Küberkurjategijad otsivad juurdepääsuhalduses alati pimealasid, olgu need siis valekonfiguratsioonid, kehvad volikirjatavad praktikad, parandamata turvavead või muud ettevõtte lossi varjatud uksed. Nüüd, kui organisatsioonid jätkavad ajakohastamist pilve poole, kasutavad halvad tegijad ära tekkivat võimalust: juurdepääsuvead ja väärkonfiguratsioonid selles, kuidas organisatsioonid pilveteenuse pakkujaid kasutavad. identiteedi ja juurdepääsu haldus (IAM) kihid.
Kolmapäeval, 10. augustil Black Hat USA-s peetud kõnes pealkirjaga "Ma olen see, kes koputab”, pakub Ermeticu uuringute juht Igal Gofman vaadet sellele tärkavale riskipiirile. "Kaitsjad peavad mõistma, et uus perimeeter ei ole võrgukiht, nagu see oli varem. Nüüd on see tõesti IAM – see on halduskiht, mis juhib kõike,” räägib ta Dark Readingile.
Keerukus, masina identiteedid = ebakindlus
Ta märgib, et kõige levinum lõks, millesse turvameeskonnad pilve IAM-i rakendamisel satuvad, on keskkonna keerukuse mittetundmine. See hõlmab mõistmist, kui palju lubasid ja juurdepääsu tarkvara-as-a-service (SaaS) rakendused on loonud.
"Vastased panevad jätkuvalt oma käed žetoonidele või mandaatidele kas andmepüügi või mõne muu lähenemisviisi kaudu," selgitab Gofman. "Omal ajal ei andnud need ründajale palju muud, kui kohalikus masinas. Kuid nüüd on neil turbelubadel palju suurem juurdepääs, sest kõik on viimase paari aasta jooksul kolinud pilve ja neil on rohkem juurdepääsu pilveressurssidele.
Keerukuse küsimus on eriti pikantne, kui see puudutab masinaüksused - mis erinevalt inimestest töötavad alati. Pilve kontekstis kasutatakse neid pilve API-dele juurdepääsuks API võtmete abil; serverita rakenduste lubamine; automatiseerida turberollid (st pilve juurdepääsuteenuste vahendajad või CASB-d); integreerida SaaS-i rakendusi ja profiile teenusekontode abil; ja veel.
Arvestades, et keskmine ettevõte kasutab praegu sadu pilvepõhiseid rakendusi ja andmebaase, kujutab see masinaidentiteetide mass endast väga keerulist läbipõimunud lubade ja juurdepääsuvõrku, mis on organisatsioonide infrastruktuuride aluseks ning mida on raske näha ja mida on seega raske hallata, Gofman ütleb. Sellepärast püüavad vastased neid identiteete üha enam ära kasutada.
"Me näeme tõusu mitteinimlike identiteetide kasutamises, millel on sisemiselt juurdepääs erinevatele ressurssidele ja erinevatele teenustele," märgib ta. "Need on teenused, mis räägivad teiste teenustega. Neil on load ja tavaliselt laiem juurdepääs kui inimestel. Pilvepakkujad sunnivad oma kasutajaid neid kasutama, sest algtasemel peavad nad neid turvalisemaks. Kuid on mõningaid ekspluateerimistehnikaid, mida saab kasutada keskkonna ohustamiseks, kasutades neid mitteinimlikke identiteete.
Halduslubadega masinaüksused on vastaste jaoks eriti atraktiivsed, lisab ta.
"See on üks peamisi vektoreid, mida küberkurjategijad sihivad, eriti Azure'is," selgitab ta. "Kui teil pole intiimset arusaama, kuidas neid IAM-is hallata, pakute välja turvaaugu."
Kuidas suurendada IAM-i turvalisust pilves
Kaitsvast seisukohast kavatseb Gofman arutada paljusid võimalusi, mis organisatsioonidel on tõhusa IAM-i pilves rakendamise probleemi lahendamiseks. Esiteks peaksid organisatsioonid kasutama pilveteenuse pakkujate logimisvõimalusi, et luua terviklik ülevaade sellest, kes ja mis keskkonnas eksisteerib.
"Neid tööriistu ei kasutata tegelikult laialdaselt, kuid need on head võimalused teie keskkonnas toimuva paremaks mõistmiseks," selgitab ta. "Saate kasutada logimist ka rünnakupinna vähendamiseks, sest näete täpselt, mida kasutajad kasutavad ja millised õigused neil on. Administraatorid saavad võrrelda ka välja toodud eeskirju sellega, mida konkreetses infrastruktuuris tegelikult kasutatakse.
Samuti kavatseb ta jagada ja võrrelda kolme suurima avaliku pilveteenuse pakkuja – Amazon Web Services, Google Cloud Platform ja Microsoft Azure – erinevaid IAM-teenuseid ning nende turvalisuse lähenemisviise, mis kõik on veidi erinevad. Multi-cloud IAM on kortsus ettevõtetele, kes kasutavad erinevatelt pakkujatelt erinevaid pilvi, ja Gofman märgib, et nende pakutavate tööriistade peente erinevuste mõistmine võib aidata kaitsemehhanisme tugevdada.
Organisatsioonid saavad infrastruktuuri parema nähtavuse saavutamiseks kasutada ka mitmesuguseid kolmanda osapoole avatud lähtekoodiga tööriistu, märgib ta ja lisab, et tema ja tema kaasettekandja Noam Dahan, Ermeticu uurimisjuht, kavatsevad tutvustada ühte võimalust.
"Cloud IAM on ülitähtis, " ütleb Gofman. "Räägime ohtudest, kasutatavatest tööriistadest ja sellest, kui tähtis on paremini mõista, milliseid õigusi kasutatakse ja milliseid mitte, ning kuidas ja kus saavad administraatorid pimeala tuvastada."
