Biz bulutdagi xavfsizlik haqida gapiramiz

Haddan tashqari ta'sir qilish

Buni shunday qo‘yaylik, nimani fosh qilishdan tashvishlanasiz? Sizning eng qimmatli aktivlaringiz nima? Sizning ijtimoiy sug'urta raqamingiz? Sizning bank hisobingiz ma'lumotlari? Shaxsiy hujjatlarmi yoki fotosuratlarmi? Sizning kripto urug'lik iborangiz? Agar siz kompaniyani boshqarsangiz yoki ma'lumotlarning saqlanishi uchun mas'ul bo'lsangiz, bir xil turdagi ma'lumotlar buzilganidan xavotirlanishingiz mumkin, ammoroader shkalasi. Mijozlaringiz sizga ularning maʼlumotlarini himoya qilishni ishonib topshirgan.

Iste'molchi sifatida biz ma'lumotlarimizning xavfsizligini tabiiy deb bilamiz. Bugungi kunda ma'lumotlar bulutda ko'proq saqlanadi. Bir qator sotuvchilar mijozlarga o'zlarining mahalliy kompyuterlaridan bulutga ma'lumotlarni zaxiralash imkonini beruvchi xizmatlarni taklif qilishadi. Uni osmondagi virtual qattiq disk sifatida tasavvur qiling. Bu ma'lumotlaringizni himoya qilishning xavfsiz va qulay usuli sifatida e'lon qilingan. Qulay, ha. Siz tasodifan o'chirib tashlagan faylni qayta tiklashingiz mumkin. Ma'lumotlari buzilgan butun qattiq diskni tiklashingiz mumkin.

Lekin bu xavfsizmi? Siz qulf va kalit bilan ta'minlangansiz. Kalit, odatda, foydalanuvchi nomi va paroldir. U shifrlangan va faqat sizga ma'lum. Shuning uchun xavfsizlik bo'yicha mutaxassislar parolingizni xavfsiz saqlashni tavsiya qiladi. Agar kimdir sizning parolingizga kirish huquqiga ega bo'lsa, u sizning virtual uyingizning virtual kalitiga ega.

Bularning hammasini bilasiz. Zaxira bulut xizmati uchun parolingiz 16 belgidan iborat bo'lib, katta va kichik harflar, raqamlar va bir nechta maxsus belgilarni o'z ichiga oladi. Siz uni har olti oyda o'zgartirasiz, chunki bu xaker uchun qiyinroq bo'lishini bilasiz. U boshqa parollaringizdan farq qiladi – bir nechta saytlar uchun bir xil paroldan foydalanmaysiz. Nima xato bo'lishi mumkin?

Ba'zi kompaniyalar "Shaxsiy bulut" deb nomlagan narsalarni taklif qilishadi. G'arbiy Digital bulutdagi shaxsiy makoningizga ma'lumotlaringizni zaxiralashning oson yo'lini ta'minlovchi kompaniyalardan biri. Bu Internet orqali mavjud bo'lgan tarmoq xotirasi. U Wi-Fi routeringizga ulanadi, shunda siz unga tarmoq ichidagi istalgan joydan kirishingiz mumkin. Qulaylik bilan, u ham internetga ulanganligi sababli, siz o'zingizning shaxsiy ma'lumotlaringizga internetning istalgan joyidan kirishingiz mumkin. Qulaylik bilan birga xavf ham keladi.

Murosasiz pozitsiya

Bu yil boshida xakerlar G'arbga kirishdi Digitalning tizimlari va taxminan 10 Tb ma'lumotni yuklab olishga muvaffaq bo'ldi. Keyin qora pochta jo'natuvchilari ma'lumotlarni to'lov evaziga saqlab qolishdi va ma'lumotlarni xavfsiz qaytarish uchun 10,000,000 XNUMX XNUMX AQSh dollari miqdorida bitim tuzishga harakat qilishdi. Ma'lumotlar neftga o'xshaydi. Yoki oltin yaxshiroq o'xshatishdir. Xakerlardan biri anonimlik sharti bilan gapirdi. Ha! TechCrunch ushbu biznes bitimi jarayonida u bilan suhbatlashdi. Qizig'i shundaki, buzilgan ma'lumotlar G'arbga tegishli Digitalkodni imzolash sertifikati. Bu retinani skanerlashning texnologik ekvivalenti. Sertifikat egasi yoki egasini ijobiy aniqlash uchun mo'ljallangan. Ushbu virtual retinani skanerlash bilan "xavfsiz" ma'lumotlarga kirish uchun parol talab qilinmaydi. Boshqacha qilib aytadigan bo'lsak, ushbu sertifikat bilan bu qora qalpoqli tadbirkor to'g'ridan-to'g'ri eshik oldida yura oladi digital saroy.

