Per què la seguretat del núvol no la talla i què cal fer al respecte?

L’enquesta de seguretat de núvols de l’Institut SANS del 2019 és apassionant (haureu d’inscriure-vos a una inscripció gratuïta per llegir-la). L’informe va escriure Dave Shackleford l’abril de 2019, algunes dades i dades decebedores. Per exemple, es podria pensar que, després de tots els recents informes d’incompliment, estaríem millor a l’hora de protegir els nostres recursos al núvol. Però no només estem molt malament, el gran problema és ni tan sols la tecnologia. Segueix sent gent. Una clara indicació d’això apareix a la llista de l’informe dels principals tipus d’atacs, començant pel segrest de comptes o credencials i la raó número dos de la configuració errònia de serveis i recursos al núvol.

"El segrest acreditatiu és una metodologia d'accés provat i real perquè ataca gent", va dir Mike Sprunger, responsable de la pràctica de consultoria de seguretat de la pràctica de consultoria de seguretat d'Insight Enterprises. "La gent serà sempre l'enllaç més feble perquè és aquí on us poseu en molts dels problemes tradicionals d'enginyeria social, com ara trucades al servei d'assistència, phishing i phishing".

Per descomptat, hi ha moltes maneres en què es poden robar les credencials, essent el phishing el més recent i, en alguns casos, el més difícil de tractar. Però les credencials també es poden obtenir a partir d’informacions d’altres incompliments simplement perquè les persones reutilitzen les mateixes credencials on puguin, de manera que no se’n recorden més del necessari. A més, la pràctica que respecta el temps d’escriure informació d’inici de sessió en notes enganxoses i enganxar-les al costat d’un teclat segueix molt al voltant.

La configuració errònia dels serveis al núvol és un altre àmbit en què la gent és el punt feble. La diferència és que la gent sortirà a l’altura d’un servei de núvol sense tenir ni idea de què fan i, després, l’utilitzaran per emmagatzemar dades sense protegir-les.

"Primer, en l'adopció del núvol, s'ha parlat molt sobre el fàcil que és mantenir un núvol que hi ha expectatives poc realistes", va explicar Sprunger. "La gent s'equivoca i no està clar el que heu de fer per definir la seguretat al voltant dels contenidors".

La imprecisió en la seguretat no és bona

Una part del problema és que els proveïdors de núvols realment no fan una tasca adequada d’explicar el funcionament de les seves opcions de seguretat (com he descobert quan heu revisat recentment les solucions d’Infraestructura com a servei o IaaS), així que heu d’endevinar o trucar el venedor per obtenir ajuda. Per exemple, amb molts serveis al núvol, teniu l’opció d’encendre un tallafoc. Però esbrinar clarament la forma de configurar-lo una vegada en funcionament. En absolut.

Aquest problema és tan greu que Shackleford, l'autor de l'informe SANS, inicia l'informe amb una llista de cubetes d'Amazon Simple Storage Service (S3) no protegides d'Amazon, que van provocar incompliments. "Si es creu que es creuen els números, el 7 per cent dels cubs S3 estan molt oberts al món", va escriure, "i un altre 35 per cent no utilitza el xifrat (integrat al servei)". Amazon S3 és una excel·lent plataforma d'emmagatzematge, ja que la nostra prova va abandonar. Problemes com aquests provenen simplement d’usuaris que configuren erròniament el servei o desconeixen del tot que existeixen determinades funcions.

A la llista hi ha un abús d'ús privilegiat i és un altre problema derivat de la gent. Sprunger va dir que això no és més que empleats descontents, encara que inclogui aquests. "Molt allò que es troba a faltar són tercers que tenen accés privilegiat", va explicar. "És molt més fàcil accedir a l'accés al compte de servei. Normalment, és un compte únic amb una sola contrasenya i no hi ha cap responsabilitat".

