Bulut güvenliğiniz neden kesmiyor ve ne yapmalı?

SANS Enstitüsü'nün 2019 Bulut Güvenliği Anketi ayıltıcıdır (okumak için ücretsiz üyelik için kayıt olmanız gerekir). Dave Shackleford tarafından Nisan 2019'da yazılmış, raporda hayal kırıklığı yaratan bazı gerçekler ve rakamlar yer alıyor. Örneğin, son ihlal raporlarının hepsinden sonra, bulut kaynaklarımızı korumada daha iyi olacağımıza inanılabilir. Ancak sadece bu konuda hala kötü değiliz, büyük sorun teknoloji bile değil. Hala insanlar. Bunun açık bir göstergesi, raporda, hesap veya kimlik kaçırma işleminden başlayarak en iyi saldırı türleri listesinde ve bulut hizmetlerinin ve kaynaklarının yanlış yapılandırılmasının iki numaralı nedeninde görünür.

Insight Enterprises Güvenlik Danışmanlık Uygulamasında Güvenlik Danışmanlık Uygulaması Kıdemli Müdürü Mike Sprunger, "Kimlik avı kaçırma, denenmiş ve gerçek bir erişim yöntemidir, çünkü insanlara saldırıyorsunuz." Dedi. “İnsanlar her zaman en zayıf halka olacaktır, çünkü burası yardım masasına çağrı yapmak, phishing ve spear phishing gibi birçok geleneksel sosyal mühendislik sorununa girdiğiniz yer.”

Elbette, kimlik bilgilerinin çalınmasının birçok yolu vardır; kimlik avı sadece en son ve bazı durumlarda başa çıkılması en zor olan kimlik avıdır. Ancak kimlik bilgileri, diğer ihlallerden gelen verilerden de toplanabilir, çünkü insanlar, ihtiyaç duyduklarından daha fazlasını hatırlamamaları için aynı kimlik bilgilerini tekrar kullanırlar. Ek olarak, yapışkan notlar üzerine oturum açma bilgisi yazma ve bunları klavyenin yanına yapıştırma konusundaki onurlu uygulama hala çok fazladır.

Bulut hizmetlerinin yanlış yapılandırılması, insanların zayıf nokta olduğu başka bir alandır. Buradaki fark, insanların ne yaptıkları hakkında hiçbir fikirleri olmadan bir bulut servisine çıkıp ayakta duracakları ve daha sonra, onu korumadan veri depolamak için kullanacaklarıdır.

Sprunger, “İlk olarak, bulut benimsemede, gerçek olmayan beklentilere sahip bir buluta dayanmanın ne kadar kolay olduğu konusunda çok fazla şey oldu” dedi. “İnsanlar hata yapıyor ve konteynerlerin etrafındaki güvenliği tanımlamak için ne yapmanız gerektiği net değil.”

Güvenlikteki Belirsizlikler İyi Değil

Sorunun bir kısmı, bulut sağlayıcıların güvenlik seçeneklerinin nasıl çalıştığını açıklamak için yeterli bir iş yapmamasıdır (hizmet olarak Altyapı veya IaaS çözümlerini yakın zamanda gözden geçirdiğimde bulduğum gibi), bu nedenle tahmin etmek veya aramak zorundasınızdır. yardım için satıcı. Örneğin, birçok bulut hizmetinde güvenlik duvarını açma seçeneğiniz vardır. Ancak, çalıştırıldıktan sonra nasıl yapılandıracağınızı bulmak açıkça açıklanamayabilir. Hiç.

Bu sorun o kadar kötü ki, SANS raporunun yazarı olan Shackleford, rapora aykırı olan, korunmayan Amazon Basit Depolama Hizmeti (S3) kovalarının bir listesiyle başlıyor. “Rakamlara inanılacaksa, S3 kovalarının yüzde 7'si dünyaya tamamen açık” dedi ve yüzde 35'i şifreleme kullanmıyor (hizmete dahil edilmiş). Amazon S3, testlerimizin uyguladığı gibi mükemmel bir depolama platformudur. Bu gibi sorunlar, basitçe kullanıcılardan ya hizmeti yanlış yapılandırmış ya da bazı özelliklerin mevcut olduğunun tamamen farkında olmamaktan kaynaklanmaktadır.

Ayrıcalıklı kullanımın kötüye kullanılması listenin başında yer almaktadır ve bu, insanlardan kaynaklanan başka bir sorundur. Sprunger, bunları içermesine rağmen, bunun sadece hoşnutsuz çalışanlardan daha fazlası olduğunu söyledi. “Kaçırılanların çoğu, imtiyazlı erişimi olan üçüncü şahıslar” dedi. "Hizmet hesabı erişimine girmek çok daha kolay. Genellikle, tek bir parola içeren tek bir hesaptır ve hesap verilemez."

