Proč to vaše cloudové zabezpečení neřeže a co s tím dělat

Průzkum cloudové bezpečnosti SANS Institute v roce 2019 je vytrvalý (je nutné se zaregistrovat, abyste si jej mohli přečíst zdarma). Zpráva, kterou napsal Dave Shackleford v dubnu 2019, uvádí některé zklamání a fakta. Například bychom si mysleli, že po všech nedávných hlášeních o porušení bychom lépe chránili naše cloudové zdroje. Ale nejenže jsme na to stále dost špatní, ale velkým problémem není ani technologie. Jsou to stále lidé. Jasný náznak toho se objevuje v seznamu zpráv o hlavních typech útoků, počínaje únosem účtu nebo pověření, a číslem dva důvodem nesprávné konfigurace cloudových služeb a zdrojů.

„Únos kreditů je osvědčenou metodikou přístupu, protože útočíte na lidi, “ řekl Mike Sprunger, senior manažer bezpečnostní konzultační praxe v Insight Enterprises 'Security Consulting Practice. „Lidé budou vždy nejslabším článkem, protože zde se dostáváte k mnoha tradičním problémům sociálního inženýrství, jako jsou volání na helpdesk, phishing a phishing oštěpem.“

Samozřejmě existuje mnoho způsobů, jak lze pověřovací údaje odcizit, přičemž phishing je prostě nejnovější a v některých případech nejtěžší, se kterým se lze vypořádat. Pověření však lze také získat z dat z jiných porušení jednoduše proto, že lidé znovu používají stejná pověření, kde mohou, takže si nepamatují nic víc, než je nezbytné. Kromě toho je stále velmi známá praktika psaní přihlašovacích informací do poznámek a jejich vkládání vedle klávesnice.

Chybná konfigurace cloudových služeb je další oblastí, ve které jsou lidé slabou stránkou. Rozdíl je v tom, že lidé půjdou ven a postaví cloudovou službu, aniž by měli ponětí, co dělají, a pak je použijí k ukládání dat, aniž by je chránili.

„Zaprvé, v cloudové adopci bylo tolik o tom, jak snadné je postavit cloud, že existují nereálná očekávání, “ vysvětlil Sprunger. "Lidé dělají chyby a není úplně jasné, co musíte udělat, abyste definovali zabezpečení kolem kontejnerů."

Nejasnost v bezpečnosti není dobrá

Část problému spočívá v tom, že poskytovatelé cloudových služeb ve skutečnosti nedělají adekvátní práci, aby vysvětlili, jak jejich bezpečnostní možnosti fungují (jak jsem zjistil při nedávném přezkumu řešení Infrastruktura-a-Service nebo IaaS), takže musíte hádat nebo volat prodejce o pomoc. Například u mnoha cloudových služeb máte možnost zapnout bránu firewall. Zjištění, jak ji nakonfigurovat, jakmile je spuštěna, však nemusí být jasně vysvětleno. Vůbec.

Tento problém je tak špatný, že Shackleford, autor zprávy SANS, zahajuje zprávu se seznamem nechráněných kbelíků Amazon Simple Storage Service (S3), které vedly k porušení. „Pokud mají být čísla věřena, 7 procent kbelíků S3 je do celého světa otevřených, “ napsal, „a dalších 35 procent nepoužívá šifrování (které je součástí služby).“ Amazon S3 je skvělá platforma pro ukládání dat, protože naše testování skončilo. Problémy, jako jsou tyto, pramení jednoduše z toho, že uživatelé nesprávně konfigurují službu nebo si nejsou zcela vědomi, že určité funkce existují.

Na seznamu je další zneužívání privilegovaného použití a je to další problém pramenící z lidí. Sprunger uvedl, že se jedná o víc než jen nespokojené zaměstnance, i když to zahrnuje i ty. "Hodně chybí třetí strany, které mají privilegovaný přístup, " vysvětlil. "Je mnohem snazší se přihlásit prostřednictvím přístupu k účtu služby. Obvykle se jedná o jeden účet s jediným heslem a neexistuje žádná odpovědnost."

