Kodėl debesies saugumas jo nesupjaustė ir ką su tuo daryti

SANS instituto 2019 m. Debesų saugumo tyrimas blaivus (norint jį perskaityti, turėsite prisiregistruoti, kad gautumėte nemokamą narystę). Parašytas Dave'o Shacklefordo 2019 m. Balandžio mėn., Ataskaitoje nurodomi kai kurie apgailėtini faktai ir skaičiai. Pvz., Būtų galima manyti, kad po visų naujausių pranešimų apie pažeidimus mes būtume geriau apsaugoti debesijos išteklių. Bet ne tik, kad mes vis dar jaučiamės blogai, didelė problema nėra net technologija. Tai vis tiek žmonės. Aiškus to rodymas pasirodo ataskaitoje pateikiant populiariausių tipų išpuolius, pradedant nuo sąskaitos ar kredencialo užgrobimo, ir netinkamos debesų paslaugų ir išteklių konfigūracijos priežastis.

„Kredencialų užgrobimas yra patikrinta prieigos metodika, nes jūs puolate žmones“, - teigė Mike'as Sprungeris, „Insight Enterprises“ saugos konsultavimo praktikos vyresnysis saugumo konsultavimo praktikos vadovas. "Žmonės visada bus silpniausia grandis, nes būtent čia jūs susiduriate su daugeliu tradicinių socialinės inžinerijos klausimų, tokių kaip skambučiai į pagalbos tarnybą, sukčiavimas sukčiaujant ir sukčiavimas naudojantis ietimis."

Žinoma, yra daugybė būdų, kaip galima pavogti įgaliojimus, nes sukčiavimas paprasčiausiai yra vėliausias ir kai kuriais atvejais sunkiausias, su kuriuo reikia elgtis. Kvalifikavimo duomenis taip pat galima gauti iš duomenų apie kitus pažeidimus vien dėl to, kad žmonės pakartotinai naudoja tuos pačius įgaliojimus ten, kur gali, kad daugiau neprisimintų, nei būtina. Be to, vis dar yra garbinga praktika rašyti prisijungimo informaciją ant lipnių užrašų ir įklijuoti jas šalia klaviatūros.

Neteisingas debesų paslaugų konfigūravimas yra dar viena sritis, kurioje žmonės yra silpnoji vieta. Skirtumas čia tas, kad žmonės išeis ir atsistos debesies paslauga, net neįsivaizduodami, ką daro, ir tada jie naudos duomenis saugoti neapsaugodami.

„Pirmiausia, priimant debesis, buvo tiek daug, kiek lengva atsistoti debesyje, kad kyla nerealių lūkesčių“, - aiškino Sprungeris. "Žmonės daro klaidas. Nelabai aišku, ką turite padaryti, kad apibrėžtumėte konteinerių saugumą."

Saugumo neaiškumas nėra geras

Dalis problemos yra ta, kad debesų paslaugų teikėjai iš tikrųjų neatlieka tinkamo darbo aiškindami, kaip veikia jų saugos parinktys (kaip sužinojau neseniai peržiūrėdamas „Infrastruktūra kaip paslauga“ arba „IaaS“ sprendimus), todėl jūs turite atspėti ar paskambinti pardavėjui už pagalbą. Pvz., Turėdami daugybę debesies paslaugų, turite galimybę įjungti užkardą. Tačiau sužinoti, kaip sukonfigūruoti ją paleidus, gali būti nepaaiškinta. Iš viso.

Ši problema yra tokia bloga, kad Shacklefordas, SANS pranešimo autorius, pradeda ataskaitą su neapsaugotų „Amazon Simple Storage Service“ (S3) kibirų, dėl kurių atsirado pažeidimų, sąrašu. "Jei reikia tikėti skaičiais, 7 proc. S3 segmentų yra atviri pasauliui, - rašė jis. - Dar 35 proc. Nenaudoja šifravimo (kuris yra įmontuotas tarnyboje)." „Amazon S3“ yra puiki saugojimo platforma, nes mūsų bandymai baigėsi. Šios problemos kyla tik dėl to, kad vartotojai neteisingai sukonfigūruoja paslaugą arba visiškai nežino, kad egzistuoja tam tikros savybės.

Piktnaudžiavimas privilegijuotu naudojimu yra kitame sąraše ir tai yra dar viena žmonių problema. Sprungeris teigė, kad tai daugiau nei tiesiog nepatenkinti darbuotojai, nors apima ir tuos. „Daug kas praleista yra trečiųjų šalių, turinčių privilegijuotą prieigą“, - aiškino jis. "Įeiti į paslaugų abonemento prieigą yra daug lengviau. Paprastai tai yra viena sąskaita su vienu slaptažodžiu ir nėra jokios atskaitomybės."