Hizmet hesapları genellikle üçüncü şahıslar için verilir; çoğu zaman destek veya hizmet sağlamak için erişime ihtiyaç duyan satıcılar veya yükleniciler. Sprunger, 2014'te Hedef ihlaline yol açan zayıf nokta olan Isıtma, Havalandırma, Klima (HVAC) yüklenicisine ait bir hizmet hesabıydı. saldırganlar için ana hedef.

Güvenlik Açıklarını Aşmak

Peki bu güvenlik açıkları hakkında ne yapıyorsunuz? Kısa cevap eğitimdir ancak bundan daha karmaşıktır. Örneğin, kullanıcıların kimlik avı e-postalarına bakmaları için eğitilmiş olmaları gerekir ve bu eğitimlerin de ince kimlik avı belirtilerini bile tanıyacak kadar eksiksiz olması gerekir. Ayrıca, böyle bir saldırı gördüklerinden şüpheleniyorsa çalışanların atması gereken adımları da içermesi gerekir. Bu, bir e-postadaki bir bağlantının gerçekten nereye gittiğini nasıl göreceğinizi içerir, ancak aynı zamanda böyle bir e-postayı bildirme prosedürlerini de içermesi gerekir. Eğitimin, e-postayla gönderilen şüpheli görünen talimatlara uymakta zorluk çekmeyeceklerine dair bir inanç içermesi gerekiyor.

Aynı şekilde, rastgele çalışanların dışarı çıkmaması ve kendi bulut servis hesaplarını oluşturmaması için bir düzeyde kurumsal yönetim olması gerekir. Bu, kişisel kredi kartlarındaki bulut hizmetleriyle ilgili masraflar için gider raporu kuponlarının izlenmesini içerir. Ancak, bulut hizmetlerinin kullanılabilirliği ile nasıl başa çıkılacağı konusunda eğitim sağlamanız gerektiği anlamına da gelir.

Ayrıcalıklı Kullanıcı Kötüye Kullanımı ile Başa Çıkma

Ayrıcalıklı kullanıcı istismarı ile başa çıkmak da zor olabilir, çünkü bazı satıcılar çok çeşitli haklara erişim konusunda ısrar edecektir. Bununla ağınızı bölümlere ayırarak başa çıkabilirsiniz; böylece erişim yalnızca yönetilen hizmete verilebilir. Örneğin, HVAC kontrolörü kendi segmentinde olacak şekilde segmentlere ayırın ve bu sistemin bakımını yapmakla görevli satıcılar ağın sadece o kısmına erişebilirler. Bunu başarmaya yardımcı olabilecek bir diğer önlem, yalnızca hesapların daha iyi izlenmesini sağlamakla kalmayacak, aynı zamanda onları ve erişim haklarına sahip olan sağlam bir kimlik yönetimi (IDM) sistemi kullanmaktır. Bu sistemler aynı zamanda daha hızlı bir şekilde erişimi askıya almanıza ve hesap faaliyetlerinin denetim izini sağlamanıza izin verecektir. Birine büyük paralar harcayabildiğiniz halde, bir Microsoft Active Directory (AD) ağacı etkinleştirilmiş bir Windows Server mağazasındaysanız zaten çalışıyor olabilirsiniz.

• 2019 İçin En İyi Güvenlik Süitleri 2019 İçin En İyi Güvenlik Süitleri
• 2019 İçin En İyi İş Bulutu Depolama ve Dosya Paylaşımı Sağlayıcıları 2019 İçin En İyi İş Bulutu Depolama ve Dosya Paylaşımı Sağlayıcıları
• 2019'da İşletmeler İçin En İyi Bulut Yedekleme Hizmetleri 2019'da İşletmeler İçin En İyi Bulut Yedekleme Hizmetleri

Ayrıca, satıcıların en az ayrıcalıklı erişime sahip olduklarından emin olmanız gerekebilir, böylece hesapları yalnızca onlara yönettiği yazılım veya cihaz için haklar verir ve başka bir şey yapmaz - bir IDM sisteminin başka bir harika kullanımı. Başka bir şey için geçici erişim talep etmelerini isteyebilirsiniz.

Bunlar, oldukça uzun bir güvenlik sorunu listesindeki ilk birkaç öğedir ve SANS güvenlik anketi raporunun tamamını okumaya değer. Bu liste size güvenlik açıklarına yaklaşmanın yollarını gösteren bir yol gösterecek ve atabileceğiniz daha fazla adımı gerçekleştirmenize yardımcı olacak. Ancak, sonuçta, SANS'ın bildirdiği sorunlar hakkında hiçbir şey yapmazsanız, bulut güvenceniz kokuyor olacak ve bulutunuz kanalizasyonu tamamen patlatan çevreler gibi büyük bir başarısızlık vorteksinde yakalanacaksınız. ihlali.