала 9.44 мільйона доларів США. Витрати були розбиті на чотири категорії витрат: втрачений бізнес, виявлення та ескалація, сповіщення та реагування після порушення. (Я не впевнений, до якої категорії відноситься викуп даних. Незрозуміло, чи хтось із респондентів платив вимоги про викуп.) Середній час, потрібний організації для виявлення витоку даних і реагування на нього, становить близько 9 місяців. Тож не дивно, що через кілька місяців після вестерну Digital вперше визнали порушення даних, вони все ще розслідують.
Важко точно сказати, скільки компаній зазнали витоку даних. Я знаю одну велику приватну компанію, яку атакували програми-вимагачі. Власники відмовилися від переговорів і не заплатили. Натомість це означало втрату електронних листів і файлів даних. Вони вирішили відновити все з неінфікованих резервних копій і перевстановити програмне забезпечення. Були значні простої та втрата продуктивності. Ця подія ніколи не була в ЗМІ. Цій компанії пощастило, тому що 66% малих і середніх компаній, атакованих програмами-вимагачами, закінчуються банкрутством протягом 6 місяців.
- 30,000 XNUMX сайтів зламаний щодня
- 4 мільйони файлів вкрали кожен день
- 22 мільярди записів було порушено У 2021
Якщо ви коли-небудь вели справи або користувалися послугами Capital One, Marriott, Equifax, Target або Uber, можливо, ваш пароль було зламано. Кожна з цих великих компаній зазнала значного порушення даних.
- Capital One: хакер отримав доступ до 100 мільйонів клієнтів і заявників, використовуючи вразливість у хмарній інфраструктурі компанії.
- Marriott: витік даних розкрив інформацію про 500 мільйонів клієнтів (цей злом залишався непоміченим протягом 4 років).
- Equifax: розкрито особисту інформацію в хмарі про 147 мільйонів клієнтів.
- Ціль: кіберзлочинці отримали доступ до 40 мільйонів номерів кредитних карток.
- Uber: Хакери зламали ноутбук розробника та отримали доступ до 57 мільйонів користувачів і 600,000 XNUMX водіїв.
- LastPass[1]: Хакери викрали дані зі сховища 33 мільйонів клієнтів у результаті зламу хмарного сховища для цієї компанії, що займається керуванням паролями. Зловмисник отримав доступ до хмарного сховища Lastpass за допомогою «ключа доступу до хмарного сховища та ключів дешифрування подвійного контейнера зберігання», викраденого з середовища розробника.
На цьому веб-сайті можна перевірити, чи не зазнали ви витоку даних: чи я був забитий? Введіть свою адресу електронної пошти, і ви побачите, скільки порушень даних було виявлено в цій адресі електронної пошти. Наприклад, я ввів одну зі своїх особистих електронних адрес і виявив, що вона була частиною 25 різних порушень даних, включаючи Evite , Dropbox, Adobe, LinkedIn і Twitter.
Перешкода небажаним залицяльникам
Можливо, на Заході ніколи не буде публічного визнання Digital того, що саме сталося. Цей інцидент ілюструє дві речі: дані в хмарі настільки безпечні, наскільки їхні зберігачі, а зберігачі ключів повинні бути особливо обережними. Перефразовуючи принцип Пітера Паркера, root-доступ несе велику відповідальність.
Точніше кажучи, root-користувач і глобальний адміністратор – це не одне й те саме. Обидва мають велику силу, але мають бути окремі облікові записи. Користувач root володіє та має доступ до корпоративного хмарного облікового запису на найнижчому рівні. Таким чином, цей обліковий запис може видалити всі дані, віртуальні машини, інформацію про клієнтів — усе, що компанія зберігає в хмарі. В AWS є лише завдання 10, включно з налаштуванням і закриттям вашого облікового запису AWS, які справді потребують кореневого доступу.
Для виконання адміністративних завдань слід створити облікові записи адміністраторів. Зазвичай існує кілька облікових записів адміністраторів, які зазвичай є особистими, на відміну від одного кореневого облікового запису. Оскільки облікові записи адміністратора прив’язані до окремої особи, ви можете легко контролювати, хто вніс які зміни в середовище.
Найменший привілей для максимальної безпеки
Опитування щодо витоку даних вивчало вплив 28 факторів на серйозність витоку даних. Використання безпеки штучного інтелекту, підхід DevSecOps, навчання співробітників, керування ідентифікацією та доступом, MFA, аналітика безпеки – усе це мало позитивний вплив на зменшення середньої суми, втраченої під час інциденту. Тоді як збої у відповідності, складність системи безпеки, дефіцит навичок безпеки та міграція в хмару були факторами, які сприяли більшому чистому збільшенню середньої вартості витоку даних. 
Під час переходу в хмару вам потрібно як ніколи пильно захищати свої дані. Ось кілька додаткових способів зменшити ризик і створити безпечніше середовище від a безпеку позиція:
1. Багатофакторна автентифікація: застосувати MFA для кореневого та всіх облікових записів адміністратора. Ще краще використовувати фізичний апаратний пристрій MFA. Потенційному хакеру знадобляться не лише ім’я облікового запису та пароль, а й фізичний MFA, який генерує синхронізований код.
2. Сила в невеликих кількостях: Обмеження, хто має доступ до root. Деякі експерти з безпеки рекомендують не більше 3 користувачів. Старанно керуйте доступом кореневого користувача. Якщо ви не виконуєте керування ідентифікацією та виходу ніде більше, зробіть це тут. Якщо хтось із довіреного кола залишає організацію, змініть пароль root. Відновіть пристрій MFA.
