Penjahat dunia maya selalu mencari titik buta dalam manajemen akses, baik itu kesalahan konfigurasi, praktik kredensial yang buruk, bug keamanan yang belum ditambal, atau pintu tersembunyi lainnya ke kastel perusahaan. Sekarang, ketika organisasi melanjutkan arus modernisasi mereka ke cloud, aktor jahat mengambil keuntungan dari peluang yang muncul: kelemahan akses dan kesalahan konfigurasi dalam cara organisasi menggunakan penyedia cloud. identitas dan manajemen akses (IAM) lapisan.
Dalam sebuah ceramah pada hari Rabu, 10 Agustus di Black Hat USA berjudul “Saya orang yang mengetuk,” Igal Gofman, kepala penelitian untuk Ermetic, akan menawarkan pandangan tentang batas risiko yang muncul ini. “Pembela perlu memahami bahwa perimeter baru bukanlah lapisan jaringan seperti sebelumnya. Sekarang benar-benar IAM — lapisan manajemen yang mengatur semuanya,” katanya kepada Dark Reading.
Kompleksitas, Identitas Mesin = Ketidakamanan
Jebakan paling umum yang dihadapi tim keamanan saat mengimplementasikan cloud IAM adalah tidak menyadari kompleksitas lingkungan, catatnya. Itu termasuk memahami jumlah izin yang membengkak dan akses yang telah dibuat oleh aplikasi software-as-a-service (SaaS).
“Musuh terus menggunakan token atau kredensial, baik melalui phishing atau pendekatan lain,” jelas Gofman. “Pada suatu waktu, itu tidak memberi banyak kepada penyerang di luar apa yang ada di mesin lokal. Tetapi sekarang, token keamanan tersebut memiliki lebih banyak akses, karena semua orang dalam beberapa tahun terakhir pindah ke cloud, dan memiliki lebih banyak akses ke sumber daya cloud.”
Masalah kompleksitas sangat mengasyikkan dalam hal entitas mesin — yang, tidak seperti manusia, selalu bekerja. Dalam konteks cloud, mereka digunakan untuk mengakses API cloud menggunakan kunci API; aktifkan aplikasi tanpa server; mengotomatisasi peran keamanan (yaitu, pialang layanan akses cloud atau CASB); mengintegrasikan aplikasi dan profil SaaS satu sama lain menggunakan akun layanan; dan banyak lagi.
Mengingat bahwa rata-rata perusahaan sekarang menggunakan ratusan aplikasi dan database berbasis cloud, massa identitas mesin ini menghadirkan web yang sangat kompleks dari izin dan akses terjalin yang mendukung infrastruktur organisasi, yang sulit untuk mendapatkan visibilitas dan dengan demikian sulit untuk dikelola, kata Gofman. Itu sebabnya musuh berusaha untuk mengeksploitasi identitas ini lebih dan lebih.
“Kami melihat peningkatan penggunaan identitas non-manusia, yang memiliki akses ke sumber daya yang berbeda dan layanan yang berbeda secara internal,” catatnya. “Ini adalah layanan yang berbicara dengan layanan lain. Mereka memiliki izin, dan biasanya akses lebih luas daripada manusia. Penyedia cloud mendorong penggunanya untuk menggunakannya, karena pada tingkat dasar mereka menganggapnya lebih aman. Tapi, ada beberapa teknik eksploitasi yang bisa digunakan untuk mengkompromikan lingkungan menggunakan identitas non-manusia itu.”
Entitas mesin dengan izin manajemen sangat menarik untuk digunakan musuh, tambahnya.
“Ini adalah salah satu vektor utama yang kami lihat menargetkan penjahat dunia maya, terutama di Azure,” jelasnya. “Jika Anda tidak memiliki pemahaman yang mendalam tentang cara mengelolanya di dalam IAM, Anda menawarkan celah keamanan.”
Cara Meningkatkan Keamanan IAM di Cloud
Dari sudut pandang defensif, Gofman berencana untuk membahas banyak opsi yang dimiliki organisasi untuk mengatasi masalah penerapan IAM yang efektif di cloud. Pertama, organisasi harus memanfaatkan kemampuan logging penyedia cloud untuk membangun pandangan komprehensif tentang siapa — dan apa — yang ada di lingkungan.
“Alat-alat ini sebenarnya tidak digunakan secara ekstensif, tetapi merupakan pilihan yang baik untuk lebih memahami apa yang terjadi di lingkungan Anda,” jelasnya. “Anda juga dapat menggunakan logging untuk mengurangi permukaan serangan, karena Anda dapat melihat dengan tepat apa yang digunakan pengguna, dan izin apa yang mereka miliki. Admin juga dapat membandingkan kebijakan yang dinyatakan dengan apa yang sebenarnya digunakan dalam infrastruktur tertentu juga.”
Dia juga berencana untuk memecah dan membandingkan berbagai layanan IAM dari tiga penyedia cloud publik teratas — Amazon Web Services, Google Cloud Platform, dan Microsoft Azure — dan pendekatan keamanan mereka, yang semuanya sedikit berbeda. IAM multi-cloud adalah masalah tambahan bagi perusahaan yang menggunakan cloud berbeda dari penyedia yang berbeda, dan Gofman mencatat bahwa memahami perbedaan halus antara alat yang mereka tawarkan dapat membantu menopang pertahanan.
Organisasi juga dapat menggunakan berbagai alat sumber terbuka pihak ketiga untuk mendapatkan visibilitas yang lebih baik di seluruh infrastruktur, catatnya, menambahkan bahwa dia dan rekan presenternya Noam Dahan, pemimpin penelitian di Ermetic, berencana untuk mendemonstrasikan satu opsi.
“Cloud IAM sangat penting,” kata Gofman. “Kami akan berbicara tentang bahayanya, alat yang dapat digunakan, dan pentingnya memahami lebih baik izin apa yang digunakan dan izin apa yang tidak digunakan, dan bagaimana dan di mana admin dapat mengidentifikasi titik buta.”