g'arbiy Digital xakerning hali ham WD tarmog'ida ekanligi haqidagi da'volariga javoban izoh berishdan bosh tortdi. Ismi oshkor etilmagan xaker G'arbdagi vakillaridan hafsalasi pir bo'lganini bildirdi Digital qo'ng'iroqlariga javob bermadi. Rasmiy ravishda, a Matbuot xabari, G'arbiy Digital "Hozirgi kunga qadar olib borilgan tergov natijalariga ko'ra, Kompaniya ruxsatsiz shaxs o'z tizimlaridan ma'lum ma'lumotlarni olgan deb hisoblaydi va bu ma'lumotlarning mohiyati va hajmini tushunish ustida ishlamoqda". Shunday qilib, G'arbiy Digital - bu onam, lekin xaker xirilladi. Ular buni qanday amalga oshirganiga kelsak, xaker ular ma'lum zaifliklardan qanday foydalanganliklari va global ma'mur sifatida bulutdagi ma'lumotlarga kirish imkoniga ega bo'lganliklarini tasvirlaydi.

Global ma'mur, rolining tabiatiga ko'ra, hamma narsaga kirish huquqiga ega. Unga sizning parolingiz kerak emas. U asosiy kalitga ega.

g'arbiy Digital Yolg'iz emas

A tadqiqot o'tgan yili so'rovda qatnashgan kompaniyalarning 83 foizi borligini aniqladi bir nechta ma'lumotlar buzilishi, ularning 45% bulutga asoslangan. The o'rtacha Qo'shma Shtatlardagi ma'lumotlar buzilishining narxi 9.44 million AQSh dollarini tashkil etdi. Xarajatlar to'rtta xarajat toifasiga bo'lingan - yo'qolgan biznes, aniqlash va kuchayish, xabar berish va buzilishdan keyingi javob. (Maʼlumotlar toʻlovi qaysi toifaga tegishli ekanligiga ishonchim komil emas. Respondentlarning birortasi toʻlov talabini toʻlagani yoki yoʻqligi aniq emas.) Tashkilotga maʼlumotlar buzilishini aniqlash va unga javob berish uchun oʻrtacha vaqt taxminan 9 oyni tashkil qiladi. G'arbdan bir necha oy o'tgach, bu ajablanarli emas Digital birinchi bo'lib ma'lumotlar buzilishini tan oldilar, ular hali ham tergov qilishmoqda.

Qancha kompaniyada ma'lumotlar buzilganligini aniq aytish qiyin. Men ransomware tomonidan hujumga uchragan yirik xususiy kompaniyani bilaman. Egalari muzokara qilishdan bosh tortdilar va to'lamadilar. Buning o'rniga elektron pochta va ma'lumotlar fayllari yo'qolgan degani. Ular zararlanmagan zaxira nusxalaridan tortib, hamma narsani qayta tiklashni va dasturiy ta'minotni qayta o'rnatishni tanladilar. Ko'p ishlamay qolish va mahsuldorlikni yo'qotish bo'ldi. Bu voqea hech qachon ommaviy axborot vositalarida bo'lmagan. Bu kompaniya omadli edi, chunki 66% ransomware tomonidan hujumga uchragan kichik va o'rta kompaniyalar 6 oy ichida biznesdan chiqib ketishadi.

• 30,000 XNUMX veb-saytlar mavjud botirlik kundalik
• 4 million fayl o'g'irlangan har kuni
• 22 milliard rekord qayd etildi buzildi 2021 yilda

Agar siz qachondir Capital One, Marriott, Equifax, Target yoki Uber bilan biznes qilgan boʻlsangiz yoki ulardan foydalansangiz, parolingiz buzilgan boʻlishi mumkin. Ushbu yirik kompaniyalarning har biri jiddiy ma'lumotlar buzilishiga duch keldi.