3. Привілеї облікового запису за умовчанням: Під час надання нових облікових записів користувачів або ролей переконайтеся, що їм надано мінімальні привілеї за умовчанням. Почніть із політики мінімального доступу, а потім за потреби надайте додаткові дозволи. Принцип забезпечення найменшої безпеки для виконання завдання — це модель, яка відповідатиме стандартам безпеки SOC2. Концепція полягає в тому, що будь-який користувач або програма повинні мати мінімальний рівень безпеки, необхідний для виконання необхідної функції. Чим вищий привілей, який порушено, тим більший ризик. І навпаки, чим нижчий привілей, тим менший ризик.
4. Привілеї аудиту: Регулярно перевіряйте та переглядайте привілеї, призначені користувачам, ролям і обліковим записам у вашому хмарному середовищі. Це гарантує, що особи мають лише необхідний дозвіл для виконання призначених завдань.
5. Керування ідентифікацією та привілеї «точно вчасно».: Визначте та скасуйте будь-які надмірні або невикористані привілеї, щоб мінімізувати ризик неавторизованого доступу. Надавайте права доступу користувачам лише тоді, коли вони потрібні для певного завдання або обмежений період. Це мінімізує поверхню атаки та зменшує вікно можливостей для потенційних загроз безпеці. 
6. Вбудовані облікові дані: Заборонити жорстке кодування незашифрованої автентифікації (ім’я користувача, пароль, ключі доступу) у сценаріях, завданнях або іншому коді. Замість цього подивіться на a менеджер секретів які можна використовувати для програмного отримання облікових даних.
7. Конфігурація інфраструктури як коду (IaC).: дотримуйтесь найкращих практик безпеки під час налаштування хмарної інфраструктури за допомогою інструментів IAC, таких як AWS CloudFormation або Terraform. Уникайте надання публічного доступу за замовчуванням і обмежуйте доступ до ресурсів лише довіреним мережам, користувачам або IP-адресам. Використовуйте детальні дозволи та механізми контролю доступу, щоб забезпечити дотримання принципу найменших привілеїв.
8. Журнал дій: увімкніть комплексне ведення журналів і моніторинг дій і подій у вашому хмарному середовищі. Зберігайте та аналізуйте журнали на наявність будь-яких незвичних або потенційно шкідливих дій. Впроваджуйте надійні рішення для керування журналами та керування інформацією та подіями безпеки (SIEM), щоб швидко виявляти інциденти безпеки та реагувати на них.
9. Регулярні оцінки вразливості: Виконуйте регулярні оцінки вразливості та тестування на проникнення, щоб виявити слабкі місця безпеки у вашому хмарному середовищі. Негайно виправляйте та виправляйте будь-які виявлені вразливості. Слідкуйте за оновленнями безпеки та виправленнями, випущеними вашим постачальником хмарних послуг, і переконайтеся, що вони застосовані негайно для захисту від відомих загроз.
10. Освіта та навчання: Сприяти культурі обізнаності про безпеку та проводити регулярне навчання працівників щодо важливості принципу найменших привілеїв. Розкажіть їм про потенційні ризики, пов’язані з надмірними привілеями, і про найкращі практики, яких слід дотримуватися під час доступу та керування ресурсами в хмарному середовищі.
11. Патчі та оновлення: Зменште вразливі місця, регулярно оновлюючи все програмне забезпечення сервера. Підтримуйте свою хмарну інфраструктуру та пов’язані програми в актуальному стані для захисту від відомих вразливостей. Хмарні постачальники часто випускають виправлення та оновлення безпеки, тому слідкуйте за їхніми рекомендаціями вкрай важливо.
Довіряйте
Це зводиться до довіри – надання довіри лише тим у вашій організації для виконання завдань, які вони потребують для виконання своєї роботи. Експерти з безпеки рекомендують Нульова довіра. Модель безпеки Zero Trust базується на трьох ключових принципах:
- Явно перевірити – використовувати всі доступні точки даних для перевірки особи користувача та доступу.
- Використовуйте доступ із найменшими привілеями – саме вчасно та з достатнім рівнем безпеки.
- Припустіть порушення – зашифруйте все, використовуйте проактивну аналітику та забезпечте реагування на надзвичайні ситуації.
Як споживач хмари та хмарних сервісів, це також зводиться до довіри. Ви повинні запитати себе: «Чи довіряю я своєму постачальнику зберігати мої цінні дані в хмарі?» Довіра в цьому випадку означає, що ви покладаєтеся на цю компанію або подібну до неї в управлінні безпекою, як ми описали вище. Крім того, якщо ви відповісте негативно, чи готові ви виконувати ті самі види діяльності з управління безпекою у вашому домашньому середовищі. Ви довіряєте собі?
Як компанія, що надає послуги в хмарі, клієнти довіряють вам захист їхніх даних у вашій хмарній інфраструктурі. Це постійний процес. Будьте в курсі нових загроз, відповідним чином адаптуйте свої заходи безпеки та співпрацюйте з досвідченими професіоналами або консультантами з питань безпеки, щоб забезпечити максимальний захист вашого бізнесу в хмарному ландшафті, що постійно розвивається.
- https://www.bleepingcomputer.com/news/security/lastpass-hackers-stole-customer-vault-data-in-cloud-storage-breach/ ↑