Servisní účty jsou obvykle poskytovány třetím stranám, často prodejcům nebo dodavatelům, kteří potřebují přístup, aby poskytli podporu nebo službu. Byl to takový servisní účet patřící dodavateli vytápění, ventilace, klimatizace (HVAC), který byl slabým místem vedoucím k porušení cíle v roce 2014. „Tyto účty mají obvykle božská privilegia, “ řekl Sprunger a dodal, že jsou hlavní cíl pro útočníky.

Překonání bezpečnostních chyb

Co tedy děláte s těmito zranitelnostmi? Krátká odpověď je školení, ale je to složitější. Například uživatelé musí být vyškoleni, aby dali pozor na phishingové e-maily, a že školení musí být dostatečně úplné, aby rozpoznávalo i jemné známky phishingu. Navíc musí zahrnovat kroky, které by zaměstnanci měli podniknout, pokud mají dokonce podezření, že takový útok vidí. To zahrnuje, jak zjistit, kde se odkaz v e-mailu skutečně ubírá, ale také musí zahrnovat postupy pro hlášení takového e-mailu. Školení musí zahrnovat víru, že se nedostanou do potíží, protože nebudou jednat podle pokynů zaslaných e-mailem, které se jeví podezřelé.

Stejně tak musí existovat určitá úroveň správy a řízení společnosti, aby náhodní zaměstnanci nechodili a nevytvářeli vlastní účty cloudových služeb. To zahrnuje sledování poukázek na výdaje za poplatky za cloudové služby na osobních kreditních kartách. Znamená to také, že musíte poskytnout školení o tom, jak se vypořádat s dostupností cloudových služeb.

Řešení zneužívání privilegovaných uživatelů

Řešení privilegovaného zneužívání uživatelů může být také náročné, protože někteří prodejci budou trvat na přístupu s celou řadou práv. S některými z nich se můžete vyrovnat segmentováním sítě, takže přístup je pouze ke spravované službě. Například je segmentujte tak, aby byl řadič HVAC na svém vlastním segmentu, a prodejci, kteří mají za úkol udržovat tento systém, získají přístup pouze k této části sítě. Dalším opatřením, které by k tomu mohlo pomoci, je nasazení robustního systému správy identit (IDM), který nejenže bude lépe sledovat účty, ale také kdo je má a jejich přístupové výhody. Tyto systémy vám také umožní rychleji pozastavit přístup a poskytnout kontrolní záznam o činnosti účtu. A zatímco na jednu můžete utratit velké peníze, můžete ji mít již spuštěnou, pokud jste obchod se systémem Windows Server s aktivovaným stromem Microsoft Active Directory (AD).

• Nejlepší bezpečnostní soupravy pro rok 2019 Nejlepší bezpečnostní soupravy pro rok 2019
• Nejlepší poskytovatelé cloudového úložiště a sdílení souborů pro rok 2019 Nejlepší poskytovatelé cloudového úložiště a sdílení souborů pro rok 2019
• Nejlepší cloudové zálohovací služby pro firmy v roce 2019 Nejlepší cloudové zálohovací služby pro firmy v roce 2019

Možná budete muset zajistit, aby prodejci měli přístup s nejmenšími oprávněními, aby jim jejich účty udělovaly práva pouze na software nebo zařízení, které spravují, a nic jiného - další skvělé využití systému IDM. Můžete od nich požadovat, aby požádali o dočasný přístup pro cokoli jiného.

Toto je pouze několik prvních položek na poměrně dlouhém seznamu bezpečnostních potíží a stojí za přečtení zprávy o bezpečnostním průzkumu SANS v plném rozsahu. Jeho seznam vám poskytne cestovní mapu způsobů, jak přistupovat k vašim chybám zabezpečení a pomůže vám realizovat další kroky, které můžete podniknout. Sečteno a podtrženo, pokud neuděláte nic o problémech, které hlásí SANS, pak se vaše cloudová bezpečnost smrdí a pravděpodobně budete chyceni ve víru selhání, protože váš cloud zakrývá odtok do plného proudu porušení.