ทำไมความปลอดภัยบนคลาวด์ของคุณไม่ได้ลดลงและจะทำอย่างไรกับมัน

การสำรวจความปลอดภัยบนคลาวด์ของ SANS Institute ในปี 2019 นั้นทำให้คุณรู้สึกไม่มั่นคง (คุณจะต้องสมัครสมาชิกฟรีเพื่ออ่านมัน) เขียนโดย Dave Shackleford ในเดือนเมษายน 2019 รายงานระบุข้อเท็จจริงและตัวเลขที่น่าผิดหวัง ตัวอย่างเช่นมีใครคิดว่าหลังจากรายงานการละเมิดที่ผ่านมาทั้งหมดเราควรที่จะปกป้องทรัพยากรคลาวด์ของเราให้ดีขึ้น แต่ไม่เพียง แต่เรายังคงค่อนข้างแย่ที่ปัญหาใหญ่ไม่ได้แม้แต่เทคโนโลยี มันยังคงเป็นคน สิ่งบ่งชี้ที่ชัดเจนของสิ่งนี้ปรากฏในรายการรายงานประเภทการโจมตีอันดับต้น ๆ เริ่มต้นด้วยการหักบัญชีหรือข้อมูลประจำตัวและเหตุผลสองประการที่ทำให้การกำหนดค่าบริการและทรัพยากรคลาวด์ไม่ถูกต้อง

“ การจี้ข้อมูลประจำตัวเป็นวิธีการเข้าถึงที่พยายามอย่างแท้จริงเพราะคุณโจมตีผู้คน” Mike Sprunger ผู้จัดการอาวุโสของ Security Consulting Practice ของ Insight Enterprises กล่าว "ผู้คนมักจะเป็นจุดอ่อนที่สุดเพราะนี่คือสิ่งที่คุณจะได้รับจากปัญหาทางวิศวกรรมสังคมแบบดั้งเดิมเช่นการโทรไปที่แผนกช่วยเหลือการหลอกลวงและการหลอกลวงด้วยหอก"

แน่นอนว่ามีหลายวิธีที่ข้อมูลประจำตัวอาจถูกขโมยได้โดยฟิชชิ่งเป็นข้อมูลล่าสุดและในบางกรณียากที่สุดที่จะจัดการ แต่ข้อมูลประจำตัวยังสามารถเก็บเกี่ยวได้จากข้อมูลจากการละเมิดอื่น ๆ เพียงเพราะผู้คนนำข้อมูลประจำตัวเดิมมาใช้ซ้ำเพื่อให้พวกเขาไม่สามารถจำได้เกินความจำเป็น นอกจากนี้การฝึกฝนการเขียนข้อมูลการเข้าสู่ระบบในโน้ตย่อและการวางแปะไว้ข้างๆแป้นพิมพ์ยังคงเป็นเรื่องที่ดี

การกำหนดค่าบริการคลาวด์ผิดพลาดเป็นอีกพื้นที่หนึ่งที่ผู้คนมีจุดอ่อน ความแตกต่างที่นี่คือผู้คนจะออกไปข้างนอกและยืนให้บริการคลาวด์โดยไม่ทราบว่าพวกเขากำลังทำอะไรและจากนั้นพวกเขาจะใช้มันเพื่อจัดเก็บข้อมูลโดยไม่ต้องปกป้องมัน

“ ก่อนอื่นในการยอมรับระบบคลาวด์มีเรื่องมากมายเกี่ยวกับความง่ายในการตั้งคลาวด์ที่มีความคาดหวังที่ไม่สมจริง” Sprunger อธิบาย "ผู้คนทำผิดพลาดและไม่ชัดเจนว่าคุณต้องทำอะไรเพื่อกำหนดความปลอดภัยของตู้คอนเทนเนอร์"

ความปลอดภัยในความปลอดภัยไม่ดี

ส่วนหนึ่งของปัญหาคือผู้ให้บริการคลาวด์ไม่ได้ทำงานอย่างเพียงพอในการอธิบายว่าตัวเลือกความปลอดภัยของพวกเขาทำงานอย่างไร (อย่างที่ฉันค้นพบเมื่อไม่นานมานี้เมื่อดูโซลูชันโครงสร้างพื้นฐาน -a-a-Service หรือ IaaS) ดังนั้นคุณต้องเดาหรือโทรหา ผู้ขายเพื่อขอความช่วยเหลือ ตัวอย่างเช่นด้วยบริการคลาวด์มากมายคุณมีตัวเลือกในการเปิดไฟร์วอลล์ แต่การค้นหาวิธีกำหนดค่าเมื่อทำงานอาจไม่สามารถอธิบายได้อย่างชัดเจน เลย

