Video: LAPORAN & REFLEKSI DIRI KESELAMATAN DAN ALAM SIBER LMSK 1502 (November 2024)
Tahun akan datang menjanjikan pertumbuhan yang besar untuk penyedia perkhidmatan awan awam dan vendor penyelesaian Software-as-Service (SaaS). Untuk satu, teknologi peringkat asas baru seperti pengendalian mikroservis dan penghalang blok, antara lain, memberikan laluan yang belum diterokai untuk inovasi. Tetapi mungkin lebih penting lagi, salah satu penyekat pengangkut awan yang paling banyak disebut CIO (iaitu keselamatan dan keselamatan data) nampaknya akhirnya akan bergerak ke latar belakang, terutamanya untuk perusahaan dan perniagaan menengah.
Sementara para penganalisis bersetuju bahawa kebanyakan perniagaan hari ini-termasuk segmen perusahaan dan midsize-mempunyai beberapa penyebaran awan pada tahap yang berbeza-beza, mereka juga bersetuju bahawa organisasi yang lebih besar telah lambat untuk memindahkan beban kerja utama ke awan, dengan alasan utama diberikan keselamatan awan dan data keselamatan. Itu penting untuk pelanggan ini bukan hanya kerana jumlah data besar-besaran organisasi-organisasi ini akan berhijrah, tetapi juga kerana lulus pematuhan dan pemeriksaan kawal selia yang ketat, seperti Akta Kemaskini dan Kebajikan Insurans Kesihatan (HIPAA) dan ISO 27001, adalah penting bagi mereka untuk menjalankan perniagaan. Keselamatan adalah yang paling utama untuk CIOs ini dan, sehingga baru-baru ini, ia hanya tidak cukup kuat bagi mereka untuk menggunakan awan secara besar-besaran.
Tetapi, menurut ramalan penganalisis untuk 2017, itu akan berubah. Keselamatan awan telah datang sangat lama dalam dekad yang lalu dan nampaknya banyak profesional IT dan CIO bersetuju. Ini bermakna penganalisis meramalkan bahawa kita akan melihat lebih banyak infrastruktur awan dan perkhidmatan awan daripada sektor perusahaan pada tahun 2017.
Saya menjalankan temubual email dengan Brian Kelly, Ketua Pegawai Keselamatan di penyedia awan terurus yang terkenal Rackspace, untuk mengetahui apa yang berubah mengenai keselamatan awan pada tahun yang akan datang dan untuk melihat sama ada beliau bersetuju dengan ramalan penganalisis itu.
PCMag: Tepatnya bagaimana Rackspace melihat peranannya berbanding kakitangan IT pelanggannya ketika datang ke soal keselamatan dan keamanan data?
Brian Kelly (BK): Kami melihat bukti langsung bahawa pelanggan akan datang ke awan kerana keselamatan dan bukan melarikan diri daripadanya. Dengan beberapa pengecualian, syarikat hanya tidak mempunyai sumber dan kemahiran untuk mempertahankan organisasi mereka secara efektif daripada ancaman yang lebih canggih dan berterusan. Begitu juga, penyedia awan menyedari bahawa masa depan perniagaan kami bergantung pada penyampaian kepercayaan dan keyakinan melalui amalan keselamatan yang berkesan. Walaupun pembekal cloud meningkatkan pelaburan dalam keselamatan, melindungi aset organisasi akan sentiasa menjadi tanggungjawab bersama. Walaupun penyedia awan bertanggungjawab secara langsung untuk perlindungan kemudahan, pusat data, rangkaian, dan infrastruktur maya, pengguna juga mempunyai tanggungjawab untuk melindungi sistem operasi, aplikasi, data, akses dan kelayakan.
