Miksi pilviturvallisuus ei leikkaa sitä ja mitä tehdä sen suhteen

SANS-instituutin 2019 Cloud Security Survey on rajoittava (sinun on kirjauduttava sisään ilmaiseksi jäseneksi, jotta voit lukea sen). Dave Shacklefordin huhtikuussa 2019 kirjoittamassa raportissa esitetään joitain pettyviä tosiasioita ja lukuja. Voidaan esimerkiksi ajatella, että kaikkien viimeaikaisten rikkomusraporttien jälkeen suojelemme paremmin pilviresurssejamme. Mutta paitsi, että olemme edelleen melko huonoja siinä, iso ongelma ei ole edes tekniikka. Se on silti ihmisiä. Selvä osoitus tästä ilmestyy raportin luettelossa suosituimmista hyökkäyksistä, alkaen tilin tai käyttöoikeuksien kaappaamisesta, ja pilvipalvelujen ja -resurssien väärän määrityksen syystä kahta muuta syytä.

"Valtakirjojen kaappaus on kokeiltu ja totta pääsymenetelmä, koska hyökkäät ihmisiin", sanoi Mike Sprunger, Insight Enterprisesin tietoturvakonsultointikäytännön tietoturvakonsultointiharjoituksen vanhempi johtaja. "Ihmiset ovat aina heikoin lenkki, koska täällä pääset paljon perinteisiin sosiaalisen insinöörin kysymyksiin, kuten puhelut asiakaspalveluun, tietojenkalastelu ja keihäs tietojen kalastelu."

Tietysti on olemassa monia tapoja, joilla käyttöoikeudet voidaan varastaa, ja tietojenkalastelu on yksinkertaisesti viimeisin ja joissain tapauksissa vaikein käsitellä. Mutta valtakirjat voidaan noutaa myös muista rikkomuksista saaduista tiedoista yksinkertaisesti siksi, että ihmiset käyttävät samoja valtuustietoja uudelleen missä vain voivat, joten heillä ei ole muistoja enempää kuin tarpeen. Lisäksi kunnioitettu käytäntö kirjoittaa kirjautumistietoja muistiinpanoihin ja liittää ne näppäimistön viereen on edelleen hyvin lähellä.

Pilvipalvelujen väärät määritykset ovat toinen alue, jolla ihmiset ovat heikko kohta. Ero on siinä, että ihmiset lähtevät ulos ja nousevat pilvipalvelunsa käsittämättä mitään tekemästään, ja sitten he käyttävät sitä tietojen tallentamiseen suojamatta sitä.

"Ensinnäkin pilvien omaksumisessa on ollut niin paljon siitä, kuinka helppoa on nousta pilvi, että siihen liittyy epärealistisia odotuksia", Sprunger selitti. "Ihmiset tekevät virheitä, eikä ole oikein selvää, mitä sinun on tehtävä määritelläksesi konttien turvallisuus."

Epämääräisyys turvallisuudessa ei ole hyvä

Osa ongelmasta on se, että pilvipalveluntarjoajat eivät todellakaan tee riittävästi työtä selittääkseen heidän tietoturvavaihtoehtojensa toimivuutta (kuten sain selville, kun tarkistin äskettäin Infrastruktuuri palveluna tai IaaS-ratkaisuja), joten joudut arvaamaan tai soittamaan myyjältä apua. Esimerkiksi monissa pilvipalveluissa sinulla on mahdollisuus ottaa palomuuri käyttöön. Mutta sen selvittämistä, kuinka se määritetään, kun se on käynnissä, ei välttämättä selitetä selvästi. Ollenkaan.

Tämä ongelma on niin paha, että SANS-raportin kirjoittaja Shackleford aloittaa raportin luettelolla suojaamattomia Amazon Simple Storage Service (S3) -ämpkejä, jotka johtivat rikkomuksiin. "Jos numeroita uskotaan, 7 prosenttia S3-kauhoista on auki maailmalle", hän kirjoitti. "Toinen 35 prosenttia ei käytä salausta (joka on sisäänrakennettu palveluun)." Amazon S3 on loistava tallennusalusta, kun testauksemme loppui. Nämä ongelmat johtuvat yksinkertaisesti siitä, että käyttäjät joko määrittävät palvelun väärin tai eivät ole täysin tietoisia tiettyjen ominaisuuksien olemassaolosta.

Etuoikeutetun käytön väärinkäyttö on luettelossa seuraavaksi, ja se on toinen ihmisistä johtuva ongelma. Sprunger kertoi, että kyseessä ei ole vain tyytymättömät työntekijät, vaikka niihin kuuluukin. "Paljon puuttuu kolmansia osapuolia, joilla on etuoikeutettu pääsy", hän selitti. "Palvelutilien käyttö on paljon helpompaa. Tyypillisesti se on yksi tili yhdellä salasanalla, eikä siitä ole vastuuvelvollisuutta."

