Kenapa keselamatan awan anda tidak memotongnya dan apa yang perlu dilakukan mengenainya

Suruhanjaya Keselamatan Awan 2019 Institut SANS sangat teruk (anda perlu mendaftar untuk keahlian percuma untuk membacanya). Ditulis oleh Dave Shackleford pada April 2019, laporan itu menyatakan beberapa fakta dan angka yang mengecewakan. Sebagai contoh, seseorang akan berfikir bahawa, selepas semua laporan pelanggaran terkini, kami akan lebih baik untuk melindungi sumber awan kami. Tetapi bukan sahaja kita masih cukup buruk, masalah besar bukanlah teknologi. Ia masih orang. Petunjuk yang jelas ini muncul dalam senarai laporan jenis serangan teratas, bermula dengan perampasan akaun atau kredensial, dan alasan dua sebab salah konfigurasi perkhidmatan awan dan sumber.

"Perampasan credential adalah kaedah akses yang benar dan benar kerana anda menyerang orang, " kata Mike Sprunger, Pengurus Kanan Amalan Perundingan Keselamatan di Amalan Perundingan Keselamatan Insight Enterprises. "Orang akan sentiasa menjadi pautan yang paling lemah kerana ini adalah di mana anda mendapat banyak isu kejuruteraan sosial tradisional, seperti panggilan ke meja bantuan, phishing, dan pancingan pancingan mata."

Sudah tentu, terdapat banyak cara yang boleh dikodkan, dengan phishing semata-mata menjadi yang terkini dan, dalam beberapa kes, yang paling sukar untuk ditangani. Tetapi kelayakan juga boleh dituai daripada data dari pelanggaran lain semata-mata kerana orang menggunakan semula kelayakan yang sama di mana mereka boleh jadi mereka tidak ingat lebih daripada yang diperlukan. Di samping itu, amalan yang diberi masa menulis maklumat log masuk pada nota melekit dan menyisipkannya di sebelah papan kekunci masih banyak di sekelilingnya.

Penyusunan salah satu perkhidmatan awan adalah kawasan lain di mana orang adalah titik lemah. Perbezaan di sini ialah orang akan keluar dan berdiri perkhidmatan awan tanpa ada idea apa yang mereka lakukan, dan kemudian mereka akan menggunakannya untuk menyimpan data tanpa melindunginya.

"Pertama, dalam pengambilan awan, ada begitu banyak tentang betapa mudahnya untuk mendirikan awan yang ada harapan yang tidak realistik, " jelas Sprunger. "Orang membuat kesilapan, dan ia tidak benar-benar jelas apa yang perlu anda lakukan untuk menentukan keselamatan di sekeliling bekas."

Ketiadaan dalam Keselamatan Tidak Baik

Sebahagian daripada masalahnya adalah bahawa pembekal awan tidak benar-benar melakukan kerja yang mencukupi untuk menjelaskan bagaimana pilihan keselamatan mereka berfungsi (seperti yang saya tahu ketika baru-baru ini mengkaji penyelesaian Infrastruktur-sebagai-Perkhidmatan atau IaaS), jadi anda harus meneka atau memanggil penjual untuk mendapatkan bantuan. Sebagai contoh, dengan banyak perkhidmatan awan, anda mempunyai pilihan untuk menghidupkan firewall. Tetapi mencari cara untuk mengkonfigurasinya sebaik sahaja ia berjalan mungkin tidak dijelaskan dengan jelas. Sama sekali.

Masalah ini sangat buruk bahawa Shackleford, pengarang laporan SANS, memulakan laporan itu dengan senarai baldi Perkhidmatan Penyimpanan Mudah (S3) Amazon yang tidak dilindungi yang mengakibatkan pelanggaran. "Sekiranya nombor itu dipercayai, 7 peratus daripada baldi S3 terbuka luas kepada dunia, " tulisnya, "dan 35 peratus lagi tidak menggunakan enkripsi (yang dibina ke dalam perkhidmatan)." Amazon S3 adalah platform penyimpanan yang hebat apabila ujian kami dikeluarkan. Masalah seperti ini semata-mata dari pengguna sama ada menyalahfahamkan perkhidmatan atau sama sekali tidak menyedari bahawa ciri-ciri tertentu wujud.

Penyalahgunaan hak istimewa akan datang pada senarai dan masalah lain yang berasal dari orang. Sprunger mengatakan bahawa ini adalah lebih daripada sekadar pekerja tidak puas hati, walaupun ia termasuk mereka. "Banyak yang terlepas adalah pihak ketiga yang mempunyai akses istimewa, " jelasnya. "Adalah lebih mudah untuk masuk melalui akses akaun perkhidmatan. Biasanya, ia adalah satu akaun dengan kata laluan tunggal, dan tidak ada akauntabiliti."

