Bakit hindi pinuputol ng seguridad ng iyong ulap at kung ano ang gagawin tungkol dito

Ang 2019 Cloud Security Survey ng SANS Institute ay malalim (kakailanganin mong mag-sign up para sa isang libreng membership upang mabasa ito). Isinulat ni Dave Shackleford noong Abril 2019, ang ulat ay nagsasaad ng ilang mga nabigo na katotohanan at pigura. Halimbawa, iisipin ng isa na, pagkatapos ng lahat ng mga kamakailang ulat ng paglabag, mas mahusay naming protektahan ang aming mga mapagkukunan ng ulap. Ngunit hindi lamang tayo ay masamang masama dito, ang malaking problema ay hindi kahit na sa teknolohiya. Tao pa rin. Ang isang malinaw na indikasyon nito ay lilitaw sa listahan ng ulat ng mga nangungunang uri ng pag-atake, na nagsisimula sa pag-hijack o account o kredensyal, at ang bilang ng dalawang kadahilanan ng maling pagsasalarawan ng mga serbisyo sa ulap at mapagkukunan.

"Ang kredensyal na pag-hijack ay isang sinubukan at tunay na pamamaraan ng pag-access dahil inaatake ka ng mga tao, " sabi ni Mike Sprunger, Senior Manager ng Security Consulting Practice sa Insight Enterprises 'Security Consulting Practice. "Ang mga tao ay palaging magiging pinakamahina na link dahil dito ka nakakapasok sa maraming mga tradisyunal na isyu sa panlipunang pang-engineering, tulad ng mga tawag sa help desk, phishing, at sibat phishing."

Siyempre, maraming mga paraan na ang mga kredensyal ay maaaring ninakaw, na may phishing na lamang ang pinakabago at, sa ilang mga kaso, ang pinakamahirap na makitungo. Ngunit ang mga kredensyal ay maaari ring ani mula sa data mula sa iba pang mga paglabag dahil lamang sa paggamit ng mga tao ng parehong mga kredensyal kung saan makakaya nila kaya hindi nila naaalala ang higit pa kaysa sa kinakailangan. Bilang karagdagan, ang kasanayan na pinarangalan ng oras ng pagsulat ng impormasyon ng pag-log-in sa malagkit na mga tala at pag-paste ng mga ito sa tabi ng isang keyboard ay marami pa rin sa paligid.

Ang maling ideya ng mga serbisyo sa ulap ay isa pang lugar kung saan ang mga tao ay mahina na punto. Ang pagkakaiba dito ay ang mga tao ay lalabas at tatayo ng isang serbisyo sa ulap nang walang anumang ideya kung ano ang kanilang ginagawa, at pagkatapos ay gagamitin nila ito upang mag-imbak ng data nang hindi pinoprotektahan ito.

"Una, sa pag-aampon ng ulap, napakaraming tungkol sa kung gaano kadali ang tumayo ng isang ulap na may mga hindi makatotohanang inaasahan, " paliwanag ni Sprunger. "Ang mga tao ay nagkakamali, at hindi talaga malinaw kung ano ang kailangan mong gawin upang tukuyin ang seguridad sa paligid ng mga lalagyan."

Ang Vagueness Sa Security ay Hindi Mabuti

Bahagi ng problema ay ang mga tagapagbigay ng ulap ay hindi talagang gumawa ng isang sapat na trabaho sa pagpapaliwanag kung paano gumagana ang kanilang mga pagpipilian sa seguridad (tulad ng nalaman ko noong kamakailan lamang na suriin ang Infrastructure-as-a-Service o IaaS solution), kaya kailangan mong hulaan o tawagan ang nagtitinda para sa tulong. Halimbawa, sa maraming mga serbisyo sa ulap, mayroon kang pagpipilian na i-on ang isang firewall. Ngunit ang pag-alam kung paano i-configure ito sa sandaling tumatakbo ito ay maaaring hindi malinaw na ipinaliwanag. Sa lahat.

Ang problemang ito ay napakasama na ang Shackleford, ang may-akda ng ulat ng SANS, ay nagsisimula ng ulat sa isang listahan ng mga hindi protektadong mga kahon ng Mga Simple na Serbisyo sa Pag-iimbak (S3) ng Amazon na nagresulta sa mga paglabag. "Kung ang mga numero ay dapat paniwalaan, 7 porsyento ng mga S3 mga balde ay malawak na bukas sa mundo, " isinulat niya, "at isa pang 35 porsyento ay hindi gumagamit ng pag-encrypt (na itinayo sa serbisyo)." Ang Amazon S3 ay isang mahusay na platform ng imbakan habang ang aming pagsubok ay nanganak. Ang mga problema tulad ng mga stem na ito ay mula lamang sa mga gumagamit alinman sa maling pagsasaalang-alang sa serbisyo o pagiging ganap na walang kamalayan na mayroong ilang mga tampok.

Ang pribilehiyo na pag-abuso sa paggamit ay susunod sa listahan at ito ay isa pang problema na nagmumula sa mga tao. Sinabi ni Sprunger na ito ay higit pa sa mga disgruntadong empleyado, bagaman kasama nito ang mga iyon. "Ang marami sa mga napalampas ay mga third party na may pribilehiyong pag-access, " paliwanag niya. "Mas madali itong pumasok sa pamamagitan ng pag-access sa serbisyo sa serbisyo. Karaniwan, ito ay isang solong account na may isang solong password, at walang pananagutan."

