Turinys:
- Blogi saugumo įpročiai
- Teisingai nustatykite numatytuosius nustatymus
- Sumažinkite savo debesies keliamas grėsmes
Video: Essential Scale-Out Computing by James Cuff (Lapkritis 2024)
Vienas iš pagrindinių daugelio debesijos paslaugų pardavimo taškų yra saugumas - idėja, kad profesionalų komanda, valdanti jūsų debesies infrastruktūrą ar programos išteklius, gali geriau atlikti darbą užtikrindama tiek, kiek galite patys. Vis dėlto, nors tai tikrai pasakytina apie kai kuriuos paslaugų teikėjus, tai nėra tiesa visiems. Tiesą sakant, naujausi tyrimai rodo, kad visas debesų saugumas yra blogesnės formos nei bet kada.
„RedLock“ tiki, kad ši tendencija vyksta, nes stebėtinai trūksta saugumo pasirengimo debesyje. Pavyzdžiui, „RedLock“ duomenimis, maždaug pusė visų organizacijų, kurioms taikomas Mokėjimo kortelių pramonės duomenų saugumo standarto (PCI DSS) atitikties reglamentas, neatitinka to standarto. Be to, 85 proc. Debesijos išteklių nėra jokių išvežamų srautų apribojimų, o tai reiškia, kad kriptografai ir elektroniniai nusikaltėliai gali sifonuoti visus duomenis, kurių jie nori iš jūsų pažeistos debesies paslaugos, o jūsų valdomas paslaugų teikėjas neturi galimybės žinoti. Šį netikėtą elektroninių nusikaltimų smaigalį pastebėjo „RedLock“ tyrėjai 2018 m. Gegužės mėn. Pranešime „Debesų apsaugos tendencijos“.
Blogi saugumo įpročiai
„RedLock“ ir kiti saugumo tyrinėtojai nustatė daug šio debesų nusikalstamumo antplūdžio priežasčių, tačiau dauguma sutinka, kad pagrindinis veiksnys yra nepakankamas ne tik saugumo reguliavimo, bet net ir paprastos IT saugumo politikos laikymasis daugelyje debesų duomenų centrų. O blogi įpročiai tenkinami vienodai blogais įpročiais jų atitinkamose debesijos tarnybose. Nusikalstamumo debesijoje padaugėjo dėl to, kad viešieji debesys vis dar yra gana naujas išteklius, todėl veiksmus, kurių reikia norint sukurti ir įgyvendinti geriausią saugumo praktiką, ne tik supranta daugelis IT specialistų, bet jie taip pat nuolat tobulinami.
Kitas svarbus šio elektroninių nusikaltimų aktyvumo augimo veiksnys yra tas, kad blogi vaikinai stengiasi vis labiau, nes mažiausiai už debesį moka nusikalstamumas. Tai ypač pasakytina apie dabar žinomas priemones, leidžiančias pavogti procesoriaus ciklus iš kažkieno debesies. Tai yra didelė paskata, nes kriptovaliutos kasyba gali uždirbti daug neišsektų pinigų, ypač jei jie neturi mokėti skaičiavimo sąskaitų - sąskaitų, kurios gali būti labai sunkios. Pasak „RedLock“ įkūrėjo ir generalinio direktoriaus Varuno Badhwaro, nėra neįprasta, kad kriptovaliutų aukos iš savo debesų paslaugų teikėjo gauna sąskaitas, kurių kiekviena siekia nuo papildomų 50 USD iki 100 000 USD per dieną už pavogtas debesų paslaugas.
Nors atrodo, kad kriptovaliutos yra pagrindinis kibernetinių blogybių motyvatorius, metodai, kuriuos jie naudoja pavogti tai, ko jiems reikia, dažniausiai sukasi aplink tris pagrindines grėsmes. Pirma didelė grėsmė yra sąskaitos kompromisai dėl blogų saugumo įpročių, pvz., Naudojant šakninį prisijungimą prie visko arba pasiduodant apsimestinėms atakoms. Antra grėsmė yra konfigūracijos klaidos, leidžiančios atskleisti debesų duomenis. Trečioji grėsmė yra nuolatinė problema su žinomomis spragomis, kurios išlieka aktyvios, nes įmonės nesugeba pataisyti ir atnaujinti programinės įrangos.
Anot Badhwar, prarasti ir pavogti įgaliojimai ir toliau išlieka reikšminga saugumo problema. Jis sakė, kad jo tyrinėtojai nustatė, kad tokie įgaliojimai yra plačiai paplitę viešajame internete tokiose vietose, kaip „GitHub“ įkėlimai. Kai šie įgaliojimai bus surinkti, užpuolikai gali sukaupti daugybę skaičiavimo pavyzdžių bet kokiam tikslui.
