يبحث مجرمو الإنترنت دائمًا عن النقاط العمياء في إدارة الوصول ، سواء كانت تكوينات خاطئة ، أو ممارسات اعتماد سيئة ، أو أخطاء أمنية غير مسبوقة ، أو أبواب مخفية أخرى لقلعة الشركة. الآن ، مع استمرار المنظمات في التحول إلى السحابة في التحديث ، يستفيد الفاعلون السيئون من فرصة ناشئة: الوصول إلى العيوب والتكوينات الخاطئة في كيفية استخدام المؤسسات لموفري الخدمات السحابية إدارة الوصول والهوية (IAM) طبقات.
في حديث يوم الأربعاء 10 أغسطس في بلاك هات بالولايات المتحدة الأمريكية بعنوان "أنا الشخص الذي يقرع، "إيجال جوفمان ، رئيس الأبحاث في Ermetic ، سوف يقدم نظرة على حدود المخاطر الناشئة هذه. "يحتاج المدافعون إلى فهم أن المحيط الجديد ليس طبقة الشبكة كما كانت من قبل. الآن أصبحت IAM حقًا - إنها طبقة الإدارة التي تحكم كل شيء ، "قال لـ Dark Reading.
التعقيد ، هوية الآلة = انعدام الأمن
وأشار إلى أن الخطأ الأكثر شيوعًا الذي تتدخل فيه فرق الأمان عند تنفيذ IAM السحابي هو عدم إدراك التعقيد الهائل للبيئة. يتضمن ذلك فهم مقدار الأذونات المتضخم والوصول الذي أنشأته تطبيقات البرامج كخدمة (SaaS).
يوضح جوفمان: "يواصل الخصوم وضع أيديهم على الرموز المميزة أو بيانات الاعتماد ، إما عن طريق التصيد الاحتيالي أو طريقة أخرى". "في وقت من الأوقات ، لم يقدم هؤلاء الكثير للمهاجم بخلاف ما كان موجودًا على جهاز محلي. ولكن الآن ، تتمتع رموز الأمان هذه بإمكانية وصول أكبر ، لأن الجميع في السنوات القليلة الماضية انتقلوا إلى السحابة ، ولديهم وصول أكبر إلى موارد السحابة. "
تعتبر قضية التعقيد شديدة خاصة عندما يتعلق الأمر بها كيانات الآلة - والتي ، على عكس البشر ، تعمل دائمًا. في سياق السحابة ، يتم استخدامها للوصول إلى واجهات برمجة التطبيقات السحابية باستخدام مفاتيح API ؛ تمكين التطبيقات بدون خادم ؛ أتمتة أدوار الأمان (أي وسطاء خدمة الوصول إلى السحابة أو CASBs) ؛ دمج تطبيقات وملفات SaaS مع بعضها البعض باستخدام حسابات الخدمة ؛ و اكثر.
نظرًا لأن الشركة المتوسطة تستخدم الآن المئات من التطبيقات وقواعد البيانات المستندة إلى السحابة ، فإن هذه الكتلة من هويات الماكينة تقدم شبكة معقدة للغاية من الأذونات المتشابكة والوصول التي تدعم البنى التحتية للمؤسسات ، والتي يصعب رؤيتها وبالتالي يصعب إدارتها ، يقول جوفمان. لهذا السبب يسعى الخصوم لاستغلال هذه الهويات أكثر فأكثر.
"إننا نشهد ارتفاعًا في استخدام الهويات غير البشرية ، التي لديها إمكانية الوصول إلى موارد مختلفة وخدمات مختلفة داخليًا ،" يلاحظ. "هذه هي الخدمات التي تتحدث مع خدمات أخرى. لديهم أذونات ، وعادة ما يكون وصول أوسع من البشر. يدفع مقدمو الخدمات السحابية مستخدميهم إلى استخدام هؤلاء ، لأنهم على المستوى الأساسي يعتبرونهم أكثر أمانًا. ولكن ، هناك بعض تقنيات الاستغلال التي يمكن استخدامها لتسوية البيئات باستخدام تلك الهويات غير البشرية ".
ويضيف أن كيانات الآلة التي لديها أذونات إدارة جذابة بشكل خاص لاستخدام الخصوم.
ويوضح قائلاً: "هذا أحد العوامل الرئيسية التي نرى استهداف مجرمي الإنترنت ، خاصة في Azure". "إذا لم يكن لديك فهم عميق لكيفية إدارتها داخل IAM ، فأنت تعرض ثغرة أمنية."
كيفية تعزيز أمان IAM في السحابة
من وجهة نظر دفاعية ، يخطط جوفمان لمناقشة الخيارات العديدة التي تمتلكها المنظمات للتغلب على مشكلة تنفيذ IAM الفعال في السحابة. أولاً ، يجب على المؤسسات الاستفادة من إمكانات التسجيل لموفري الخدمات السحابية لبناء رؤية شاملة لمن - وما - موجود في البيئة.
"لا يتم استخدام هذه الأدوات فعليًا على نطاق واسع ، ولكنها خيارات جيدة لفهم ما يحدث في بيئتك بشكل أفضل" ، كما يوضح. "يمكنك استخدام التسجيل لتقليل مساحة الهجوم أيضًا ، لأنه يمكنك رؤية ما يستخدمه المستخدمون بالضبط ، والأذونات التي يمتلكونها. يمكن للمسؤولين أيضًا مقارنة السياسات المعلنة بما يتم استخدامه بالفعل داخل بنية تحتية معينة أيضًا ".
كما يخطط أيضًا لتحليل ومقارنة خدمات IAM المختلفة من أكبر ثلاثة مزودي خدمة سحابية عامة - Amazon Web Services و Google Cloud Platform و Microsoft Azure - وطرق الأمان الخاصة بهم ، وكلها مختلفة قليلاً. تعد الأداة متعددة السحابة IAM تجعدًا إضافيًا للشركات التي تستخدم سحابات مختلفة من مزودين مختلفين ، ويلاحظ جوفمان أن فهم الاختلافات الدقيقة بين الأدوات التي يقدمونها يمكن أن يقطع شوطًا طويلاً في تعزيز الدفاعات.
يمكن للمؤسسات أيضًا استخدام مجموعة متنوعة من أدوات الجهات الخارجية مفتوحة المصدر للحصول على رؤية أفضل عبر البنية التحتية ، كما يشير ، مضيفًا أنه ومقدم العرض المشارك نعوم دهان ، رئيس الأبحاث في Ermetic ، يخططان لعرض خيار واحد.
يقول جوفمان: "إن Cloud IAM أمر بالغ الأهمية". "سنتحدث عن المخاطر ، والأدوات التي يمكن استخدامها ، وأهمية الفهم الأفضل للأذونات المستخدمة والأذونات التي لا يتم استخدامها ، وكيف وأين يمكن للمسؤولين تحديد النقاط غير المرئية."
