Чому ваша хмарна безпека не вирізає її і що з цим робити

Дослідження хмарної безпеки в Інституті SANS на 2019 рік тверезіє (для його читання вам потрібно зареєструватися для безкоштовного членства). Написаний Дейвом Шаклфордом у квітні 2019 року, у звіті зазначаються деякі невтішні факти та цифри. Наприклад, можна подумати, що після всіх останніх повідомлень про порушення нам буде краще захистити наші хмарні ресурси. Але ми не тільки в цьому ще досить погані, великою проблемою є навіть не технології. Це все-таки люди. Чітке вказівка ​​на це відображається у списку звітів про найпопулярніші типи атак, починаючи з викрадення рахунків чи облікових даних, та причиною номер два неправильних налаштувань хмарних служб та ресурсів.

"Викрадення довіри - це перевірена і реальна методологія доступу, тому що ви нападаєте на людей", - сказав Майк Спрунгер, старший менеджер з питань консалтингової практики з питань безпеки в Консультаційній практиці з безпеки підприємств Insight Enterprises. "Люди завжди будуть найслабшою ланкою, тому що саме тут ви стикаєтеся з багатьма традиційними проблемами соціального інженерії, такими як дзвінки в службу довідки, фішинг та фішинг зі списами".

Звичайно, існує багато способів вкрасти облікові дані, при цьому фішинг є найновішим, а в деяких випадках і найскладнішим. Але дані також можуть бути отримані з даних інших порушень просто тому, що люди використовують повторно ті ж дані, де вони можуть, щоб вони не запам'ятали більше необхідного. Окрім того, все ще існує практика написання інформації про вхід на наліпні нотатки та їх вставлення поруч із клавіатурою.

Неправильне налаштування хмарних служб - ще одна сфера, в якій люди є слабкою стороною. Різниця тут полягає в тому, що люди вийдуть і встановлять хмарний сервіс, не маючи уявлення, що вони роблять, а потім вони використовуватимуть його для зберігання даних, не захищаючи їх.

"По-перше, у прийнятті хмари було стільки про те, наскільки легко встати хмару, що є нереалістичні очікування", - пояснив Спрунгер. "Люди роблять помилки, і не зовсім зрозуміло, що вам потрібно зробити, щоб визначити безпеку навколо контейнерів".

Нечіткість у безпеці - це не добре

Частина проблеми полягає в тому, що хмарні провайдери насправді не виконують належну роботу, пояснюючи, як працюють їх параметри безпеки (як я з'ясував, нещодавно переглядаючи рішення інфраструктури як послуга або IaaS), тому вам доведеться здогадуватися або телефонувати постачальник про допомогу. Наприклад, у багатьох хмарних сервісах у вас є можливість включити брандмауер. Але дізнатися, як його налаштувати після запуску, може бути не пояснено чітко. Зовсім.

Ця проблема настільки погана, що Шеклфорд, автор звіту SANS, починає звіт зі списку незахищених відер Amazon Simple Storage Service (S3), що призвело до порушень. "Якщо вірити цифрам, 7 відсотків відро S3 широко відкриті для світу", - написав він, - а ще 35 відсотків не використовують шифрування (яке вбудовано в сервіс). Amazon S3 - це відмінна платформа для зберігання даних, оскільки тестування вийшло. Такі проблеми виникають просто у користувачів або неправильно конфігурують послугу, або зовсім не знають, що існують певні функції.

Наступне у списку - привілейоване використання, і це ще одна проблема, що випливає з людей. Спрунгер сказав, що це більше, ніж просто незадоволені працівники, хоча вони включають і тих. "Багато чого, що пропущено, - це сторонні особи, які мають пільговий доступ", - пояснив він. "Заходити через доступ до облікового запису служби набагато простіше. Як правило, це один обліковий запис з одним паролем, і підзвітності немає".