ปัญหานี้แย่มากที่ Shackleford ผู้เขียนรายงาน SANS เริ่มรายงานด้วยรายการของถังเก็บ Amazon Simple Storage (S3) ที่ไม่มีการป้องกันซึ่งส่งผลให้เกิดการละเมิด “ หากเชื่อว่าตัวเลข 7 เปอร์เซ็นต์ของ S3 S3 จะเปิดกว้างสำหรับโลก” เขาเขียน“ และอีก 35 เปอร์เซ็นต์ไม่ได้ใช้การเข้ารหัส (ซึ่งสร้างไว้ในบริการ)” Amazon S3 เป็นแพลตฟอร์มการเก็บข้อมูลที่ยอดเยี่ยมเนื่องจากการทดสอบของเราเจาะออก ปัญหาเช่นต้นกำเนิดเหล่านี้เกิดจากการที่ผู้ใช้กำหนดค่าบริการไม่ถูกต้องหรือไม่รู้ตัวเลยว่ามีคุณสมบัติบางอย่างอยู่

การใช้งานในทางที่ผิดนั้นมีอยู่ถัดไปในรายการและเป็นอีกปัญหาหนึ่งที่เกิดขึ้นจากผู้คน Sprunger กล่าวว่านี่เป็นมากกว่าเพียงแค่พนักงานที่ไม่พอใจเท่านั้น "สิ่งที่พลาดไปมากคือบุคคลที่สามที่มีสิทธิ์เข้าถึง" เขาอธิบาย "การเข้าถึงบัญชีบริการทำได้ง่ายกว่ามากโดยทั่วไปเป็นบัญชีเดียวที่มีรหัสผ่านเดียวและไม่มีความรับผิดชอบ"

โดยทั่วไปแล้วบัญชีบริการจะมีให้สำหรับบุคคลที่สามซึ่งมักจะเป็นผู้ขายหรือผู้รับเหมาที่ต้องการการเข้าถึงเพื่อให้การสนับสนุนหรือบริการ มันเป็นบัญชีบริการที่เป็นของผู้รับเหมาเครื่องทำความร้อนเครื่องปรับอากาศ (HVAC) ซึ่งเป็นจุดอ่อนที่นำไปสู่การฝ่าฝืนเป้าหมายในปี 2014 "บัญชีเหล่านั้นมักจะมีสิทธิ์เหมือนเทพเจ้า" Sprunger กล่าวเสริมว่าพวกเขาเป็น เป้าหมายสำคัญสำหรับผู้โจมตี

การเอาชนะช่องโหว่ด้านความปลอดภัย

ดังนั้นคุณจะทำอย่างไรกับช่องโหว่เหล่านี้ คำตอบสั้น ๆ คือการฝึกอบรม แต่มันซับซ้อนกว่านั้น ตัวอย่างเช่นผู้ใช้จำเป็นต้องได้รับการอบรมให้ระวังอีเมลฟิชชิ่งและการฝึกอบรมนั้นต้องสมบูรณ์เพียงพอที่จะรับรู้ถึงสัญญาณฟิชชิ่งที่ละเอียดอ่อน นอกจากนี้ยังต้องมีขั้นตอนที่พนักงานควรปฏิบัติหากพวกเขาสงสัยว่าพวกเขาเห็นการโจมตีดังกล่าว ซึ่งรวมถึงวิธีการดูว่าลิงก์ในอีเมลกำลังดำเนินไปที่ใด แต่ต้องมีขั้นตอนในการรายงานอีเมลดังกล่าวด้วย การฝึกอบรมต้องมีความเชื่อที่ว่าพวกเขาจะไม่ประสบปัญหาในการล้มเหลวในการดำเนินการตามคำแนะนำทางอีเมลที่ดูน่าสงสัย

ในทำนองเดียวกันจะต้องมีการกำกับดูแลกิจการในระดับหนึ่งเพื่อให้พนักงานสุ่มไม่ออกไปข้างนอกและตั้งค่าบัญชีบริการคลาวด์ของตนเอง ซึ่งรวมถึงการดูบัตรกำนัลรายงานค่าใช้จ่ายสำหรับค่าบริการคลาวด์ในบัตรเครดิตส่วนบุคคล แต่มันก็หมายความว่าคุณต้องให้การฝึกอบรมเกี่ยวกับวิธีจัดการกับความพร้อมใช้งานของบริการคลาวด์