Be to, prieiga prie kredencialų per debesies programų programavimo sąsajas (API) dabar teikia papildomas prieigos priemones, kai procesas virtualioje mašinoje (VM) yra pažeistas. Šis procesas gali naudoti API, kad būtų galima pasiekti debesies paslaugos metaduomenis, ir tada metaduomenys gali būti naudojami norint gauti naują prieigą.
Teisingai nustatykite numatytuosius nustatymus
Tačiau ne visi blogi metodai naudoja naujus ir egzotiškus metodus, kad būtų pažeistos debesijos paslaugos. Pavyzdžiui, „RedLock“ tyrėjai nustatė, kad 85 proc. Debesies užkardų numatytieji parametrai nebuvo nustatyti „paneigti“ siunčiamą srautą. Tai iš tikrųjų yra gana lengvas nustatymas, kurį reikia sukonfigūruoti konfigūruojant debesies egzempliorių, tačiau tam reikia, kad asmuo, kuris atlieka darbą, pirmiausia žinotų apie nustatymą ir tada įsitikintų, kad jis tinkamai nustatytas. Tai yra, kai IT darbuotojų samdymas su specialiais saugos įgūdžių rinkiniais gali būti tikra pridėtinė vertė, ypač technologijų įmonėms, vykdančioms verslą naudojantis debesijos paslaugomis.
Badhwar teigė, kad kadangi įmonės pirmą kartą įsteigia debesų paslaugas, dažnai joms trūksta mokymų ir supratimo, kaip veikia debesų saugumas. Štai kodėl jis nėra tinkamai nustatytas ir dažnai jis praranda savo įgaliojimus. „Tai yra tarsi palikti namų raktus priekiniame kieme“, - sakė Badhwar.
Galiausiai Badhwar teigė, kad viena iš kriptoekistikos smaigalio priežasčių yra ta, kad atlygis yra labai didelis, o pagavimo pasekmės yra minimalios. "Užpuolikai pradeda suprasti, kaip jie ilgą laiką gali skristi žemiau radaro, - sakė jis. - O atgarsiai yra gana riboti. Blogiausia, kas gali nutikti, yra tai, kad galite juos išjungti iš aplinkos."
Sumažinkite savo debesies keliamas grėsmes
Badhwar teigė, kad nors įstatymai, taikomi kovai su nesankcionuota prieiga prie kompiuterio ir kompiuterio išteklių vagystėmis, vis dar galioja, nėra jokio normatyvinio reikalavimo, kad bendrovės praneštų apie kriptovaliutų stebėjimą. Tai reiškia, kad aptikus pažeidimą, nėra daug paskatų daryti ką nors daugiau, nei tik išstumti įsibrovėlį.
Taigi, ką galite padaryti, kad apsaugotumėte savo organizaciją nuo šių debesies pėdsakų grėsmių? „RedLock“ pateikia šiuos devynis patarimus:
Pašalinkite šakninių sąskaitų naudojimą kasdienėms operacijoms,
Vykdykite daugiafaktorinį autentifikavimą (MFA) visose privilegijuotose vartotojų sąskaitose,
Įgyvendinkite politiką, kad automatiškai priverstumėte periodiškai pasiekti raktus,
Automatiškai išjungti nenaudojamas paskyras ir prieigos raktus,
Įdiekite vartotojų ir subjektų elgesio analizės sprendimus, kad nustatytumėte kenkėjišką elgesį,
Įdiekite numatytąją siunčiamų užkardų politiką „atmesti visus“,
Stebėkite tinklo srautą iš šiaurės, pietų ir rytų į vakarus, kad nustatytumėte bet kokią įtartiną veiklą, įskaitant kriptoekraną.
Stebėkite, ar vartotojo veikloje nėra neįprasto ar neįprasto elgesio, pavyzdžiui, neįprastų bandymų pašalinti naujus skaičiavimo egzempliorius ir
Užtikrinkite, kad debesijos ištekliai būtų automatiškai aptinkami juos kuriant, ir kad būtų stebima, ar jų laikomasi visose debesies aplinkose.
Galite sukonfigūruoti debesies aplinkos saugos parametrus ir saugos programas, kad galėtumėte tvarkyti šiuos pasiūlymus, tačiau jūs turite žinoti, kad tai turite padaryti. Tam reikia giliau išmokti pasirinktos debesies aplinkos naudojimo specifikos.
Laimei, jei investuosite šiek tiek laiko į mokymąsi, pastebėsite, kad pasirinkti tinkamas parinktis gali būti gana paprasta, o praktikoje tai dažniausiai būna atlikta vos keliais paprastais pelės paspaudimais. Be abejo, gali reikėti šiek tiek pinigų, norint įdiegti griežtesnius saugos parametrus po pradinės konfigūracijos. Tačiau ne visada taip yra ir tikrai bus pigiau, nei sumokėsite už prarastus duomenis, našumą, pajamas ir galbūt ir klientus.