Forrester mencipta istilah "jabat tangan yang tidak sekata" merujuk kepada tanggungjawab bersama ini. Dalam sesetengah pendapat, pengguna percaya bahawa mereka membebankan beban untuk keselamatan data mereka. Ini mungkin benar beberapa tahun yang lalu; Namun, kita menyaksikan keseimbangan jabat tangan. Iaitu, pembekal awan boleh dan harus berbuat lebih banyak untuk pengguna untuk berkongsi tanggungjawab untuk keselamatan. Ini boleh menjadi bentuk yang hanya menyediakan keterlihatan dan ketelusan yang lebih besar ke dalam beban kerja yang dihoskan, menyediakan akses kepada kawalan pesawat atau menawarkan perkhidmatan keselamatan terurus. Walaupun tanggungjawab keselamatan pengguna tidak akan hilang, pembekal awan akan terus mengambil lebih banyak tanggungjawab dan menyampaikan tawaran keselamatan terurus yang ditambah nilai untuk membina kepercayaan yang diperlukan untuk kedua belah pihak untuk beroperasi dengan selamat di awan.
PCMag: Adakah anda mempunyai nasihat untuk profesional IT dan pelanggan perniagaan tentang apa yang boleh mereka lakukan selain daripada apa yang diberikan penyedia untuk membantu melindungi data berasaskan awan mereka sendiri?
BK: Mereka mesti terus melaksanakan amalan terbaik keselamatan dalam lingkungan mereka. Mereka perlu mengasingkan beban kerja di kawasan yang bertanggungjawab untuk mengehadkan ruang lingkup kompromi, memastikan persekitaran kerja (sistem pengendalian, kontena, LAN maya) betul-betul diamankan dan ditampal, endpoint leverage dan teknologi penderiaan dan respon tahap rangkaian (IDS / IPS, pengesanan malware dan pengendalian), dan secara aktif menguruskan akaun dan akses. Seringkali, pelanggan boleh memasukkan perkhidmatan dan teknologi ini dalam kontrak penggunaan awan mereka, tetapi jika tidak, pengguna mesti memastikan bahawa ia berlaku di pihak mereka.
PCMag: Satu soalan utama yang kami lihat ialah bertanya mengenai pembelaan yang berkesan terhadap serangan perkhidmatan yang menyebarkan Internet (IOT) secara besar-besaran (DDoS), sama seperti kejadian pada Oktober lalu di mana vendor IoT China secara tidak sengaja menyumbang banyak serangan itu. Adakah serangan tersebut berfungsi dengan Penyedia Perkhidmatan Internet hulu (ISP)? Dan bagaimanakah mereka menyerang seorang pelanggan daripada mengambil semua orang di dalam sebuah kemudahan?
BK: Matlamat utama pertahanan DDoS adalah mengekalkan ketersediaan semasa berada di bawah serangan. Keupayaan serangan DDoS dari IoT terkenal dan dapat dikurangkan dengan berjaya dengan melaksanakan amalan terbaik keselamatan dan dengan menggunakan sistem pengurangan DDoS pintar. Ancaman terbesar bukanlah kaedah serangan dari IoT tetapi jumlah besar peranti internet yang mudah terdedah. Rangkaian perlu dikunci untuk menghadkan pendedahan kepada ancaman di internet. Pengendali rangkaian perlu proaktif dalam mengesan semua kemungkinan ancaman dan mengetahui teknik yang paling berkesan untuk mengurangkannya, sambil mengekalkan keupayaan untuk menganalisis dan mengklasifikasikan semua trafik rangkaian.