การจัดการกับการใช้งานที่ไม่เหมาะสมของผู้ใช้

การจัดการกับการละเมิดสิทธิพิเศษของผู้ใช้อาจเป็นเรื่องที่ท้าทายเนื่องจากผู้ค้าบางรายจะยืนยันการเข้าถึงด้วยสิทธิ์ที่หลากหลาย คุณสามารถจัดการกับสิ่งนี้ได้โดยแบ่งกลุ่มเครือข่ายของคุณเพื่อให้สามารถเข้าถึงบริการที่จัดการได้เท่านั้น ตัวอย่างเช่นแบ่งเป็นส่วน ๆ เพื่อให้ตัวควบคุม HVAC อยู่ในส่วนของตนเองและผู้ขายที่มอบหมายให้ดูแลระบบนั้นให้เข้าถึงส่วนนั้นของเครือข่ายเท่านั้น มาตรการอื่นที่สามารถช่วยในการบรรลุผลนี้คือการปรับใช้ระบบการจัดการข้อมูลเฉพาะตัว (IDM) ที่แข็งแกร่งซึ่งไม่เพียง แต่จะติดตามบัญชีที่ดีขึ้น แต่ยังรวมถึงผู้ที่มีพวกเขาและสิทธิ์การเข้าถึงของพวกเขาด้วย ระบบเหล่านี้จะช่วยให้คุณระงับการเข้าถึงได้เร็วขึ้นและให้หลักฐานการตรวจสอบของกิจกรรมบัญชี และในขณะที่คุณสามารถใช้เม็ดเงินขนาดใหญ่ได้คุณอาจมีหนึ่งที่ทำงานอยู่แล้วหากคุณเป็นร้านค้า Windows Server ที่เปิดใช้งาน Microsoft Active Directory (AD) ทรี

• ชุดรักษาความปลอดภัยที่ดีที่สุดสำหรับปี 2562 ห้องชุดรักษาความปลอดภัยที่ดีที่สุดสำหรับปี 2562
• ที่เก็บข้อมูลบนคลาวด์ธุรกิจที่ดีที่สุดและผู้ให้บริการแบ่งปันไฟล์ในปี 2562 ที่เก็บข้อมูลบนคลาวด์ธุรกิจที่ดีที่สุดและผู้ให้บริการแบ่งปันไฟล์ในปี 2019
• บริการสำรองข้อมูลบนคลาวด์ที่ดีที่สุดสำหรับธุรกิจในปี 2562 บริการสำรองข้อมูลบนคลาวด์ที่ดีที่สุดสำหรับธุรกิจในปี 2562

คุณอาจต้องตรวจสอบให้แน่ใจว่าผู้ขายมีสิทธิ์เข้าถึงน้อยที่สุดเพื่อให้บัญชีของพวกเขาให้สิทธิ์แก่ซอฟต์แวร์หรืออุปกรณ์ที่พวกเขากำลังจัดการเท่านั้นและไม่มีอะไรอื่น - เป็นการใช้ระบบ IDM อีกครั้ง คุณสามารถกำหนดให้พวกเขาร้องขอการเข้าถึงชั่วคราวสำหรับสิ่งอื่น

เหล่านี้เป็นเพียงไม่กี่รายการที่ติดอันดับในรายการความปลอดภัยที่ค่อนข้างยาวและควรอ่านรายงานการสำรวจความปลอดภัยของ SANS อย่างครบถ้วน รายการดังกล่าวจะช่วยให้คุณมีแนวทางในการเข้าถึงช่องโหว่ด้านความปลอดภัยของคุณและจะช่วยให้คุณตระหนักถึงขั้นตอนเพิ่มเติมที่คุณสามารถทำได้ แต่บรรทัดล่างคือถ้าคุณไม่ได้ทำอะไรเกี่ยวกับปัญหาที่รายงานโดย SANS ความปลอดภัยบนคลาวด์ของคุณจะเหม็นและคุณอาจติดอยู่ในกระแสน้ำวนของความล้มเหลวเมื่อคลาวด์ของคุณระบายออกจนเต็ม ช่องโหว่