Inhoudsopgave:
- Vaagheid in beveiliging is niet goed
- Beveiligingslekken overwinnen
- Omgaan met misbruik van bevoegde gebruikers
Video: The Thinning (November 2024)
De Cloud Security Survey van het SANS Institute 2019 is ontnuchterend (je moet je aanmelden voor een gratis lidmaatschap om het te kunnen lezen). Geschreven door Dave Shackleford in april 2019, vermeldt het rapport enkele teleurstellende feiten en cijfers. Je zou bijvoorbeeld denken dat we, na alle recente inbreukmeldingen, onze cloudresources beter zouden kunnen beschermen. Maar niet alleen zijn we er nog steeds behoorlijk slecht in, het grote probleem is zelfs geen technologie. Het zijn nog steeds mensen. Een duidelijke indicatie hiervan verschijnt in de lijst van het rapport met de beste soorten aanvallen, te beginnen met kaping van accounts of inloggegevens, en de belangrijkste reden voor een verkeerde configuratie van cloudservices en -bronnen.
Natuurlijk zijn er veel manieren waarop inloggegevens kunnen worden gestolen, waarbij phishing gewoon de nieuwste en in sommige gevallen de moeilijkste manier is om mee om te gaan. Maar inloggegevens kunnen ook worden verzameld uit gegevens van andere inbreuken, simpelweg omdat mensen dezelfde inloggegevens hergebruiken waar ze kunnen, zodat ze niet meer hoeven te onthouden dan nodig is. Bovendien is de aloude praktijk om inloginformatie op plaknotities te schrijven en deze naast een toetsenbord te plakken nog steeds erg in de buurt.
Misconfiguratie van cloudservices is een ander gebied waarin mensen het zwakke punt zijn. Het verschil is dat mensen een cloudservice gaan gebruiken zonder enig idee te hebben wat ze aan het doen zijn, en dan zullen ze deze gebruiken om gegevens op te slaan zonder deze te beschermen.
"Ten eerste is er bij cloudacceptatie zoveel over geweest hoe gemakkelijk het is om tegen een cloud op te staan dat er onrealistische verwachtingen zijn, " legde Sprunger uit. "Mensen maken fouten en het is niet echt duidelijk wat u moet doen om de beveiliging rondom containers te definiëren."
Vaagheid in beveiliging is niet goed
Een deel van het probleem is dat cloudproviders niet echt voldoende doen om uit te leggen hoe hun beveiligingsopties werken (zoals ik heb ontdekt bij het onlangs bekijken van Infrastructure-as-a-Service- of IaaS-oplossingen), dus je moet raden of bellen de verkoper voor hulp. Bij veel cloudservices kunt u bijvoorbeeld een firewall inschakelen. Maar het is misschien niet duidelijk om erachter te komen hoe u het kunt configureren nadat het is uitgevoerd. Helemaal niet.
Dit probleem is zo erg dat Shackleford, de auteur van het SANS-rapport, het rapport begint met een lijst met niet-beveiligde Amazon Simple Storage Service (S3) -emmers die hebben geresulteerd in inbreuken. "Als de cijfers moeten worden geloofd, staat 7 procent van de S3-emmers wijd open voor de wereld", schreef hij, "en nog eens 35 procent gebruikt geen codering (die in de service is ingebouwd)." Amazon S3 is een geweldig opslagplatform terwijl onze tests uitliepen. Problemen zoals deze komen simpelweg voort uit gebruikers die de service verkeerd configureren of zich helemaal niet bewust zijn van het bestaan van bepaalde functies.
Misbruik van geprivilegieerd gebruik staat nu op de lijst en het is een ander probleem dat door mensen wordt veroorzaakt. Sprunger zei dat dit meer is dan alleen ontevreden werknemers, hoewel het die ook omvat. "Veel van wat wordt gemist, zijn derden die bevoorrechte toegang hebben", legt hij uit. "Het is veel gemakkelijker om toegang te krijgen via serviceaccounttoegang. Meestal is het een enkel account met een enkel wachtwoord, en er is geen aansprakelijkheid."
