Почему ваша облачная безопасность не влияет на это и что с этим делать

Обследование безопасности облачных вычислений, проведенное Институтом SANS в 2019 году, отрезвляет (для его просмотра вам необходимо зарегистрироваться бесплатно). Написанный Дейвом Шеклфордом в апреле 2019 года, в докладе приводятся некоторые неутешительные факты и цифры. Например, можно подумать, что после всех последних сообщений о нарушениях мы будем лучше защищать наши облачные ресурсы. Но мы не только плохо в этом разбираемся, большая проблема даже не в технологии. Это все еще люди. Четкое указание на это появляется в списке наиболее распространенных типов атак, начиная с перехвата учетных записей или учетных данных, и является причиной номер два неправильной настройки облачных служб и ресурсов.

«Взлом учетных данных - это проверенная методология доступа, потому что вы нападаете на людей», - сказал Майк Спрунгер, старший менеджер практики консалтинга в области безопасности консалтинга Insight Enterprises. «Люди всегда будут самым слабым звеном, потому что именно здесь вы сталкиваетесь со многими традиционными проблемами социальной инженерии, такими как звонки в службу поддержки, фишинг и фишинг».

Конечно, существует множество способов кражи учетных данных, причем фишинг просто является последним и, в некоторых случаях, самым трудным для решения. Но учетные данные также могут быть получены из данных других нарушений просто потому, что люди повторно используют те же учетные данные, где они могут, чтобы они не помнили больше, чем необходимо. Кроме того, проверенная временем практика записи информации о входе в систему заметок и вставки их рядом с клавиатурой все еще широко распространена.

Неправильная настройка облачных сервисов - еще одна область, в которой люди являются слабым местом. Разница здесь в том, что люди выйдут и поддержат облачный сервис, не имея представления о том, что они делают, и затем они будут использовать его для хранения данных без их защиты.

«Во-первых, в облачном внедрении было так много о том, как легко поддерживать облако, что существуют нереальные ожидания», - пояснил Спрунгер. «Люди делают ошибки, и не совсем понятно, что нужно сделать, чтобы определить безопасность вокруг контейнеров».

Неопределенность в безопасности не хороша

Частично проблема заключается в том, что облачные провайдеры не совсем адекватно объясняют, как работают их параметры безопасности (как я узнал при недавнем рассмотрении решений Infrastructure-as-a-Service или IaaS), поэтому вам нужно угадать или позвонить продавец за помощь. Например, во многих облачных сервисах у вас есть возможность включить брандмауэр. Но выяснение того, как его настроить после запуска, может быть неясно объяснено. Вообще.

Эта проблема настолько серьезна, что Шеклфорд, автор отчета SANS, начинает отчет со списка незащищенных сегментов Amazon Simple Storage Service (S3), которые привели к нарушениям. «Если верить цифрам, 7 процентов сегментов S3 широко открыты для мира, - писал он, - и еще 35 процентов не используют шифрование (которое встроено в сервис)». Amazon S3 - отличная платформа для хранения данных, поскольку наше тестирование подтвердилось. Подобные проблемы возникают просто из-за того, что пользователи либо неправильно настраивают службу, либо совершенно не знают о существовании определенных функций.

Злоупотребление привилегированным использованием - следующее в списке, и это - другая проблема, вытекающая из людей. Спрингер сказал, что это больше, чем просто недовольные сотрудники, хотя это так и есть. «Многое из того, что упущено, это третьи стороны, которые имеют привилегированный доступ», - пояснил он. «Гораздо проще войти через доступ к учетной записи службы. Как правило, это одна учетная запись с одним паролем, и подотчетности нет».

Сервисные счета обычно предоставляются третьим сторонам, часто поставщикам или подрядчикам, которым необходим доступ для предоставления поддержки или обслуживания. Именно такая учетная запись, принадлежащая подрядчику по отоплению, вентиляции и кондиционированию воздуха (HVAC), была слабым местом, ведущим к нарушению цели в 2014 году. «Эти учетные записи, как правило, имеют божественные привилегии», - сказал Спрингер, добавив, что они главная цель для атакующих.

Преодоление уязвимостей безопасности

Итак, что вы делаете с этими уязвимостями? Короткий ответ - тренировка, но она более сложная. Например, пользователи должны быть обучены обращать внимание на фишинговые электронные письма, и это обучение должно быть достаточно полным, чтобы распознавать даже тонкие признаки фишинга. Кроме того, он должен включать шаги, которые должны предпринять сотрудники, если они даже подозревают, что видят такую ​​атаку. Это включает в себя, как увидеть, где на самом деле идет ссылка в электронном письме, но также необходимо включить процедуры сообщения о таком электронном письме. Обучение должно включать в себя убеждение, что у них не будет проблем из-за того, что они не будут действовать в соответствии с инструкциями по электронной почте, которые кажутся подозрительными.

Точно так же должен существовать некоторый уровень корпоративного управления, чтобы случайные сотрудники не выходили и не настраивали свои собственные учетные записи облачных сервисов. Это включает в себя просмотр ваучеров отчета о расходах на оплату облачных услуг по личным кредитным картам. Но это также означает, что вам необходимо провести обучение тому, как справляться с доступностью облачных сервисов.

Работа с привилегированным пользователем злоупотребления

Борьба с злоупотреблениями привилегированных пользователей также может быть сложной, поскольку некоторые поставщики будут настаивать на доступе с широким спектром прав. Вы можете справиться с этим, сегментировав свою сеть так, чтобы доступ был только к управляемой службе. Например, сегментируйте его так, чтобы контроллер HVAC находился в своем собственном сегменте, а поставщики, которым поручено поддерживать эту систему, получают доступ только к этой части сети. Еще одна мера, которая может помочь в достижении этой цели, - это развертывание надежной системы управления идентификацией (IDM), которая будет не только лучше отслеживать учетные записи, но также и тех, у кого они есть и их права доступа. Эти системы также позволят вам быстрее приостановить доступ и предоставят контрольную информацию об активности аккаунта. И хотя вы можете потратить большие деньги на один, у вас, возможно, уже есть работающий, если вы магазин Windows Server с включенным деревом Microsoft Active Directory (AD).

• Лучшие комплекты безопасности на 2019 г. Лучшие комплекты безопасности на 2019 г.
• Лучшие поставщики облачных хранилищ и общего доступа к бизнес-облакам на 2019 год Лучшие поставщики облачных хранилищ и общего доступа к бизнес-облакам на 2019 год
• Лучшие сервисы облачного резервного копирования для бизнеса в 2019 году Лучшие сервисы облачного резервного копирования для бизнеса в 2019 году

Вам также может потребоваться убедиться, что поставщики имеют доступ с наименьшими привилегиями, чтобы их учетные записи предоставляли им только права на программное обеспечение или устройство, которым они управляют, и ничего более - еще одно отличное использование системы IDM. Вы можете потребовать, чтобы они попросили временный доступ для чего-либо еще.

Это только несколько лучших пунктов в довольно длинном списке проблем безопасности, и стоит прочитать отчет об исследовании безопасности SANS в полном объеме. Его список даст вам план путей решения ваших уязвимостей в безопасности и поможет вам реализовать больше шагов, которые вы можете предпринять. Но суть в том, что если вы ничего не предпринимаете в отношении проблем, о которых сообщает SANS, то ваша облачная безопасность будет вонять, и вы, вероятно, попадете в водоворот отказа, когда ваше облако закроет путь к полномасштабному истощению. нарушение.