Miért nem csökkenti felhőalapú biztonsága, és mit tegyen vele?

A SANS Intézet 2019. évi felhőalapú biztonsági felmérése józanul jár (az elolvasáshoz regisztrálnia kell egy ingyenes tagságot). Dave Shackleford által 2019. áprilisban írta, a jelentés néhány kiábrándító tényt és adatot tartalmaz. Például azt gondolhatnánk, hogy az összes, a közelmúltban elkövetett szabálysértési jelentés után jobban megvédjük felhőforrásainkat. De nemcsak hogy még mindig nagyon rosszul gondolkodunk, a nagy probléma még a technológia sem. Még mindig emberek. Ennek egyértelmű jelzése megjelenik a jelentés a támadások legfontosabb típusainak listájában, kezdve a fiók vagy a hitelesítő adatok eltérítésével, valamint a felhőalapú szolgáltatások és erőforrások téves konfigurációjának első számú okával.

"A hitelesítő adatok eltérítése kipróbált és valódi hozzáférési módszer, mivel embereket támadsz" - mondta Mike Sprunger, az Insight Enterprises biztonsági tanácsadói gyakorlatának biztonsági tanácsadói gyakorlatának vezetője. "Az emberek mindig a leggyengébb láncszemek, mert itt foglalkoznak sok olyan hagyományos szociális mérnöki kérdéssel, mint például az ügyfélszolgálat hívása, adathalász és lándzsa adathalászat."

Természetesen számos módon meg lehet lopni a hitelesítő adatokat: az adathalászat egyszerűen a legújabb, és bizonyos esetekben a legnehezebb. A hitelesítő adatokat más megsértések adataiból is ki lehet vonni egyszerűen azért, mert az emberek ugyanazt a hitelesítő adatot újrafelhasználják, ahol csak tudnak, így a szükségesnél többet nem emlékeznek rájuk. Ezen túlmenően még mindig nagy a bevált gyakorlat, amikor bejelentkezési információkat ragasztólapokra írnak és beillesztnek billentyűzet mellé.

A felhőszolgáltatások téves konfigurációja egy másik olyan terület, ahol az emberek a gyenge pont. A különbség az, hogy az emberek kimennek és felhőalapú szolgáltatást állítanak fel anélkül, hogy fogalma lenne arról, mit csinálnak, majd az adatok tárolására használják anélkül, hogy megvédnék őket.

"Először is, a felhőbeosztásban annyira annyira nehézkes felállni egy felhőn, hogy irreális elvárások merülnek fel" - magyarázta Sprunger. "Az emberek hibákat követnek el, és nem igazán világos, mit kell tennie a konténerek körüli biztonság meghatározásához."

A bizonytalanság a biztonságban nem jó

A probléma egy része az, hogy a felhőszolgáltatók nem igazán végeznek megfelelő munkát azzal, hogy elmagyarázzák a biztonsági opciók működését (amint rájöttem az infrastruktúra-szolgáltatásként vagy az IaaS-megoldások nemrégiben történő áttekintésekor), így kitalálnod kell vagy fel kell hívnod az eladó segítségért. Például sok felhőszolgáltatás esetén bekapcsolhatja a tűzfalat. Előfordulhat azonban, hogy nem derül ki egyértelműen, hogy megtudja, hogyan kell konfigurálni a futtatást. Egyáltalán.

Ez a probléma annyira súlyos, hogy Shackleford, a SANS jelentés szerzője, a nem védett Amazon Simple Storage Service (S3) vödrök listájával kezdi a jelentést, amelyek megsértést eredményeztek. "Ha el kell hinni a számoknak, az S3 vödrök 7 százaléka szélesen nyitott a világ számára" - írta -, és további 35 százalékuk nem használ titkosítást (ami be van építve a szolgáltatásba). " Az Amazon S3 nagyszerű tárolási platform, mivel a tesztelésünk kimerült. Az ilyen problémák egyszerűen abból fakadnak, hogy a felhasználók tévesen konfigurálják a szolgáltatást, vagy teljesen tudatában vannak annak, hogy bizonyos funkciók léteznek.

A privilegizált használatgal való visszaélés a következő a listán, és ez egy másik probléma, amely az emberektől származik. Sprunger elmondta, hogy ez nem csupán elégedetlen munkavállalók, bár ide tartozik is. "Sok hiányzik azok a harmadik felek, akiknek kiváltságos hozzáférésük van" - magyarázta. "Sokkal könnyebb belépni a szolgáltatásfiókok elérésével. Általában egy fiók egyetlen jelszóval, és nincs felelősség."