Рахунки послуг зазвичай надаються третім сторонам, часто постачальникам або підрядникам, яким потрібен доступ або для надання підтримки, або для обслуговування. Саме такий рахунок послуги, що належить підряднику з опалення, вентиляції, кондиціонування повітря (HVAC), був слабкою точкою, що призвела до порушення цілі в 2014 році. "Ці рахунки, як правило, мають богоподібні пільги", - сказав Спрунгер, додавши, що вони головна мета для нападників.

Подолання вразливих місць безпеки

Отже, що ви робите щодо цих вразливих місць? Коротка відповідь - це тренінг, але він складніший за це. Наприклад, користувачів потрібно навчити шукати фішинг-листи, і ця підготовка повинна бути достатньо повною, щоб розпізнати навіть найтонші ознаки фішингу. Плюс до цього потрібно включити кроки, які повинні вжити працівники, якщо вони навіть підозрюють, що бачать такий напад. Сюди входить, як побачити, куди насправді йде посилання в електронному листі, але воно також повинно включати процедури повідомлення про такий електронний лист. Тренінг повинен містити переконання, що вони не потраплять у біду за те, що не діятимуть інструкції електронної пошти, які здаються підозрілими.

Крім того, повинен бути певний рівень корпоративного управління, щоб випадкові працівники не виходили і не встановлювали власні облікові записи хмарних служб. Сюди входить перегляд ваучерів звітів про витрати на оплату хмарних послуг на особистих кредитних картках. Але це також означає, що вам потрібно провести навчання, як боротися з наявністю хмарних сервісів.

Справа з привілейованими зловживаннями користувачів

Справа з привілейованими зловживаннями користувачами також може бути складним завданням, оскільки деякі постачальники наполягатимуть на доступі до широкого кола прав. Ви можете вирішити щось із цього, сегментуючи свою мережу, щоб доступ був лише до керованої служби. Наприклад, сегментуйте його так, щоб контролер HVAC знаходився на власному сегменті, а виробники, які мають завдання підтримувати цю систему, отримують доступ лише до тієї частини мережі. Ще одним заходом, який може допомогти досягти цього, є розгортання надійної системи управління ідентифікацією (IDM), яка дозволить не тільки стежити за обліковими записами, але й тим, хто має їх та їхні права доступу. Ці системи також дозволять призупинити доступ швидше та нададуть аудиторський слід діяльності облікових записів. І хоча ви можете витратити великі гроші на одне, ви, можливо, вже будете працювати, якщо ви працюєте в магазині Windows Server з увімкненим деревом Microsoft Active Directory (AD).

• Найкращі набори безпеки на 2019 рік. Найкращі комплекти безпеки на 2019 рік
• Найкращі постачальники систем зберігання та обміну файлами в бізнесі на 2019 рік. Найкращі постачальники послуг зберігання та обміну файлами в бізнесі на 2019 рік
• Найкращі сервіси резервного копіювання хмари для бізнесу в 2019 році Найкращі послуги резервного копіювання хмари для бізнесу в 2019 році

Вам також може знадобитися переконатися, що постачальники мають доступ до найменших привілеїв, щоб їхні облікові записи надавали лише права на програмне забезпечення або пристрій, яким вони керують, і нічого іншого - ще одне чудове використання системи IDM. Ви можете вимагати від них запитувати тимчасовий доступ для чого-небудь іншого.

Це лише кілька перших пунктів у досить тривалому списку проблем безпеки, і варто прочитати звіт обстеження безпеки ДАНС у повному обсязі. У його списку ви знайдете дорожню карту способів подолати свої вразливі місця безпеки, і це допоможе вам реалізувати більше кроків, які ви можете зробити. Але суть полягає в тому, що якщо ви нічого не робите щодо проблем, про які повідомляє ДАНС, то ваша хмарна безпека буде смердючою, і ви, ймовірно, потрапите в вихор виходу з ладу, коли ваша хмара обертає стік до повномасштабного порушення.