Paslaugų sąskaitos paprastai teikiamos trečiosioms šalims, dažnai pardavėjams ar rangovams, kuriems reikalinga prieiga norint suteikti palaikymą ar paslaugą. Būtent tokia paslaugų sąskaita, priklausanti šildymo, vėdinimo, oro kondicionavimo (HVAC) rangovui, buvo silpnoji vieta, dėl kurios 2014 m. Buvo pažeista „Target“. „Paprastai tose sąskaitose yra į dievą panašios privilegijos“, - teigė Sprungeris ir pridūrė, kad jos yra pagrindinis užpuolikų taikinys.

Saugumo pažeidžiamumų įveikimas

Taigi, ką jūs darote dėl šių pažeidžiamumų? Trumpas atsakymas yra mokymas, tačiau jis yra sudėtingesnis. Pvz., Vartotojai turi būti išmokyti ieškoti sukčiavimo el. Laiškų ir mokymai turi būti pakankamai išsamūs, kad būtų galima atpažinti net subtilius sukčiavimo apsimetant požymius. Be to, ji turi apimti veiksmus, kurių turėtų imtis darbuotojai, jei jie net įtaria matantys tokį išpuolį. Tai apima tai, kaip pamatyti, kur nuoroda el. Laiške iš tikrųjų eina, bet taip pat turi būti tokios pranešimo apie tokį el. Laišką procedūros. Mokymuose turi būti įsitikinimas, kad jie nepatirs problemų dėl nesugebėjimo vykdyti el. Paštu pateiktų instrukcijų, kurios atrodo įtartinos.

Be to, reikia turėti tam tikrą įmonės valdymo lygį, kad atsitiktiniai darbuotojai neišvyktų ir susikurtų savo debesies paslaugų paskyras. Tai apima išlaidų ataskaitų kuponų, susijusių su asmeninių kreditinių kortelių mokesčiais už debesijos paslaugas, stebėjimą. Bet tai taip pat reiškia, kad turite organizuoti mokymus, kaip spręsti debesijos paslaugų prieinamumą.

Kova su privilegijuoto vartotojo piktnaudžiavimu

Kova su privilegijuotu vartotojo piktnaudžiavimu taip pat gali būti sudėtinga, nes kai kurie pardavėjai reikalaus prieigos suteikdami platų teisių spektrą. Kai kuriuos iš jų galite išspręsti segmentuodami savo tinklą, kad galėtumėte naudotis tik valdomomis paslaugomis. Pvz., Segmentuokite jį taip, kad ŠVOK valdiklis būtų atskirame segmente, o pardavėjai, kuriems pavesta prižiūrėti tą sistemą, gauna prieigą tik prie tos tinklo dalies. Kita priemonė, galinti padėti tai pasiekti, yra diegti patikimą tapatybės valdymo (IDM) sistemą, kuri ne tik padės geriau sekti sąskaitas, bet ir kas jas turi bei jų prieigos teises. Šios sistemos taip pat leis greičiau sustabdyti prieigą ir suteiks sąskaitos veiklos audito seką. Ir nors jūs galite išleisti didelius pinigus už vieną, galbūt jūs jau būsite paleistas, jei esate „Windows Server“ parduotuvė, kurioje įjungtas „Microsoft Active Directory“ (AD) medis.

• Geriausi saugumo rinkiniai 2019 metams Geriausi saugumo rinkiniai 2019 metams
• Geriausi verslo debesies saugojimo ir failų mainų teikėjai 2019 m. Geriausi verslo debesų saugojimo ir failų mainų teikėjai 2019 m
• Geriausios „Cloud Backup“ paslaugos verslui 2019 m. Geriausios „Cloud Backup“ paslaugos verslui 2019 m

Taip pat gali tekti įsitikinti, kad pardavėjai turi mažiausiai privilegijuotą prieigą, kad jų sąskaitos suteiktų teises tik į jų valdomą programinę įrangą ar įrenginį ir nieko daugiau - dar vieną puikų IDM sistemos naudojimą. Galite reikalauti, kad jie paprašytų laikinos prieigos prie bet ko kito.

Tai tik kelios svarbiausios prekės gana ilgame saugumo problemų sąraše, todėl verta perskaityti visą SANS saugumo tyrimo ataskaitą. Jo sąrašas pateiks jums kelių būdų, kaip pašalinti saugos spragas, planą ir padės suprasti daugiau žingsnių, kuriuos galite atlikti. Esmė yra ta, kad jei nieko nedarote dėl problemų, apie kurias praneša SANS, tada debesies saugumas smirdės ir jūs tikriausiai pateksite į nesėkmės sūkurį, nes debesis apskrieja kanalizaciją iki visiško prapūtimo. pažeidimas.