Els comptes de servei es solen proporcionar a tercers, sovint venedors o contractistes que necessiten accés o bé per proporcionar suport o servei. Va ser un compte de servei pertanyent a un contractista de calefacció, ventilació i climatització (HVAC) que va ser el punt feble que va provocar la violació de Target el 2014. "Aquests comptes solen tenir privilegis semblants als déus", va dir Sprunger, que va afegir que són un objectiu principal per als atacants.

Superar les vulnerabilitats de seguretat

Aleshores, què en feu d’aquestes vulnerabilitats? La resposta breu és la formació, però és més complex que això. Per exemple, cal que els usuaris estiguin formats per cercar correus electrònics de phishing i cal que la formació sigui prou completa per reconèixer signes subtils de phishing. A més, ha d’incloure els passos que els empleats han de fer si fins i tot sospiten que estan veient un atac d’aquest tipus. Inclou la manera de veure cap a on es dirigeix ​​un enllaç d’un correu electrònic, però també ha d’incloure els procediments per informar d’un correu electrònic. La formació ha d’incloure la creença que no tindran problemes per no actuar amb instruccions per correu electrònic que semblin sospitoses.

Així mateix, cal que hi hagi un cert nivell de govern corporatiu perquè els empleats aleatoris no surtin i configurin els seus propis comptes de servei en núvol. Això inclou la visualització de vals d’informe de despeses pels càrrecs per serveis en núvol a les targetes de crèdit personals. Però també significa que cal proporcionar formació sobre com afrontar la disponibilitat de serveis al núvol.

Fer front a l'abús d'usuaris privilegiats

Fer front a l’abús privilegiat d’usuaris també pot ser difícil, ja que alguns proveïdors insistiran en l’accés amb una àmplia gamma de drets. Podeu fer front a això segmentant la vostra xarxa de manera que l’accés només sigui al servei que s’està gestionant. Per exemple, segmenteu-lo de manera que el controlador d’HVAC estigui al seu propi segment i els venedors encarregats de mantenir aquest sistema només tenen accés a aquesta part de la xarxa. Una altra mesura que pot ajudar a aconseguir-ho és el desplegament d’un sistema de gestió d’identitats robust (IDM), que no només farà un millor seguiment dels comptes, sinó qui els té i els seus privilegis d’accés. Aquests sistemes també us permetran suspendre l'accés més ràpidament i proporcionar un rastre d'auditoria de l'activitat del compte. I, tot i que podeu gastar grans diners en un, podríeu tenir-ne un en funcionament si sou una botiga de Windows Server amb un arbre de Microsoft Active Directory (AD) habilitat.

• Les millors suites de seguretat del 2019 Les millors suites de seguretat per al 2019
• Els millors proveïdors d’emmagatzematge i compartició de fitxers en núvol empresarial del 2019 Els millors proveïdors d’emmagatzematge en núvol empresarial i compartició de fitxers del 2019
• Els millors serveis de còpia de seguretat de núvol per a empreses el 2019 Els millors serveis de còpia de seguretat de núvol per a empreses el 2019

També cal que us assegureu que els proveïdors tinguin accés de menys privilegi, de manera que els seus comptes només els atorguen drets sobre el programari o l’aparell que gestionen i res més, un altre gran ús d’un sistema IDM. Podeu exigir que demanin accés temporal per a qualsevol altra cosa.

Aquests són només els primers articles d'una llista bastant llarga de problemes de seguretat, i val la pena llegir l'informe de l'enquesta de seguretat SANS en la seva totalitat. La seva llista us proporcionarà un full de ruta de maneres d’abordar les vostres vulnerabilitats de seguretat i us ajudarà a realitzar més passos que podeu fer. Però la conclusió és que, si no fas res sobre els problemes denunciats per SANS, la seguretat del núvol s’apareixerà i, probablement, quedaràs atropellat en un vòrtex de falles a mesura que el núvol redueixi el desguàs fins al màxim. incompliment.