Obsah:
- Nejasnosti v bezpečnosti nie sú dobré
- Prekonanie bezpečnostných zraniteľností
- Zaobchádzanie so zneužívaním privilegovaných používateľov
Video: Roddy Ricch - The Box [Official Music Video] (November 2024)
Prieskum cloudovej bezpečnosti SANS Institute v roku 2019 je vytrvalý (musíte si ho zaregistrovať, aby ste si ho mohli prečítať zadarmo). Správa, ktorú napísal Dave Shackleford v apríli 2019, uvádza niektoré sklamajúce fakty a čísla. Napríklad by sme si mysleli, že po všetkých nedávnych správach o porušení by sme mali lepšie chrániť naše cloudové zdroje. Ale nielenže sme v tom stále dosť zlí, ale veľkým problémom nie je ani technológia. Stále sú to ľudia. Jasný náznak sa objavuje v zozname najvyšších typov útokov, počínajúc únosmi účtov alebo poverení, a číslo dva, z dôvodu nesprávnej konfigurácie cloudových služieb a zdrojov.
Samozrejme, existuje mnoho spôsobov, ako možno odcudziť poverovacie údaje, pričom phishing je jednoducho najaktuálnejší av niektorých prípadoch najťažší spôsob, akým sa dá vysporiadať. Poverenia sa však dajú získať aj z údajov z iných porušení jednoducho preto, že ľudia používajú rovnaké poverenia, kde môžu, takže si nepamätajú nič viac, ako je potrebné. Navyše, časom uznávaná prax písania prihlasovacích informácií do poznámok a ich vkladania vedľa klávesnice je stále veľmi blízko.
Nesprávna konfigurácia cloudových služieb je ďalšou oblasťou, v ktorej sú ľudia slabou stránkou. Rozdiel je v tom, že ľudia pôjdu a postavia sa cloudovej služby bez toho, aby mali predstavu o tom, čo robia, a potom ju použijú na ukladanie údajov bez ich ochrany.
„Po prvé, pri zavádzaní cloudu sa toho veľa týkalo toho, aké ľahké je postaviť oblak, že existujú nereálne očakávania, “ vysvetlil Sprunger. „Ľudia robia chyby a nie je celkom jasné, čo musíte urobiť, aby ste definovali bezpečnosť okolo kontajnerov.“
Nejasnosti v bezpečnosti nie sú dobré
Súčasťou problému je, že poskytovatelia cloudových služieb v skutočnosti nevykonávajú primeranú prácu, aby vysvetlili, ako fungujú ich bezpečnostné možnosti (ako som zistil pri nedávnom skúmaní riešení Infraštruktúra ako služba alebo IaaS), takže musíte uhádnuť alebo zavolať predajca o pomoc. Napríklad s mnohými cloudovými službami máte možnosť zapnúť bránu firewall. Zistenie, ako ho nakonfigurovať po jeho spustení, však nemusí byť jasne vysvetlené. Vôbec.
Tento problém je taký zlý, že Shackleford, autor správy SANS, začína správu so zoznamom nechránených segmentov Amazon Simple Storage Service (S3), ktoré viedli k porušeniam. „Ak sa má veriť týmto číslam, 7 percent vedier S3 je otvorených svetu, “ napísal, „a ďalších 35 percent nepoužíva šifrovanie (ktoré je súčasťou služby).“ Amazon S3 je skvelá platforma pre ukladanie dát, pretože naše testovanie vyvrcholilo. Problémy, ako sú tieto, pramenia jednoducho z toho, že používatelia nesprávne nakonfigurujú službu alebo si úplne neuvedomujú, že určité funkcie existujú.
Zneužívanie privilegovaného použitia je na zozname ďalších a je to ďalší problém, ktorý pramení z ľudí. Sprunger uviedol, že ide o viac než len nespokojných zamestnancov, hoci aj tých. „Veľa vecí, ktoré zmeškali, sú tretie strany, ktoré majú privilegovaný prístup, “ vysvetlil. „Prístup k účtu služieb je oveľa ľahší. Spravidla ide o jeden účet s jedným heslom a neexistuje zodpovednosť.“
Účty služieb sa zvyčajne poskytujú tretím stranám, často predajcom alebo dodávateľom, ktorí potrebujú prístup, aby poskytli podporu alebo službu. Bol to taký účet služieb, ktorý patrí dodávateľovi kúrenia, vetrania, klimatizácie (HVAC) a ktorý bol slabým bodom vedúcim k porušeniu cieľa v roku 2014. „Tieto účty majú spravidla božské privilégiá, “ povedal Sprunger a dodal, že sú hlavný cieľ pre útočníkov.