Strategi pengurangan DDoS yang kuat memerlukan pendekatan berlapis, bertahan. Jumlah peranti IOT yang banyak membuat serangan IoT yang sukar untuk rangkaian skala kecil. Keberkesanan serangan IOT adalah fleksibiliti untuk menghasilkan vektor serangan yang berbeza dan menghasilkan lalu lintas DDoS yang besar dan besar. Malah rangkaian yang paling keras dapat dengan cepat dibanjiri oleh jumlah lalu lintas yang sangat besar yang dapat dihasilkan oleh IoT di tangan penyerang yang mampu. ISP hulu sering lebih baik dilengkapi dan dikendalikan untuk menangani serangan besar-besaran yang akan menjejaskan hubungan rangkaian kecil. Di samping itu, skala operasi rangkaian dan peralatan yang diperlukan untuk mengurangkan serangan tersebut meletakkan pengesanan dan tindak balas yang berkesan dari jangkauan kebanyakan organisasi. Penyelesaian yang lebih baik adalah penyumberan luar operasi sedemikian kepada penyedia ISP hulu penyedia awan yang sudah bekerja dengan skala rangkaian ini.
ISP hulu mempunyai banyak kelebihan melalui kepelbagaian titik akses internet yang mantap di mana mereka boleh mengalihkan trafik. Mereka juga umumnya mempunyai paip data yang cukup besar untuk menyerap banyak lalu lintas DDoS pada mulanya manakala aktiviti tindak balas trafik ulang laluan berputar. "Hulu" adalah istilah yang baik kerana ia agak serupa dengan satu siri empangan di sepanjang sungai. Semasa banjir, anda boleh melindungi rumah-rumah di hilir dengan menggunakan setiap empangan untuk menangkap lebih banyak air di setiap tasik yang dicipta oleh empangan dan mengukur aliran untuk mengelakkan banjir hiliran. Kepelbagaian bandwidth dan titik akses untuk ISP hulu memberikan jenis ketahanan yang sama. Mereka juga mempunyai protokol yang dirundingkan di seluruh komuniti internet untuk menghantarkan lalu lintas DDoS lebih dekat dengan sumber yang dapat mereka aktifkan.
Seperti aktiviti tindak balas kejadian lain, perancangan, penyediaan, dan amalan adalah penting. Tidak ada dua serangan yang sama, oleh itu, menjangka pilihan dan keadaan maka perancangan dan latihan untuk mereka adalah penting. Untuk senario serangan IoT, ini termasuk mengimbas rangkaian anda untuk peranti yang lemah dan mengambil tindakan pembetulan. Anda juga harus memastikan menghalang pengimbasan dari luar rangkaian anda untuk peranti IOT terdedah. Untuk membantu, melaksanakan kawalan akses yang ketat dan mengeras sistem operasi, dan mengembangkan prosedur untuk menampal versi kod yang berbeza, peranti rangkaian dan aplikasi.
Klik imej untuk infographic penuh. Kredit imej: Twistlock
PCMag: Pembaca soalan lain bertanya kepada kami mengenai keselamatan kontena. Adakah anda bimbang tentang bekas senjata yang boleh mengandungi sistem serangan yang rumit atau adakah anda rasa seni bina melindungi terhadap eksploit seperti itu?
BK: Keselamatan dengan mana-mana teknologi yang baru ditekankan selalu menjadi kebimbangan yang tinggi - bekas bukanlah unik dalam aspek ini. Tetapi, seperti banyak cabaran keselamatan, terdapat trade-offs. Walaupun terdapat peningkatan risiko, kami juga percaya terdapat strategi penangguhan yang berkesan untuk risiko yang dapat kami kendalikan.
Satu kontena, pada asasnya, adalah persekitaran sistem pengendalian maya yang sangat fana dan ringan. Adakah mesin maya kurang selamat daripada pelayan fizikal yang berasingan? Mereka, dalam kebanyakan kes. Walau bagaimanapun, banyak perniagaan melihat faedah kos dari virtualisasi (kurang berbelanja, lebih mudah untuk mengurus, boleh membuat mesin dengan tujuan semula jadi dengan mudah) dan mereka memilih untuk memanfaatkan mereka sambil mengurangkan sebanyak mungkin risiko. Intel juga menyedari mereka dapat membantu mengurangkan beberapa risiko itu sendiri dan itulah di mana Intel VT datang.