A szolgáltatási fiókokat általában harmadik felek számára nyújtják, gyakran gyártóknak vagy vállalkozóknak, akiknek hozzáférésre van szükségük a támogatás vagy a szolgáltatás nyújtásához. A fűtési, szellőztetési, légkondicionáló (HVAC) vállalkozókhoz tartozó ilyen szolgáltatásfiók volt a gyenge pont, amely 2014-ben megcélozta a Target-et. "Ezeknek a számláknak általában isteni jellegű kiváltságai vannak" - mondta Sprunger, hozzátéve, hogy ők elsődleges célpont a támadók számára.

A biztonsági rések leküzdése

Szóval, mit tehet ezekkel a sebezhetőségekkel? A rövid válasz az edzés, de ennél bonyolultabb. Például a felhasználókat ki kell képezni az adathalász e-mailek keresésére, és a képzésnek elég teljesnek kell lennie, hogy felismerje az adathalászat még finomabb jeleit is. Ezenkívül tartalmaznia kell azokat a lépéseket, amelyeket az alkalmazottaknak meg kell tenniük, ha azt is gyanítják, hogy ilyen támadást látnak. Ez magában foglalja azt is, hogy miként lehet megnézni, hogy az e-mailben egy link hol megy, de ehhez tartalmaznia kell az ilyen e-mailek jelentési eljárásait is. A képzésnek tartalmaznia kell azt a hitet, hogy nem fog bajba kerülni azért, mert nem cselekszik gyanúsnak tűnő e-mail utasításokkal.

Hasonlóképpen, szükség van bizonyos szintű vállalatirányításra, hogy a véletlenszerű alkalmazottak ne menjenek ki, és saját felhőalapú szolgáltatási fiókjukat hozzák létre. Ez magában foglalja a személyes hitelkártyákon a felhőalapú szolgáltatások díjainak költségjelentési utalványainak megtekintését. De azt is jelenti, hogy képzést kell nyújtania arról, hogy miként lehet kezelni a felhőalapú szolgáltatások elérhetőségét.

A kiváltságos felhasználói visszaélések kezelése

A kiváltságos felhasználói visszaélések kezelése szintén kihívást jelenthet, mivel egyes gyártók sokféle joggal ragaszkodnak a hozzáféréshez. Ennek egy részével megbirkózhat a hálózat szegmentálásával, így csak a kezelt szolgáltatáshoz férhet hozzá. Például szegmentálja úgy, hogy a HVAC vezérlő a saját szegmensén helyezkedjen el, és a gyártók, akiknek a feladata a rendszer fenntartása, csak a hálózat azon részéhez férjenek hozzá. Egy másik intézkedés, amely elősegítheti ennek megvalósítását, egy erőteljes identitáskezelő (IDM) rendszer telepítése, amely nem csak a számlák jobb nyomon követése érdekében, hanem az is, hogy ki rendelkezik velük és hozzáférési jogosultságokkal. Ezek a rendszerek azt is lehetővé teszik, hogy gyorsabban felfüggessze a hozzáférést, és ellenőrzési nyomkönyvet biztosítson a fióktevékenységhez. És bár egy nagy dollárt költenek egyre, lehet, hogy már fut egy, ha Windows Server üzletben vagy, ahol a Microsoft Active Directory (AD) fa engedélyezve van.

• A legjobb biztonsági lakosztályok 2019-re A legjobb biztonsági lakosztályok 2019-re
• A legjobb üzleti felhő-tárolási és fájlmegosztási szolgáltatók 2019-ig A legjobb üzleti felhő-tárolási és fájlmegosztási szolgáltatók 2019-re
• A legjobb felhőalapú biztonsági mentési szolgáltatások vállalkozások számára 2019-ben A legjobb felhőalapú biztonsági szolgáltatások vállalkozások számára 2019-ben

Biztosítania kell azt is, hogy a gyártók a legkevésbé privilégiumokhoz férjenek hozzá, hogy fiókjaik csak az általuk kezelt szoftver vagy készülék számára adják meg a jogokat, és semmi másra - az IDM rendszer egy másik nagyszerű felhasználására. Kérheti őket, hogy bármi mást kérjenek ideiglenes hozzáféréstől.

Ez csak a néhány legnépszerűbb elem a biztonsági problémák meglehetősen hosszú listáján, és érdemes teljes egészében elolvasni a SANS biztonsági felmérés jelentését. A listája útitervet ad a biztonsági rések felfedezésének módjaihoz, és segít további lépések megvalósításában. De az a lényeg, hogy ha nem tesz semmit a SANS által bejelentett problémákkal, akkor a felhőbiztonság bűzlik, és valószínűleg meghibásodás örvényébe fog belejutni, mivel a felhő egy teljes csapásra keríti a csatornát. megszeg.