Akaun khidmat biasanya disediakan untuk pihak ketiga, sering vendor atau kontraktor yang memerlukan akses sama ada untuk memberikan sokongan atau perkhidmatan. Ia adalah akaun perkhidmatan milik Kontraktor kontraktor Pemanasan, Pengudaraan, Penghawa dingin (HVAC) yang merupakan titik lemah yang membawa kepada pelanggaran Sasaran pada tahun 2014. "Akaun-akaun tersebut biasanya mempunyai keistimewaan seperti tuhan, " kata Sprunger sambil menambah bahawa mereka adalah sasaran utama penyerang.

Mengatasi Kerentanan Keselamatan

Jadi, apa yang anda lakukan terhadap kelemahan ini? Jawapan pendek adalah latihan tetapi ia lebih kompleks daripada itu. Sebagai contoh, pengguna perlu dilatih untuk melihat e-mel pancingan data, dan latihan itu perlu cukup lengkap untuk mengenali tanda-tanda phishing yang halus. Selain itu, ia perlu memasukkan langkah-langkah yang perlu diambil oleh pekerja sekiranya mereka mengesyaki mereka melihat serangan tersebut. Ini termasuk bagaimana untuk melihat di mana pautan dalam e-mel benar-benar berlaku, tetapi ia juga perlu memasukkan prosedur untuk melaporkan e-mel tersebut. Latihan perlu memasukkan kepercayaan bahawa mereka tidak akan mendapat masalah kerana tidak bertindak pada arahan email yang kelihatan mencurigakan.

Begitu juga, terdapat beberapa tahap tadbir urus korporat di tempat supaya pekerja rawak tidak keluar dan menubuhkan akaun perkhidmatan awan mereka sendiri. Ini termasuk menonton baucar laporan perbelanjaan untuk caj untuk perkhidmatan awan pada kad kredit peribadi. Tetapi ia juga bermakna bahawa anda perlu menyediakan latihan tentang cara menangani ketersediaan perkhidmatan awan.

Berurusan Dengan Penyalahgunaan Pengguna Keistimewaan

Berurusan dengan penyalahgunaan pengguna yang istimewa juga mungkin mencabar kerana sesetengah vendor akan mendesak akses dengan pelbagai hak. Anda boleh menangani beberapa perkara ini dengan membahagikan rangkaian anda supaya akses hanya kepada perkhidmatan yang diurus. Sebagai contoh, segmen itu supaya pengawal HVAC berada pada segmennya sendiri, dan vendor yang ditugaskan untuk mengekalkan sistem itu hanya mendapat akses ke bahagian rangkaian itu. Satu lagi langkah yang dapat membantu untuk mencapai matlamat ini ialah mengerahkan sistem pengurusan identiti (IDM) yang mantap, yang bukan sahaja akan menjejaki akaun yang lebih baik, tetapi juga siapa yang mempunyai mereka dan hak akses mereka. Sistem ini juga akan membolehkan anda menggantung akses dengan lebih cepat dan menyediakan laluan audit aktiviti akaun. Dan semasa anda boleh menghabiskan banyak wang pada satu, anda mungkin sudah mempunyai satu berjalan jika anda adalah kedai Windows Server dengan pohon Microsoft Active Directory (AD) yang aktif.

• Suite Keselamatan Terbaik untuk 2019 Suite Keselamatan Terbaik untuk 2019
• Penyedia Awan dan Pembuat Perkongsian Fail Terbaik untuk 2019 Penyedia Awan dan Pembuat Perkongsian Fail Terbaik untuk tahun 2019
• Perkhidmatan Penjana Awan Terbaik untuk Perniagaan pada tahun 2019 Perkhidmatan Backup Awan Terbaik untuk Perniagaan pada tahun 2019

Anda juga mungkin perlu memastikan bahawa vendor mempunyai akses keistimewaan yang paling kecil sehingga akaun mereka hanya memberikan hak kepada perisian atau perkakas yang mereka uruskan dan tidak ada yang lain-penggunaan lain sistem IDM. Anda boleh meminta mereka meminta akses sementara untuk apa-apa lagi.

Ini adalah hanya beberapa perkara teratas pada senarai masalah keamanan yang agak panjang, dan ia patut dibaca laporan tinjauan keselamatan SANS secara keseluruhannya. Senarainya akan memberikan gambaran jalan untuk mendekati kelemahan keselamatan anda dan ini akan membantu anda merealisasikan lebih banyak langkah yang dapat anda ambil. Tetapi perkara utama adalah, jika anda tidak melakukan apa-apa mengenai masalah yang dilaporkan oleh SANS, maka keselamatan awan anda akan berbau busuk, dan anda mungkin akan terperangkap dalam pusaran kegagalan apabila awan anda mengelilingi longkang menjadi penuh sesak nafas pelanggaran.