Kontena mengambil penjimatan kos awal dan fleksibiliti maya lanjut. mereka juga lebih berisiko kerana terdapat dinding yang sangat nipis antara setiap bekas dan sistem pengendalian tuan rumah. Saya tidak tahu apa-apa sokongan perkakasan untuk pengasingan supaya terpulang kepada kernel untuk memastikan semua orang dalam talian. Syarikat-syarikat perlu menimbang faedah kos dan kelonggaran teknologi baru ini bersama dengan risiko-risiko ini.
Para pakar Linux prihatin karena masing-masing wadung menyebarkan kernel, yang menjadikan kawasan permukaan untuk mengeksploitasi jauh lebih besar dari teknologi virtualisasi tradisional, seperti KVM dan Xen. Oleh itu, ada potensi untuk serangan baru di mana penyerang menjejaki keistimewaan dalam satu bekas untuk mengakses atau mempengaruhi keadaan dalam bekas lain.
Kami masih belum mempunyai banyak cara dalam kawalan keselamatan spesifik dalam bekas. Kawasan itu mesti matang, menurut pendapat saya. Selain itu, bekas tidak boleh menggunakan ciri-ciri keselamatan yang dibina ke dalam CPU (seperti Intel VT) yang membenarkan kod dijalankan dalam cincin berlainan bergantung pada tahap keistimewaannya.
Pada akhirnya, terdapat banyak eksploitasi untuk pelayan fizikal, mesin maya, dan bekas. Yang baru muncul sepanjang masa. Malah mesin gapped udara dieksploitasi. Profesional IT harus bimbang tentang kompromi keselamatan di semua peringkat ini. Kebanyakan pertahanan adalah sama untuk semua jenis penyebaran ini tetapi masing-masing mempunyai pertahanan keselamatan tambahan yang harus diterapkan.
Pembekal hosting mesti menggunakan Modul Keamanan Linux (seperti SELinux atau AppArmor) untuk mengasingkan bekas dan sistem itu harus dipantau dengan teliti. Ia juga penting untuk memastikan kernel tuan rumah dikemas kini untuk mengelakkan eksploitasi kegunaan hak istimewa tempatan. Pengasingan ID unik (UID) juga membantu kerana ia menghalang pengguna root dalam bekas daripada sebenarnya menjadi root pada host.
PCMag: Satu sebab PCMag.com tidak menjalankan perbandingan besar-besaran bagi Penyedia Perkhidmatan Keselamatan Terurus (MSSPs) adalah kerana terdapat kekeliruan dalam industri mengenai apa yang dimaksudkan dengan istilah itu dan apa yang kelas penyedia boleh dan patut disampaikan. Bolehkah anda memecah perkhidmatan keselamatan terurus Rackspace? Apa yang dilakukannya, bagaimana ia berbeza dengan pembekal lain, dan di mana anda melihatnya supaya pembaca dapat memperoleh idea yang baik tentang apa yang mereka mendaftar ketika mereka menggunakan perkhidmatan sedemikian?
BK: MSSPs harus menerima bahawa keselamatan tidak berfungsi dan menyesuaikan strategi dan operasi mereka untuk menjadi lebih berkesan dalam landskap ancaman hari ini-yang mengandungi musuh yang lebih canggih dan berterusan. Di Rackspace, kami mengakui perubahan ancaman ini dan mengembangkan keupayaan baru yang diperlukan untuk mengurangkannya. Rackspace Managed Security adalah operasi Mendalami dan Menanggapi 24/7/365. Ia direka bukan sahaja untuk melindungi syarikat daripada serangan tetapi untuk meminimumkan kesan perniagaan apabila serangan berlaku, walaupun persekitaran berjaya diretas.
