Защо вашата облачна сигурност не я реже и какво да правите с нея

Проучването за облачна сигурност на Института SANS през 2019 г. отрезвява (за да го прочетете, трябва да се регистрирате за безплатно членство). Написан от Дейв Шъкълфорд през април 2019 г., докладът посочва някои разочароващи факти и цифри. Например, човек би си помислил, че след всички последни доклади за нарушения, ще бъдем по-добри в защитата на нашите облачни ресурси. Но не само, че все още сме доста зле в това, големият проблем не е дори технологията. Все още са хора. Ясно указание за това се появява в списъка на отчетите за най-добрите видове атаки, започвайки от отвличане на акаунт или идентификационни данни и причината номер 2 за неправилно конфигуриране на облачните услуги и ресурси.

„Отвличането на доверие е изпитана методология за достъп, защото нападате хора“, казва Майк Спрунгър, старши мениджър на практиката за консултантска дейност в областта на сигурността в консултантската практика на Insight Enterprises. „Хората винаги ще бъдат най-слабата връзка, защото тук се натъквате на много от традиционните проблеми на социалното инженерство, като например обаждания към бюрото за помощ, фишинг и фишинг на копия.“

Разбира се, има много начини, по които идентификационните данни могат да бъдат откраднати, като фишингът е най-новият, а в някои случаи и най-трудният начин за справяне. Но идентификационните данни могат да бъдат събрани и от данни от други нарушения, просто защото хората използват повторно същите идентификационни данни, където могат, за да не си спомнят повече от необходимото. В допълнение, практиката за писане на информация за влизане на лепкави бележки и поставянето им до клавиатура все още е много голяма.

Неправилното конфигуриране на облачните услуги е друга област, в която хората са слабата точка. Разликата тук е, че хората ще излязат и ще изправят облачна услуга, без да имат представа какво правят и след това ще я използват за съхраняване на данни, без да я защитават.

"Първо, при приемането на облаци имаше толкова много за това колко лесно е да се изправи облак, че има нереалистични очаквания", обясни Спрунгър. „Хората правят грешки и всъщност не е ясно какво трябва да направите, за да определите сигурността около контейнерите.“

Неясността в сигурността не е добра

Част от проблема е, че облачните доставчици всъщност не вършат адекватна работа да обясняват как работят опциите им за защита (както разбрах при наскоро преглед на решенията на инфраструктурата като услуга или IaaS), така че трябва да гадаете или да се обадите доставчикът за помощ. Например с много облачни услуги имате възможност да включите защитна стена. Но да разберете как да го конфигурирате, след като се изпълнява, може да не е ясно обяснено. Изобщо.

Този проблем е толкова лош, че Shackleford, авторът на доклада на SANS, започва доклада със списък на незащитени кодове на Amazon Simple Storage Service (S3), довел до нарушения. „Ако трябва да се вярва на числата, 7 процента от кофите S3 са широко отворени за света“, пише той, „а други 35 процента не използват криптиране (което е вградено в услугата)“. Amazon S3 е страхотна платформа за съхранение, тъй като тестовете ни излязоха. Проблеми като тези произтичат просто от потребителите или неправилно конфигурират услугата, или не са напълно наясно, че съществуват определени функции.

Следващата злоупотреба е привилегированата употреба и е друг проблем, произтичащ от хората. Спрунгър каза, че това е нещо повече от недоволни служители, въпреки че включва и такива. „Много от пропуснатите са трети страни, които имат привилегирован достъп“, обясни той. „Далеч по-лесно е да влезете чрез достъп до акаунта на услугата. Обикновено това е един акаунт с една парола и няма отчетност.“

Сметките за услуги обикновено се предоставят на трети страни, често доставчици или изпълнители, които се нуждаят от достъп или за предоставяне на поддръжка или услуга. Именно такава услуга, която принадлежи на изпълнител за отопление, вентилация, климатизация (HVAC), беше слабата точка, водеща до нарушаване на целта през 2014 г. „Тези акаунти обикновено имат привилегии, подобни на бога“, каза Спрунгър и добави, че те са основна цел за нападателите.

Преодоляване на уязвимостите в сигурността

И така, какво правите с тези уязвимости? Краткият отговор е обучение, но е по-сложно от това. Например, потребителите трябва да бъдат обучени да се грижат за фишинг имейли и това обучение трябва да бъде достатъчно пълно, за да разпознае дори фините признаци на фишинг. Плюс това трябва да се включат стъпките, които служителите трябва да предприемат, ако дори подозират, че виждат подобна атака. Това включва как да видите къде в действителност върви връзка в имейл, но също така трябва да включва процедури за докладване на такъв имейл. Обучението трябва да включва вяра, че няма да се сблъскат с проблеми, ако не действат по имейл инструкции, които изглеждат подозрителни.

По същия начин трябва да има някакво ниво на корпоративно управление, така че случайни служители да не излизат и да създават свои собствени акаунти за облачни услуги. Това включва гледане на ваучери за отчет за разходите за такси за облачни услуги на лични кредитни карти. Но това също означава, че трябва да осигурите обучение за това как да се справите с наличието на облачни услуги.

Справяне с привилегирована злоупотреба с потребители

Справянето с привилегировани злоупотреби с потребители също може да бъде предизвикателство, тъй като някои доставчици ще настояват за достъп с широк спектър от права. Можете да се справите с част от това, като сегментирате вашата мрежа, така че достъпът е само до услугата, която се управлява. Например, сегментирайте го така, че HVAC контролерът да е на собствен сегмент, а доставчиците, които имат задачата да поддържат тази система, получават достъп само до тази част от мрежата. Друга мярка, която би могла да помогне за постигането на това, е внедряването на стабилна система за управление на идентичността (IDM), която не само ще следи по-добре сметките, но и кой ги има и привилегиите им за достъп. Тези системи също ще ви позволят да спрете достъпа по-бързо и да предоставите одитна пътека за дейността на акаунта. И макар да можете да харчите големи пари на един, може би вече имате такъв, ако сте магазин за Windows Server с активирано дърво на Microsoft Active Directory (AD).

• Най-добрите пакети за сигурност за 2019 г. Най-добрите пакети за сигурност за 2019 г.
• Най-добрите доставчици на съхранение на бизнес облак и споделяне на файлове за 2019 г. Най-добрите доставчици на съхранение на бизнес облак и споделяне на файлове за 2019 г.
• Най-добрите облачни услуги за архивиране за бизнес през 2019 г. Най-добрите облачни услуги за архивиране в бизнеса през 2019 г.

Може да се наложи да се уверите, че доставчиците имат достъп с най-малко привилегии, така че техните акаунти дават само права върху софтуера или уреда, който управляват, и нищо друго - още едно голямо използване на IDM система. Можете да изискате от тях да поискат временен достъп за всичко друго.

Това са само първите няколко точки в доста дълъг списък от неволи на сигурността и си струва да прочетете доклада за проучване на сигурността на SANS изцяло. Списъкът ви ще ви даде пътна карта за начините за справяне с вашите уязвими места в сигурността и ще ви помогне да реализирате повече стъпки, които можете да предприемете. Но най-важното е, че ако не правите нищо за проблемите, докладвани от SANS, сигурността ви в облака ще смърди и вероятно ще бъдете попаднали във вихър на провал, докато вашият облак обикаля изтичането до пълно раздуване нарушение.