Karaniwang ibinibigay ang mga account sa serbisyo para sa mga ikatlong partido, madalas na mga vendor o mga kontratista na nangangailangan ng pag-access alinman upang magbigay ng suporta o serbisyo. Ito ay tulad ng isang account sa serbisyo na kabilang sa isang kontraktor ng Heating, Ventilation, Air Conditioning (HVAC) na siyang mahina na punto na humahantong sa paglabag sa Target noong 2014. "Ang mga account na iyon ay karaniwang mayroong mga pribilehiyo na tulad ng diyos, " sabi ni Sprunger, na idinagdag na sila ay isang punong target para sa mga umaatake.

Pagtagumpay sa Vulnerability ng Seguridad

Kaya, ano ang gagawin mo tungkol sa mga kahinaan na ito? Ang maikling sagot ay pagsasanay ngunit ito ay mas kumplikado kaysa doon. Halimbawa, ang mga gumagamit ay kailangang sanayin upang tumingin sa mga email sa phishing, at ang pagsasanay ay kailangang kumpleto nang sapat upang makilala ang kahit banayad na mga palatandaan ng phishing. Dagdag pa, kinakailangang isama ang mga hakbang na dapat gawin ng mga empleyado kung pinaghihinalaan man nila na nakikita nila ang naturang pag-atake. Kasama dito kung paano makita kung saan pupunta talaga ang isang link sa isang email, ngunit kailangan din nitong isama ang mga pamamaraan para sa pag-uulat ng naturang email. Ang pagsasanay ay kinakailangang magsama ng paniniwala na hindi sila magkakaroon ng problema sa pagkabigo na kumilos sa mga tagubilin sa email na mukhang kahina-hinala.

Gayundin, kailangang may ilang antas ng pamamahala sa korporasyon sa lugar upang ang mga random na empleyado ay hindi lalabas at magse-set up ng kanilang sariling mga account sa cloud service. Kasama dito ang panonood ng mga ulat sa ulat ng gastos para sa mga singil para sa mga serbisyo ng ulap sa mga personal na credit card. Ngunit nangangahulugan din ito na kailangan mong magbigay ng pagsasanay sa kung paano haharapin ang pagkakaroon ng mga serbisyo sa ulap.

Pagharap sa May Pribadong Pag-abuso sa Gumagamit

Ang pagharap sa may pribilehiyo na pang-aabuso sa gumagamit ay maaari ring maging hamon dahil ang ilang mga nagtitinda ay igiit sa pag-access sa isang malawak na hanay ng mga karapatan. Maaari mong harapin ang ilan dito sa pamamagitan ng pag-segment ng iyong network upang ang pag-access ay lamang sa serbisyo na pinamamahalaan. Halimbawa, hatiin ito upang ang HVAC magsusupil ay nasa sarili nitong segment, at ang mga vendor ay nagtalaga sa pagpapanatili ng sistemang iyon lamang makakuha ng access sa bahaging iyon ng network. Ang isa pang panukala na makakatulong upang makamit ito ay ang paggamit ng isang matatag na sistema ng pamamahala ng pagkakakilanlan (IDM), na hindi lamang masusubaybayan ang mas mahusay na pagsubaybay sa mga account, ngunit mayroon ding mga ito at ang kanilang mga pag-access sa priviledges. Hahayaan ka rin ng mga system na ito na suspindihin ang pag-access nang mas mabilis at magbigay ng isang pag-audit ng trail ng aktibidad ng account. At habang maaari kang gumastos ng malaking bucks sa isa, maaaring mayroon ka ng isang tumatakbo kung ikaw ay isang Windows Server shop na may pinagana na puno ng Microsoft Active Directory (AD).

• Ang Best Security Suites para sa 2019 Ang Best Security Suites para sa 2019
• Ang Pinakamagandang Negosyo Cloud Storage at File Sharing Provider para sa 2019 Ang Pinakamagandang Negosyo sa Pag-iimbak ng Cloud at Pagbabahagi ng File para sa 2019
• Ang Pinakamagandang Cloud Backup Services para sa Negosyo sa 2019 Ang Pinakamagandang Cloud Backup Services para sa Negosyo sa 2019

Maaaring kailanganin mo ring tiyakin na ang mga vendor ay may pinakamaliit na pribilehiyong pag-access upang ang kanilang mga account ay nagbibigay lamang sa kanila ng mga karapatan sa software o appliance na pinamamahalaan nila at wala nang iba pa - isa pang mahusay na paggamit ng isang IDM system. Maaari mong hilingin sa kanila na humingi ng pansamantalang pag-access para sa anumang bagay.

Ito lamang ang nangungunang ilang mga item sa isang medyo mahaba na listahan ng mga problema sa seguridad, at sulit na basahin ang ulat ng seguridad ng SANS sa kabuuan nito. Ang listahan nito ay magbibigay sa iyo ng isang roadmap ng mga paraan upang lapitan ang iyong mga kahinaan sa seguridad at makakatulong ito sa iyo na mapagtanto ang maraming mga hakbang na maaari mong gawin. Ngunit ang nasa ilalim na linya ay, kung wala kang ginagawa tungkol sa mga problema na iniulat ng SANS, kung gayon ang iyong seguridad sa ulap ay mabaho, at marahil ay mahuli ka sa isang vortex ng pagkabigo habang ang iyong ulap ay nagpapalibot sa alisan ng tubig sa isang buong tinatangay ng hangin paglabag.