Serviceaccounts worden meestal verstrekt voor derden, vaak leveranciers of aannemers die toegang nodig hebben om ondersteuning of service te bieden. Het was zo'n serviceaccount van een aannemer voor verwarming, ventilatie, airconditioning (HVAC) dat het zwakke punt was dat leidde tot de Target-inbreuk in 2014. "Die accounts hebben meestal goddelijke privileges, " zei Sprunger, eraan toevoegend dat ze een uitstekend doelwit voor aanvallers.
Beveiligingslekken overwinnen
Wat doet u aan deze kwetsbaarheden? Het korte antwoord is training, maar het is complexer dan dat. Gebruikers moeten bijvoorbeeld worden getraind om op zoek te gaan naar phishing-e-mails en die training moet voldoende zijn om zelfs subtiele tekenen van phishing te herkennen. Bovendien moet het de stappen omvatten die werknemers moeten nemen als ze zelfs vermoeden dat ze een dergelijke aanval zien. Dit omvat hoe u kunt zien waar een link in een e-mail echt naartoe gaat, maar het moet ook procedures bevatten voor het melden van een dergelijke e-mail. De training moet de overtuiging bevatten dat ze niet in de problemen komen omdat ze niet handelen volgens e-mailinstructies die verdacht lijken.
Evenzo moet er een bepaald niveau van corporate governance zijn, zodat willekeurige werknemers niet op pad gaan en hun eigen cloudserviceaccounts opzetten. Dit omvat het bekijken van vouchers van onkostenrapporten voor kosten voor cloudservices op persoonlijke creditcards. Maar het betekent ook dat u training moet geven over hoe om te gaan met de beschikbaarheid van cloudservices.
Omgaan met misbruik van bevoegde gebruikers
Het omgaan met geprivilegieerd gebruikersmisbruik kan ook een uitdaging zijn omdat sommige leveranciers zullen aandringen op toegang met een breed scala aan rechten. U kunt dit oplossen door uw netwerk te segmenteren, zodat u alleen toegang hebt tot de service die wordt beheerd. Segmenteer het bijvoorbeeld zo dat de HVAC-controller zich in zijn eigen segment bevindt en leveranciers die belast zijn met het onderhoud van dat systeem, alleen toegang krijgen tot dat deel van het netwerk. Een andere maatregel die kan helpen om dit te bereiken, is het implementeren van een robuust identiteitsbeheersysteem (IDM), dat niet alleen accounts beter bijhoudt, maar ook wie ze heeft en hun toegangsprivileges. Met deze systemen kunt u de toegang ook sneller opschorten en een audit trail van account-activiteit bieden. En hoewel u er veel geld aan kunt uitgeven, is er misschien al een actief als u een Windows Server-winkel hebt met een Microsoft Active Directory (AD) -structuur ingeschakeld.
- De beste beveiligingssuites voor 2019 De beste beveiligingssuites voor 2019
- De beste zakelijke cloudopslag- en bestandsuitwisselingsproviders voor 2019 De beste zakelijke cloudopslag- en bestandsuitwisselingsproviders voor 2019
- De beste cloudback-upservices voor bedrijven in 2019 De beste cloudback-upservices voor bedrijven in 2019
Mogelijk moet u er ook voor zorgen dat leveranciers de minste privilegetoegang hebben, zodat hun accounts hen alleen rechten verlenen voor de software of het apparaat dat ze beheren en niets anders - nog een geweldig gebruik van een IDM-systeem. U kunt van hen eisen dat ze om tijdelijke toegang vragen voor iets anders.
Dit zijn slechts de bovenste paar items op een vrij lange lijst met beveiligingsproblemen en het is de moeite waard om het SANS-beveiligingsonderzoeksrapport in zijn geheel te lezen. De lijst geeft u een routekaart met manieren om uw beveiligingsproblemen aan te pakken en helpt u meer stappen te ondernemen die u kunt nemen. Maar het komt erop neer dat als u niets doet aan de door SANS gemelde problemen, uw cloudbeveiliging zal stinken en u waarschijnlijk in een draaikolk van mislukking terechtkomt terwijl uw cloud de afvoer naar een volledig rondcirkelt. schending.
