A kiberbűnözők mindig keresik a vakfoltokat a hozzáférés-kezelésben, legyen szó hibás konfigurációról, rossz hitelesítési gyakorlatról, kijavítatlan biztonsági hibákról vagy a vállalati kastély egyéb rejtett ajtóiról. Most, amikor a szervezetek folytatják modernizációjukat a felhő felé, a rossz szereplők kihasználják a feltörekvő lehetőséget: hozzáférési hibákat és hibás konfigurációkat a szervezetek felhőszolgáltatók használatában. identitás- és hozzáférés-kezelés (IAM) rétegeket.
A Black Hat USA-ban augusztus 10-én, szerdán tartott előadáson „Én vagyok az, aki kopogtatIgal Gofman, az Ermetic kutatási vezetője ad betekintést erre a kialakulóban lévő kockázati határvonalra. „A védőknek meg kell érteniük, hogy az új kerület nem a hálózati réteg, mint korábban. Most már tényleg az IAM – ez a felügyeleti réteg, amely mindent irányít” – mondja a Dark Readingnek.
Bonyolultság, gépi identitások = bizonytalanság
Megjegyzi, a leggyakoribb buktató, amelybe a biztonsági csapatok lépnek a felhő IAM alkalmazása során, hogy nem ismerik fel a környezet puszta összetettségét. Ez magában foglalja a szoftver-szolgáltatásként (SaaS) létrehozott alkalmazások által létrehozott engedélyek és hozzáférési engedélyek szaporodó mennyiségének megértését.
„Az ellenfelek továbbra is tokenekre vagy hitelesítő adatokra helyezik a kezüket, akár adathalászattal, akár más módon” – magyarázza Gofman. „Egy időben ezek nem sokat adtak a támadónak azon kívül, ami egy helyi gépen volt. Most azonban ezek a biztonsági tokenek sokkal nagyobb hozzáféréssel rendelkeznek, mivel az elmúlt néhány évben mindenki a felhőbe költözött, és több hozzáférése van a felhő-erőforrásokhoz.”
A komplexitás kérdése különösen pikáns, ha arról van szó gép entitások - amelyek az emberekkel ellentétben mindig működnek. Felhőkörnyezetben a felhő API-khoz való hozzáférésre szolgálnak API-kulcsok segítségével; szerver nélküli alkalmazások engedélyezése; a biztonsági szerepkörök automatizálása (azaz felhőalapú hozzáférési szolgáltatási brókerek vagy CASB-k); a SaaS-alkalmazások és profilok integrálása szolgáltatásfiókok segítségével; és több.
Tekintettel arra, hogy egy átlagos vállalat ma több száz felhőalapú alkalmazást és adatbázist használ, a gépi identitások tömege a szervezetek infrastruktúráját megalapozó, összefonódó engedélyek és hozzáférések rendkívül összetett hálóját mutatja be, amely nehezen láthatóvá válik, és így nehezen kezelhető, – mondja Gofman. Ezért az ellenfelek egyre jobban ki akarják használni ezeket az identitásokat.
„Emelkedést látunk a nem emberi identitások használatában, amelyek belsőleg különböző erőforrásokhoz és szolgáltatásokhoz férnek hozzá” – jegyzi meg. „Ezek olyan szolgáltatások, amelyek beszélnek más szolgáltatásokkal. Engedélyeik vannak, és általában szélesebb hozzáférésük van, mint az embereknek. A felhőszolgáltatók szorgalmazzák felhasználóikat, hogy ezeket használják, mert alapszinten biztonságosabbnak tartják őket. Vannak azonban olyan kizsákmányolási technikák, amelyek segítségével kompromittálhatók a környezetek ezeknek a nem emberi identitásoknak a használatával.”
A felügyeleti engedéllyel rendelkező gépi entitások különösen vonzóak az ellenfelek számára – teszi hozzá.
„Ez az egyik fő vektor, amelyet a kiberbűnözők megcéloznak, különösen az Azure-ban” – magyarázza. "Ha nincs bensőséges megértése arról, hogyan kell kezelni őket az IAM-en belül, akkor biztonsági rést hoz létre."
Hogyan lehet fokozni az IAM biztonságot a felhőben
Defenzív oldalról Gofman azt tervezi, hogy megvitatja azt a sok lehetőséget, amellyel a szervezetek felvehetik a karjukat a hatékony IAM felhőben való megvalósításának problémájával. Egyrészt a szervezeteknek ki kell használniuk a felhőszolgáltatók naplózási képességeit, hogy átfogó képet alkothassanak arról, hogy kik és mi találhatók a környezetben.
„Ezeket az eszközöket valójában nem használják széles körben, de jó lehetőségeket kínálnak arra, hogy jobban megértsük, mi történik a környezetében” – magyarázza. „A naplózás segítségével csökkentheti a támadási felületet is, mert pontosan láthatja, hogy a felhasználók mit használnak, és milyen jogosultságokkal rendelkeznek. Az adminisztrátorok összehasonlíthatják a megadott irányelveket azzal is, amit egy adott infrastruktúrán belül ténylegesen használnak.
Azt is tervezi, hogy lebontja és összehasonlítja a három legnépszerűbb nyilvános felhőszolgáltató – az Amazon Web Services, a Google Cloud Platform és a Microsoft Azure – különböző IAM-szolgáltatásait, valamint biztonsági megközelítéseiket, amelyek mindegyike kissé eltér egymástól. A többfelhős IAM további ráncot jelent a különböző szolgáltatóktól származó különböző felhőket használó vállalatok számára, és Gofman megjegyzi, hogy az általuk kínált eszközök közötti finom különbségek megértése nagyban hozzájárulhat a védekezés megerősítéséhez.
A szervezetek számos külső, nyílt forráskódú eszközt is használhatnak, hogy jobb láthatóságot szerezzenek az infrastruktúrában – jegyzi meg, hozzátéve, hogy ő és társelőadója, Noam Dahan, az Ermetic kutatási vezetője egy lehetőség bemutatását tervezi.
„A felhő IAM rendkívül fontos” – mondja Gofman. "Beszélni fogunk a veszélyekről, a használható eszközökről, és annak fontosságáról, hogy jobban megértsük, milyen engedélyeket használnak és melyeket nem, és hogyan és hol tudják a rendszergazdák azonosítani a holtfoltokat."