Palvelutilat tarjotaan yleensä kolmansille osapuolille, usein myyjille tai urakoitsijoille, jotka tarvitsevat pääsyn joko tuen tai palvelun tarjoamiseen. Juuri lämmitys-, ilmanvaihto-, ilmastointi- (HVAC) urakoitsijalle kuuluva palvelutili oli heikko kohta, joka johti Target-rikkomukseen vuonna 2014. "Näillä tileillä on tyypillisesti jumalamaisia ​​etuoikeuksia", Sprunger sanoi ja lisäsi, että ne ovat ensisijainen kohde hyökkääjille.

Turvallisuushaavoittuvuuksien ylittäminen

Joten mitä teet näistä haavoittuvuuksista? Lyhyt vastaus on koulutus, mutta se on monimutkaisempi. Esimerkiksi käyttäjiä on koulutettava etsimään tietojenkalastelusähköposteja, ja että koulutuksen on oltava riittävän täydellistä tunnistaakseen jopa hienovaraiset tietojenkalastelun merkit. Lisäksi siihen on sisällytettävä vaiheet, jotka työntekijöiden tulisi suorittaa, jos he jopa epäilevät näkevänsä tällaista hyökkäystä. Tämä sisältää kuinka nähdä, missä sähköpostin linkki todella menee, mutta siihen on myös sisällytettävä menettelyt tällaisen sähköpostin ilmoittamiseksi. Koulutuksen on sisällettävä usko, etteivät he pääse vaikeuksiin, koska ne eivät toimineet epäilyttäviksi osoittautuneilla sähköpostilla annettuihin ohjeisiin.

Samoin on oltava jonkinlainen hallinnointitaso, jotta satunnaiset työntekijät eivät mene ulos ja perustavat omia pilvipalvelutilejä. Tähän sisältyy henkilökohtaisten luottokorttien pilvipalveluista perittävien kustannusraporttien katseleminen. Mutta se tarkoittaa myös, että sinun on annettava koulutusta pilvipalvelujen saatavuuden käsittelemiseksi.

Etuoikeutettujen käyttäjien väärinkäytösten käsittely

Etuoikeutettujen käyttäjän väärinkäytösten käsittely voi olla myös haastavaa, koska jotkut myyjät vaativat pääsyä monenlaisilla oikeuksilla. Voit käsitellä jotakin tästä segmentoimalla verkon siten, että pääsy on vain palvelulle, jota hallitaan. Esimerkiksi segmentoi se niin, että LVI-ohjain on oma segmentti, ja myyjät, joiden tehtävänä on ylläpitää kyseistä järjestelmää, saavat pääsyn vain siihen verkon osaan. Toinen toimenpide, joka voi auttaa tämän saavuttamisessa, on tukevan henkilöllisyyshallintajärjestelmän (IDM) käyttöönotto, joka ei vain seuraa paremmin tilejä, mutta myös sitä, kenellä niitä on ja heidän käyttöoikeutensa. Näiden järjestelmien avulla voit myös keskeyttää pääsyn nopeammin ja tarjota tilin toiminnan tarkastusketjun. Ja vaikka voit käyttää suuria dollareita yhdelle, jo yksi saattaa olla jo käynnissä, jos olet Windows Server -kauppa, jossa Microsoft Active Directory (AD) -puu on käytössä.

• Parhaat turvasviitit vuodelle 2019 Paras turvasarjat vuodelle 2019
• Paras yrityspilvivaraston ja tiedostonjakamisen tarjoajat vuodelle 2019 Parhaat yrityspilvivaraston ja tiedostonjakamisen tarjoajat vuodelle 2019
• Parhaat pilvipalvelupalvelut yrityksille vuonna 2019 Parhaat pilvipalvelupalvelut yrityksille vuonna 2019

Saatat joutua myös varmistamaan, että toimittajilla on vähimmäisoikeudet, jotta heidän tilinsä myöntävät heille vain oikeudet hallitsemalleen ohjelmalle tai laitteelle. Ei mitään muuta - IDM-järjestelmän upea käyttö. Voit vaatia heitä pyytämään väliaikaista pääsyä kaikkeen muuhun.

Nämä ovat vain muutamia tärkeimpiä kohteita melko pitkässä turvallisuushäiriöiden luettelossa, ja on syytä lukea SANS-turvallisuustutkimusraportti kokonaisuudessaan. Sen luettelo antaa sinulle etenemissuunnitelman tapaa lähestyä tietoturvallisuutesi haavoittuvuuksia ja auttaa sinua ymmärtämään lisää mahdollisia vaiheita. Mutta lopullinen asia on, että jos et tee mitään SANS: n ilmoittamiin ongelmiin, pilviturvallisuus haisee ja olet todennäköisesti joutunut epäonnistumisen pyörteeseen, kun pilvi kiertää viemäriin täyden tuulen. rikkominen.