• Capital One: Xaker kompaniyaning bulutli infratuzilmasidagi zaiflikdan foydalanib, 100 million mijoz va ariza beruvchiga kirish huquqiga ega bo‘ldi.
• Marriott: Ma'lumotlarning buzilishi 500 million mijozga oid ma'lumotlarni oshkor qildi (bu buzilish 4 yil davomida aniqlanmadi).
• Equifax: 147 million mijozning bulutdagi shaxsiy ma'lumotlari oshkor qilindi.
• Maqsad: Kiberjinoyatchilar 40 million kredit karta raqamlariga kirishdi.
• Uber: Xakerlar dasturchining noutbukini buzib, 57 million foydalanuvchi va 600,000 ming haydovchiga kirish huquqiga ega bo‘ldi.
• LastPass^[1]: Xakerlar ushbu parol menejeri kompaniyasining bulutli xotirasini buzgan holda 33 million mijozning ombor maʼlumotlarini oʻgʻirlashdi. Buzg‘unchi Lastpass bulutli xotirasiga uning ishlab chiquvchi muhitidan o‘g‘irlangan “bulutli saqlashga kirish kaliti va ikkilamchi saqlash konteyneri shifrini ochish kalitlari” yordamida ruxsat oldi.

Siz ushbu veb-saytda maʼlumotlaringiz buzilishiga duchor boʻlganingizni tekshirishingiz mumkin: men hibsga olinganmanmi? E-pochta manzilingizni kiriting va u sizga e-pochta manzilida qancha maʼlumotlar buzilishi aniqlanganligini koʻrsatadi. Masalan, men shaxsiy elektron pochta manzillarimdan birini kiritdim va bu 25 xil maʼlumotlar buzilishining bir qismi boʻlganligini aniqladim, jumladan Evite. , Dropbox, Adobe, LinkedIn va Twitter.

Keraksiz da'vogarlarning oldini olish

G'arb tomonidan hech qachon jamoatchilik tomonidan tan olinmasligi mumkin Digital aynan nima bo'lganligi haqida. Voqea ikkita narsani ko'rsatadi: bulutdagi ma'lumotlar faqat uni saqlovchilari kabi xavfsizdir va kalitlarni saqlovchilar ayniqsa ehtiyot bo'lishlari kerak. Piter Parker printsipini ifodalash uchun ildizga kirish katta mas'uliyatni talab qiladi.

Aniqroq qilib aytadigan bo'lsak, root foydalanuvchisi va global administrator mutlaqo bir xil emas. Ikkalasi ham katta kuchga ega, ammo alohida hisoblar bo'lishi kerak. Ildiz foydalanuvchisi eng past darajadagi korporativ bulut hisobiga egalik qiladi va unga kirish huquqiga ega. Shunday qilib, bu hisob barcha ma'lumotlarni, VM'larni, mijozlar ma'lumotlarini - biznes bulutda himoyalangan barcha narsalarni o'chirib tashlashi mumkin. AWSda faqat bor 10 vazifalariAWS hisob qaydnomangizni o'rnatish va yopish, shu jumladan, root ruxsatini talab qiladi.

Ma'muriy vazifalarni bajarish uchun administrator hisoblari yaratilishi kerak (duh). Odatda bitta ildiz hisob qaydnomasidan farqli o'laroq, odatda shaxsga asoslangan bir nechta Administrator hisoblari mavjud. Administrator hisoblari jismoniy shaxsga bog'langanligi sababli, atrof-muhitga kim qanday o'zgarishlar kiritganini osongina kuzatishingiz mumkin.

Maksimal xavfsizlik uchun eng kam imtiyoz

Ma'lumotlar buzilishi bo'yicha so'rovda 28 ta omilning ma'lumotlar buzilishining jiddiyligiga ta'siri o'rganildi. AI xavfsizligidan foydalanish, DevSecOps yondashuvi, xodimlarni o'qitish, identifikatsiya va kirishni boshqarish, TIV, xavfsizlik tahlillari - bularning barchasi hodisada yo'qolgan o'rtacha dollar miqdorini kamaytirishga ijobiy ta'sir ko'rsatdi. Holbuki, muvofiqlikdagi nosozliklar, xavfsizlik tizimining murakkabligi, xavfsizlik ko'nikmalarining etishmasligi va bulutli migratsiya ma'lumotlar buzilishining o'rtacha narxining yuqori sof oshishiga yordam bergan omillar edi.