Untuk mencapai matlamat ini, kami menyesuaikan strategi kami dalam tiga cara:
Kami memberi tumpuan kepada data, bukan pada perimeter. Untuk bertindak balas dengan berkesan terhadap serangan, tujuannya adalah untuk meminimumkan kesan perniagaan. Ini memerlukan pemahaman yang komprehensif tentang perniagaan syarikat dan konteks data dan sistem yang kami lindungi. Hanya selepas itu kita dapat memahami apa yang normal seperti biasa, memahami serangan, dan bertindak balas dengan cara yang meminimumkan kesan kepada perniagaan.
Kami menganggap penyerang telah mendapat masuk ke rangkaian dan menggunakan penganalisis yang mahir untuk memburu mereka. Sebaik sahaja di rangkaian, serangan sukar untuk alatan untuk mengenal pasti kerana, alat keselamatan, penyerang maju kelihatan seperti pentadbir yang menjalankan fungsi perniagaan normal. Penganalisis kami secara aktif mencari corak aktiviti yang alat-alat tidak boleh memberi amaran-corak ini adalah jejak kaki yang membawa kita kepada penyerang.
Mengetahui anda sedang diserang tidak mencukupi. Ia penting untuk bertindak balas terhadap serangan apabila ia berlaku. Pusat Operasi Keselamatan Pelanggan kami menggunakan portfolio "tindakan yang telah disetujui" untuk bertindak balas terhadap serangan sebaik sahaja mereka melihatnya. Ini pada asasnya menjalankan buku-buku yang telah kami cuba dan diuji untuk berjaya menangani serangan apabila mereka berlaku. Pelanggan kami melihat buku-buku berjalan dan meluluskan penganalisis kami untuk melaksanakannya semasa proses onboarding. Akibatnya, penganalisis tidak lagi pemerhati pasif-mereka boleh secara aktif mematikan penyerang sebaik sahaja ia dikesan, dan sering sebelum kegigihan dicapai dan sebelum perniagaan terjejas. Keupayaan untuk bertindak balas kepada serangan adalah unik kepada Rackspace kerana kami juga menguruskan infrastruktur yang kami melindungi untuk pelanggan kami.
Di samping itu, kami mendapati bahawa pematuhan adalah produk sampingan keselamatan yang dilakukan dengan baik. Kami mempunyai satu pasukan yang memanfaatkan kerangka dan amalan terbaik yang kami laksanakan sebagai sebahagian daripada operasi keselamatan, dengan membuktikan dan melaporkan keperluan pematuhan yang kami dapat membantu pelanggan kami bertemu.
PCMag: Rackspace adalah penyokong besar, sememangnya pengasas yang dikreditkan, OpenStack. Beberapa pembaca IT kami telah bertanya sama ada perkembangan keselamatan untuk platform terbuka seperti itu sebenarnya lebih perlahan dan kurang berkesan daripada sistem tertutup seperti Amazon Web Services (AWS) atau Microsoft Azure kerana dilema "terlalu banyak tukang masak" dilanda banyak projek sumber terbuka besar. Bagaimana anda menjawabnya?
BK: Dengan perisian sumber terbuka, "bug" ditemui di komuniti terbuka dan ditetapkan dalam komuniti terbuka. Tidak ada cara untuk menyembunyikan tahap atau kesan isu keselamatan. Dengan perisian proprietari, anda berada di belas kasihan pembekal perisian untuk menetapkan kelemahan. Bagaimana jika mereka tidak melakukan apa-apa tentang kelemahan selama enam bulan? Bagaimana jika mereka terlepas laporan daripada penyelidik? Kami melihat semua "tukang masak terlalu banyak" yang anda rujuk sebagai pemacu keselamatan perisian yang besar. Beratus-ratus jurutera pintar sering melihat setiap bahagian pakej sumber terbuka utama seperti OpenStack, yang menjadikannya sangat sukar bagi kelemahan untuk melepaskan keretakan. Perbincangan tentang kecacatan dan penilaian pilihan untuk membaikinya berlaku di tempat terbuka. Pakej perisian persendirian tidak boleh menerima analisis per baris garis-kod-jenis ini dan pembetulan tidak akan mendapat pemeriksaan terbuka sedemikian.
