Zakaj vas varnost v oblaku ne zmanjšuje in kaj storiti

Raziskava o varnosti v oblaku zavoda SANS za leto 2019 je streznitev (za branje se boste morali prijaviti za brezplačno članstvo). Poročilo, ki ga je aprila 2019 napisal Dave Shackleford, navaja nekaj razočarajočih dejstev in številk. Na primer, mogoče bi si mislili, da bi bili po zadnjih nedavnih poročilih o kršitvah boljši zaščiti naših virov v oblaku. A ne samo, da smo še vedno precej slabi, velik problem ni niti tehnologija. Še vedno gre za ljudi. Jasno kažejo na to v seznamu poročil o najboljših vrstah napadov, začenši z ugrabitvijo računa ali poverilnic, in razlogom številka dve zaradi napačne konfiguracije oblačnih storitev in virov.

"Ugrabitev zaupnikov je preizkušena metodologija dostopa, ker napadate ljudi, " je dejal Mike Sprunger, starejši direktor prakse svetovanja pri varnostnem svetovanju podjetja Insight Enterprises. "Ljudje bodo vedno najšibkejši člen, ker se tukaj srečujete s številnimi tradicionalnimi težavami s socialnim inženiringom, kot so klici na službo za pomoč, lažno predstavljanje in lažno predstavljanje."

Seveda obstaja veliko načinov, kako je mogoče ukrasti poverilnice, pri čemer je lažno predstavljanje najnovejše in v nekaterih primerih najtežje, s katerimi se lahko spoprite. Poverilnice pa se lahko pridobijo tudi iz podatkov iz drugih kršitev preprosto zato, ker ljudje ponovno uporabijo iste poverilnice, kjer lahko, da si ne zapomnijo več, kot je potrebno. Poleg tega je čas, kako vpisati podatke za prijavo na lepljive opombe in jih prilepiti poleg tipkovnice, še vedno zelo naokoli.

Napačna konfiguracija oblačnih storitev je drugo področje, na katerem so ljudje šibka točka. Razlika je v tem, da bodo ljudje šli ven in postavili storitev v oblaku, ne da bi imeli kakšno idejo, kaj počnejo, nato pa jih bodo uporabili za shranjevanje podatkov, ne da bi jih zaščitili.

"Prvič, pri sprejemanju oblakov je bilo toliko, kako enostavno je postaviti oblak, da obstajajo nerealna pričakovanja, " je pojasnil Sprunger. "Ljudje delajo napake in res ni jasno, kaj morate storiti, da določite varnost okoli zabojnikov."

Nejasnost v varnosti ni dobra

Del težave je, da ponudniki oblakov v resnici ne razlagajo, kako razlagajo, kako delujejo njihove varnostne možnosti (kot sem ugotovil pri zadnjem pregledu rešitev Infrastructure as-a-Service ali IaaS), zato morate ugibati ali poklicati prodajalec za pomoč. Na primer, pri mnogih oblačnih storitvah imate možnost vklopa požarnega zidu. Toda ugotovitev, kako ga konfigurirati, ko se zažene, morda ni jasno razložena. Nasploh.

Ta težava je tako slaba, da Shackleford, avtor poročila SANS, poročilo začne s seznamom nezaščitenih vedrov Amazon Simple Storage Service (S3), zaradi katerih so bile kršene. "Če je verjeti številkam, je 7 odstotkov vedrov S3 na široko odprto za svet, " je še zapisal, "še 35 odstotkov pa ne uporablja šifriranja (ki je vgrajeno v storitev)." Amazon S3 je odlična platforma za shranjevanje, saj se je testiranje izteklo. Te težave so preprosto v tem, da uporabniki napačno konfigurirajo storitev ali se ne zavedajo, da obstajajo določene funkcije.

Na seznamu je naslednja privilegirana zloraba uporabe in to je še ena težava ljudi. Sprunger je dejal, da gre za več kot samo nezadovoljne zaposlene, čeprav vključuje tudi tiste. "Veliko tega, kar zamudite, so tretje osebe, ki imajo privilegiran dostop, " je pojasnil. "Veliko lažje je iti prek dostopa do storitvenega računa. Običajno gre za en račun z enim geslom in odgovornosti ni."