Bulutga o'tayotganingizda, ma'lumotlaringizni himoya qilishda har qachongidan ham hushyorroq bo'lishingiz kerak. Bu erda xavfni kamaytirish va xavfsizroq muhitni boshqarishning ba'zi qo'shimcha usullari mavjud xavfsizlik nuqtai nazar:

1. Muli-faktorli autentifikatsiya: ildiz va barcha Administrator hisoblari uchun TIVni majburlash. Bundan ham yaxshiroq, jismoniy apparat MFA qurilmasidan foydalaning. Potentsial xakerga nafaqat hisob nomi va parol, balki sinxronlashtirilgan kodni yaratadigan jismoniy TIV kerak bo'ladi.

2. Kichik raqamlarda quvvat: Kimning ildizga kirish huquqini cheklash. Ba'zi xavfsizlik mutaxassislari 3 dan ortiq foydalanuvchini tavsiya etmaydi. Ildiz foydalanuvchi ruxsatini qat'iyat bilan boshqaring. Agar siz identifikatorni boshqarishni va boshqa hech qanday joydan tashqariga chiqishni amalga oshirmasangiz, buni shu yerda bajaring. Ishonch doirasidagilardan biri tashkilotni tark etsa, ildiz parolini o'zgartiring. TIV qurilmasini tiklang.

3. Standart hisob imtiyozlari: Yangi foydalanuvchi hisoblari yoki rollarini tayyorlashda ularga sukut bo'yicha minimal imtiyozlar berilganligiga ishonch hosil qiling. Minimal kirish siyosati bilan boshlang va kerak bo'lganda qo'shimcha ruxsatlarni bering. Vazifani bajarish uchun eng kam xavfsizlikni ta'minlash printsipi SOC2 xavfsizlik muvofiqligi standartlaridan o'tadigan modeldir. Kontseptsiya shundan iboratki, har qanday foydalanuvchi yoki dastur kerakli funktsiyani bajarish uchun zarur bo'lgan minimal xavfsizlikka ega bo'lishi kerak. Buzilgan imtiyoz qanchalik baland bo'lsa, xavf shunchalik katta bo'ladi. Aksincha, imtiyoz qanchalik past bo'lsa, xavf shunchalik past bo'ladi.

4. Audit imtiyozlari: Bulutli muhitingizda foydalanuvchilarga, rollarga va hisoblarga berilgan imtiyozlarni muntazam tekshirib turing va ko'rib chiqing. Bu shaxslar o'zlariga belgilangan vazifalarni bajarish uchun faqat zarur ruxsatga ega bo'lishini ta'minlaydi.

5. Identifikatsiyani boshqarish va o'z vaqtida imtiyozlar: Ruxsatsiz kirish xavfini minimallashtirish uchun ortiqcha yoki foydalanilmagan imtiyozlarni aniqlang va bekor qiling. Foydalanuvchilarga faqat ma'lum bir vazifa yoki cheklangan muddat uchun kerak bo'lganda kirish huquqlarini taqdim eting. Bu hujum yuzasini minimallashtiradi va potentsial xavfsizlik tahdidlari uchun imkoniyat oynasini kamaytiradi.

6. Oʻrnatilgan hisob maʼlumotlari: Skriptlar, ishlar yoki boshqa kodlarda shifrlanmagan autentifikatsiyani (foydalanuvchi nomi, parol, kirish kalitlari) qattiq kodlashni taqiqlash. Buning o'rniga a ga qarang sir menejeri hisob ma'lumotlarini dasturiy ravishda olish uchun foydalanishingiz mumkin.

7. Infratuzilma-kod (IaC) konfiguratsiyasi: AWS CloudFormation yoki Terraform kabi IaC vositalaridan foydalangan holda bulutli infratuzilmangizni sozlashda xavfsizlikning eng yaxshi amaliyotlariga rioya qiling. Sukut bo'yicha umumiy foydalanishga ruxsat berishdan saqlaning va resurslarga kirishni faqat ishonchli tarmoqlar, foydalanuvchilar yoki IP manzillar bilan cheklang. Eng kam imtiyoz tamoyilini amalga oshirish uchun nozik ruxsatnomalar va kirishni boshqarish mexanizmlaridan foydalaning.