Perisian sumber terbuka juga membolehkan pengurangan di luar susunan perisian. Sebagai contoh, jika masalah keselamatan OpenStack muncul tetapi penyedia awan tidak boleh meningkatkan atau menambal kerentanan dengan serta-merta, perubahan lain boleh dibuat. Fungsi ini mungkin tidak berfungsi buat sementara waktu atau pengguna boleh dihalang daripada menggunakannya melalui fail dasar. Serangan ini dapat dikurangkan dengan berkesan sehingga penetapan jangka panjang digunakan. Perisian tertutup sering tidak membenarkannya kerana sukar untuk melihat apa yang perlu dikurangkan.
Juga, komuniti sumber terbuka menyebarkan pengetahuan tentang kelemahan keselamatan ini dengan cepat. Persoalan "Bagaimana kita menghalangnya daripada berlaku kemudian?" akan diminta dengan cepat, dan perbincangan dilakukan secara bersama dan terbuka.
PCMag: Mari kita tamatkan soalan asal untuk wawancara ini: Adakah anda setuju dengan penganalisis bahawa 2017 akan menjadi "pelarian" tahun dari segi pengambilan awan perusahaan, terutamanya atau sekurang-kurangnya sebahagiannya disebabkan oleh penerimaan syarikat keselamatan pembekal awan?
BK: Marilah kita melangkah sejenak untuk membincangkan persekitaran awan yang berbeza. Kebanyakan soalan anda menunjukkan kepada pasaran awan awam. Seperti yang saya nyatakan di atas, penyelidik Forrester telah mencatat "jabat tangan yang tidak sekata" di antara penyedia awan dan pengguna di mana penyedia awan menyediakan satu set perkhidmatan, tetapi pengguna awan sering menganggap mereka menerima lebih banyak dari segi keselamatan, sandaran, daya tahan, dan lain-lain. Saya telah menganjurkan sejak menyertai Rackspace bahawa pembekal awan mesti keluar dari jabat tangan itu dengan menjadi lebih telus dengan pengguna kami. Tidak ada jurang yang kurang dari hari ini, daripada di persekitaran awan awam.
Persekitaran awan persendirian, bagaimanapun, dan terutamanya yang dilaksanakan oleh pengguna sendiri, tidak mengalami banyak daripada ilusi tersebut. Pengguna lebih jelas mengenai apa yang mereka beli dan apa yang penyedia memberi mereka. Walau bagaimanapun, apabila pengguna telah menaikkan jangkaan dalam proses pembelian dan pembekal awan telah meningkatkan permainan kami untuk memberikan perkhidmatan yang lebih lengkap dan ketelusan, halangan emosi dan risiko yang berkaitan untuk menggerakkan beban kerja dari pusat data tradisional ke persekitaran awan awam jatuh dengan cepat.
Tetapi saya tidak fikir ini akan mencetuskan ke arah awan pada tahun 2017. Menggerakkan beban kerja dan pusat data keseluruhan memerlukan perancangan yang signifikan dan perubahan organisasi. Ia jauh berbeza daripada menaik taraf perkakasan dalam pusat data. Saya menggalakkan pembaca anda untuk mempelajari peralihan Netflix; mereka mengubah perniagaan mereka dengan bergerak ke awan tetapi ia mengambil masa tujuh tahun kerja keras. Untuk satu, mereka memikirkan semula dan menulis semula kebanyakan aplikasi mereka untuk menjadikannya lebih cekap dan lebih baik disesuaikan dengan awan.
Kami juga melihat ramai pengguna mengguna pakai awan peribadi di pusat data mereka menggunakan seni bina awan hibrid sebagai titik permulaan mereka. Ini seolah-olah mempercepatkan. Saya percaya keluk penerimaan boleh melihat siku pada tahun 2017 tetapi ia akan mengambil masa beberapa tahun untuk membengkak untuk benar-benar membina.
