Cyberkriminelle leder altid efter blinde vinkler i adgangsstyring, det være sig fejlkonfigurationer, dårlig legitimationspraksis, uoprettede sikkerhedsfejl eller andre skjulte døre til virksomhedens slot. Nu, hvor organisationer fortsætter deres moderniserende drift til skyen, udnytter dårlige aktører en ny mulighed: adgangsfejl og fejlkonfigurationer i, hvordan organisationer bruger cloud-udbydere' identitets- og adgangsstyring (IAM) lag.
I et foredrag onsdag den 10. august på Black Hat USA med titlen "Jeg er den, der banker", Igal Gofman, forskningschef for Ermetic, vil give et indblik i denne nye risikogrænse. "Forsvarere skal forstå, at den nye perimeter ikke er netværkslaget, som det var før. Nu er det virkelig IAM — det er ledelseslaget, der styrer alt,” siger han til Dark Reading.
Kompleksitet, Maskinidentiteter = Usikkerhed
Den mest almindelige faldgrube, som sikkerhedsteam træder ind i, når de implementerer cloud IAM, er ikke at genkende miljøets rene kompleksitet, bemærker han. Det inkluderer forståelse af den enorme mængde af tilladelser og adgang, som software-as-a-service (SaaS) apps har skabt.
"Modstandere fortsætter med at lægge hænderne på tokens eller legitimationsoplysninger, enten via phishing eller en anden tilgang," forklarer Gofman. "På et tidspunkt gav de ikke meget til angriberen ud over, hvad der var på en lokal maskine. Men nu har disse sikkerhedstokens meget mere adgang, fordi alle i de sidste par år flyttede til skyen og har mere adgang til cloud-ressourcer."
Problemet med kompleksitet er særligt pikant, når det kommer til maskinenheder - som i modsætning til mennesker altid fungerer. I cloud-sammenhæng bruges de til at få adgang til cloud-API'er ved hjælp af API-nøgler; aktivere serverløse applikationer; automatisere sikkerhedsroller (dvs. cloud-adgangsservicemæglere eller CASB'er); integrere SaaS-apps og -profiler med hinanden ved hjælp af servicekonti; og mere.
I betragtning af, at den gennemsnitlige virksomhed nu bruger hundredvis af cloud-baserede apps og databaser, præsenterer denne masse af maskinidentiteter et meget komplekst net af sammenvævede tilladelser og adgang, der understøtter organisationers infrastrukturer, som er svære at få synlighed i og dermed svære at administrere, siger Gofman. Det er derfor, modstandere søger at udnytte disse identiteter mere og mere.
"Vi ser en stigning i brugen af ikke-menneskelige identiteter, som har adgang til forskellige ressourcer og forskellige tjenester internt," bemærker han. "Det er tjenester, der taler med andre tjenester. De har tilladelser og normalt bredere adgang end mennesker. Cloud-udbyderne presser deres brugere til at bruge dem, fordi de på det grundlæggende niveau anser dem for at være mere sikre. Men der er nogle udnyttelsesteknikker, der kan bruges til at kompromittere miljøer ved at bruge disse ikke-menneskelige identiteter."
Maskinenheder med ledelsestilladelser er særligt attraktive for modstandere at bruge, tilføjer han.
"Dette er en af de vigtigste vektorer, vi ser cyberkriminelle målrette mod, især i Azure," forklarer han. "Hvis du ikke har en indgående forståelse af, hvordan du administrerer dem inden for IAM, tilbyder du et sikkerhedshul."
Sådan øger du IAM-sikkerhed i skyen
Fra et defensivt synspunkt planlægger Gofman at diskutere de mange muligheder, som organisationer har for at få styr på problemet med at implementere effektiv IAM i skyen. For det første bør organisationer gøre brug af cloud-udbyderes logningsfunktioner til at opbygge et omfattende overblik over, hvem - og hvad - der findes i miljøet.
"Disse værktøjer bruges faktisk ikke i udstrakt grad, men de er gode muligheder for bedre at forstå, hvad der foregår i dit miljø," forklarer han. "Du kan også bruge logning til at reducere angrebsoverfladen, fordi du kan se præcis, hvad brugerne bruger, og hvilke tilladelser de har. Administratorer kan også sammenligne angivne politikker med, hvad der rent faktisk bliver brugt inden for en given infrastruktur."
Han planlægger også at opdele og sammenligne de forskellige IAM-tjenester fra de tre største offentlige cloud-udbydere - Amazon Web Services, Google Cloud Platform og Microsoft Azure - og deres sikkerhedstilgange, som alle er lidt forskellige. Multi-cloud IAM er en ekstra rynke for virksomheder, der bruger forskellige skyer fra forskellige udbydere, og Gofman bemærker, at forståelsen af de subtile forskelle mellem de værktøjer, de tilbyder, kan gå langt for at styrke forsvaret.
Organisationer kan også bruge en række tredjeparts open source-værktøjer til at få bedre synlighed på tværs af infrastrukturen, bemærker han og tilføjer, at han og hans medpræsentant Noam Dahan, forskningsleder hos Ermetic, planlægger at demonstrere én mulighed.
"Cloud IAM er supervigtigt," siger Gofman. "Vi vil tale om farerne, de værktøjer, der kan bruges, og vigtigheden af bedre at forstå, hvilke tilladelser der bruges, og hvilke tilladelser der ikke bruges, og hvordan og hvor administratorer kan identificere blinde vinkler."