8. Harakatlarni qayd qilish: Bulutli muhitingizdagi harakatlar va hodisalarni har tomonlama qayd etish va monitoringini yoqing. Har qanday noodatiy yoki potentsial zararli harakatlar uchun jurnallarni yozib oling va tahlil qiling. Xavfsizlik hodisalarini zudlik bilan aniqlash va ularga javob berish uchun mustahkam jurnal boshqaruvi va xavfsizlik ma'lumotlari va hodisalarni boshqarish (SIEM) yechimlarini joriy qiling.

9. Zaiflikni muntazam baholash: Bulutli muhitingizda xavfsizlikning zaif tomonlarini aniqlash uchun muntazam ravishda zaifliklarni baholash va kirish testlarini amalga oshiring. Aniqlangan zaifliklarni tezda tuzating va tuzating. Bulutli provayder tomonidan chiqarilgan xavfsizlik yangilanishlari va yamoqlarini kuzatib boring va ular ma'lum tahdidlardan himoyalanish uchun zudlik bilan qo'llanilishiga ishonch hosil qiling.

10. Ta'lim va o'quv: Xavfsizlik madaniyatini oshirish va xodimlarga eng kam imtiyoz tamoyilining ahamiyati haqida muntazam treninglar o'tkazish. Ularni haddan tashqari imtiyozlar bilan bog'liq potentsial xavflar va bulutli muhitdagi resurslarga kirish va boshqarishda amal qilish kerak bo'lgan eng yaxshi amaliyotlar haqida ma'lumot bering.

11. Yamalar va yangilanishlar: Barcha server dasturlarini muntazam yangilab turish orqali zaifliklarni kamaytiring. Ma'lum zaifliklardan himoya qilish uchun bulutli infratuzilmangizni va unga tegishli ilovalarni yangilab turing. Bulutli provayderlar ko'pincha xavfsizlik yamoqlari va yangilanishlarini chiqaradilar, shuning uchun ularning tavsiyalaridan xabardor bo'lish juda muhimdir.

ishonch

Bu ishonchga bog'liq - faqat tashkilotingizdagilarga o'z ishlarini bajarish uchun qilishlari kerak bo'lgan vazifalarni bajarish uchun ishonchni ta'minlash. Xavfsizlik bo'yicha mutaxassislar tavsiya qiladilar Nolinchi ishonch. Zero Trust xavfsizlik modeli uchta asosiy tamoyilga asoslanadi:

• Aniq tasdiqlang – foydalanuvchi identifikatori va kirish huquqini tasdiqlash uchun barcha mavjud maʼlumotlar nuqtalaridan foydalaning.
• Eng kam imtiyozli ruxsatdan foydalaning - o'z vaqtida va etarli darajada xavfsizlik.
• Buzilishni taxmin qiling - hamma narsani shifrlang, proaktiv tahlillardan foydalaning va favqulodda vaziyatlarga javob bering.

Bulutli va bulutli xizmatlarning iste'molchisi sifatida u ham ishonchga tushadi. O'zingizdan so'rashingiz kerak: "Men sotuvchim qimmatli ma'lumotlarimni bulutda saqlashiga ishonamanmi?" Ishonch, bu holda, biz yuqorida aytib o'tganimizdek, xavfsizlikni boshqarish uchun o'sha kompaniyaga yoki shunga o'xshash kompaniyaga tayanishingizni anglatadi. Shu bilan bir qatorda, agar siz salbiy javob bersangiz, uy sharoitida bir xil turdagi xavfsizlikni boshqarish faoliyatini amalga oshirishga tayyormisiz. O'zingizga ishonasizmi?

Bulutda xizmatlar ko'rsatuvchi kompaniya sifatida mijozlar bulut infratuzilmangizdagi ma'lumotlarini himoya qilish uchun sizga ishonch bildirishdi. Bu davom etayotgan jarayon. Rivojlanayotgan tahdidlar haqida xabardor bo'ling, xavfsizlik choralarini mos ravishda moslashtiring va doimiy rivojlanayotgan bulutli landshaftda biznesingiz uchun maksimal darajada himoyani ta'minlash uchun tajribali mutaxassislar yoki xavfsizlik bo'yicha maslahatchilar bilan hamkorlik qiling.

1. https://www.bleepingcomputer.com/news/security/lastpass-hackers-stole-customer-vault-data-in-cloud-storage-breach/ ↑