Prekonanie bezpečnostných zraniteľností
Čo teda robíte s týmito zraniteľnosťami? Krátka odpoveď je školenie, ale je to zložitejšie. Napríklad používatelia musia byť vyškolení, aby vyhľadávali e-maily na neoprávnené získavanie údajov (phishing), a že školenie musí byť dostatočne úplné, aby rozpoznávalo aj jemné znaky phishingu. Navyše musí obsahovať kroky, ktoré by zamestnanci mali podniknúť, ak majú dokonca podozrenie, že sa stretávajú s takýmto útokom. Zahŕňa to spôsob, ako zistiť, kde sa v e-maile skutočne nachádza odkaz, ale je potrebné zahrnúť aj postupy hlásenia takéhoto e-mailu. Školenie musí obsahovať presvedčenie, že sa nedostanú do problémov, keď nebudú konať podľa pokynov odoslaných e-mailom, ktoré sa zdajú podozrivé.
Podobne musí existovať určitá úroveň správy a riadenia spoločností, aby náhodní zamestnanci nechodili a nevytvárali si vlastné účty cloudových služieb. Zahŕňa to sledovanie poukážok na výdaj výdavkov na poplatky za cloudové služby na osobných kreditných kartách. Znamená to tiež, že musíte poskytnúť školenie o tom, ako sa vysporiadať s dostupnosťou cloudových služieb.
Zaobchádzanie so zneužívaním privilegovaných používateľov
Riešenie privilegovaného zneužívania používateľov môže byť náročné, pretože niektorí predajcovia budú trvať na prístupe so širokou škálou práv. S niektorými z nich sa môžete vyrovnať segmentáciou siete, takže prístup je iba k spravovanej službe. Napríklad segmentujte ho tak, aby radič HVAC bol vo svojom vlastnom segmente, a predajcovia poverení údržbou tohto systému získajú prístup iba k tej časti siete. Ďalším opatrením, ktoré by mohlo pomôcť dosiahnuť tento cieľ, je nasadenie robustného systému správy identity (IDM), ktorý nielenže bude lepšie sledovať účty, ale tiež kto ich má a ich prístupové oprávnenia. Tieto systémy vám tiež umožnia zrýchliť prístup a poskytnúť audit trail o činnosti účtu. Aj keď môžete minúť veľké peniaze za jednu, môžete ju už spustiť, ak ste v obchode so serverom Windows Server s povoleným stromom Microsoft Active Directory (AD).
- Najlepšie bezpečnostné balíky pre rok 2019 Najlepšie bezpečnostné balíky pre rok 2019
- Najlepší poskytovatelia služieb cloudového ukladania a zdieľania súborov v roku 2019 Najlepší poskytovatelia služieb cloudového ukladania a zdieľania súborov v roku 2019
- Najlepšie cloudové zálohovacie služby pre firmy v roku 2019 Najlepšie cloudové zálohovacie služby pre firmy v roku 2019
Možno budete musieť zaistiť, aby predajcovia mali prístup s najmenšími oprávneniami, aby im ich účty udeľovali práva iba na softvér alebo zariadenie, ktoré spravujú, a nič iné - ďalšie skvelé použitie systému IDM. Môžete ich požiadať, aby požiadali o dočasný prístup pre čokoľvek iné.
Toto je iba niekoľko prvých položiek na pomerne dlhom zozname bezpečnostných problémov a je potrebné prečítať si celú správu o bezpečnostnom prieskume SANS. Jeho zoznam vám poskytne prehľad spôsobov, ako pristupovať k svojim zraniteľným miestam v oblasti zabezpečenia, a pomôže vám uskutočniť ďalšie kroky, ktoré môžete podniknúť. Ale spodnom riadku je, že ak nerobíte nič s problémami nahlásenými SANS, potom sa vaša cloudová bezpečnosť zapáchne a pravdepodobne vás chytí vír zlyhania, pretože váš cloud zakrýva odtok do úplného rozpadu porušenia.