Računi storitev so običajno na voljo tretjim osebam, pogosto prodajalcem ali izvajalcem, ki potrebujejo dostop bodisi za podporo bodisi storitev. Tak račun za storitve, ki je pripadal izvajalcu ogrevanja, prezračevanja, klimatizacije (HVAC), je bil šibka točka, ki je privedla do kršitve cilja leta 2014. "Ti računi imajo navadno božje podobne privilegije, " je dejal Sprunger in dodal, da so glavna tarča napadalcev.

Premagovanje varnostnih ranljivosti

Torej, kaj storite glede teh ranljivosti? Kratek odgovor je trening, vendar je bolj zapleten kot to. Na primer, uporabnike je treba usposobiti, da bodo pozorni na lažno pošiljanje e-poštnih sporočil in da mora biti usposabljanje dovolj dovršeno, da prepoznajo celo subtilne znake lažnega predstavljanja. Poleg tega mora vključiti korake, ki jih morajo storiti zaposleni, če sploh sumijo, da so videli tak napad. To vključuje, kako videti, kje v e-poštnem sporočilu resnično poteka povezava, vendar mora vključiti tudi postopke za prijavo takega e-poštnega sporočila. Trening mora vključevati prepričanje, da ne bodo imeli težav, če ne bodo ravnali po e-poštnih navodilih, ki so videti sumljiva.

Prav tako mora obstajati neka raven korporativnega upravljanja, da naključni zaposleni ne bodo šli ven in vzpostavili lastnih računov storitev v oblaku. To vključuje ogled bonov za poročilo o stroških za stroške storitev v oblaku na osebnih kreditnih karticah. To pa pomeni tudi, da morate opraviti usposabljanje o ravnanju z razpoložljivostjo storitev v oblaku.

Soočanje s privilegirano zlorabo uporabnikov

Ukvarjanje z privilegiranimi zlorabami uporabnikov je lahko tudi izziv, saj bodo nekateri prodajalci vztrajali pri dostopu s širokim naborom pravic. Z nekaj tega se lahko lotite tako, da segmentirate svoje omrežje, tako da je dostop samo do storitve, ki se upravlja. Na primer, segmentirajte ga tako, da je krmilnik HVAC na svojem segmentu in prodajalci, ki so zadolženi za vzdrževanje sistema, dobijo dostop le do tistega dela omrežja. Drugi ukrep, ki bi lahko pripomogel k temu, je uvedba zanesljivega sistema za upravljanje identitete (IDM), ki ne bo le bolje spremljal računov, ampak tudi, kdo jih ima in dostop do njih. Ti sistemi vam bodo omogočili tudi hitrejšo zaustavitev dostopa in omogočili revizijski pregled dejavnosti računa. Medtem ko lahko za enega porabite velike dolarje, morda že imate enega teka, če ste v trgovini Windows Server z omogočenim drevesom Microsoft Active Directory (AD).

• Najboljši varnostni kompleti za leto 2019 Najboljši varnostni apartmaji za leto 2019
• Najboljši ponudniki za shranjevanje poslovnega oblaka in delitev datotek za leto 2019 Najboljši ponudniki za shranjevanje poslovnih datotek in delitev datotek za leto 2019
• Najboljše storitve varnostnega kopiranja v oblaku za leto 2019 Najboljše storitve varnostnega kopiranja v oblaku za leto 2019

Morda boste morali zagotoviti tudi, da imajo prodajalci dostop do najmanj privilegij, tako da njihovi računi omogočajo samo pravice do programske opreme ali naprave, ki jo upravljajo, in nič drugega - še ena odlična uporaba sistema IDM. Od njih lahko zahtevate začasen dostop do česar koli drugega.

To je le nekaj prvih točk na dokaj dolgem seznamu varnostnih težav, zato je vredno prebrati poročilo o varnostni raziskavi SANS v celoti. Na seznamu vam bo predstavljen načrt načinov, kako priti do varnostnih ranljivosti in pomagal vam bo uresničiti več korakov. V bistvu pa je, da če ne delate ničesar o težavah, o katerih je poročal SANS, bo vaša varnost v oblaku zakrknila in verjetno boste ujeti v vrtinec neuspeha, ko vaš oblak kroži odtok do popolnega razmaha. kršitev.