פושעי סייבר תמיד מחפשים נקודות עיוורות בניהול גישה, בין אם מדובר בתצורה שגויה, נוהלי אישורים לקויים, באגי אבטחה לא מתוקנים או דלתות נסתרות אחרות לטירה הארגונית. כעת, כאשר ארגונים ממשיכים לסחוף את המודרניזציה שלהם לענן, שחקנים רעים מנצלים הזדמנות מתהווה: פגמי גישה ותצורות שגויות באופן שבו ארגונים משתמשים בספקי ענן. ניהול זהויות וגישה (IAM) שכבות.
בהרצאה ביום רביעי, 10 באוגוסט ב-Black Hat USA בשם "אני זה שדופק", יגאל גופמן, ראש מחלקת המחקר של ארמטי, תציע מבט על גבול הסיכון המתהווה הזה. "המגנים צריכים להבין שההיקף החדש אינו שכבת הרשת כפי שהיה קודם. עכשיו זה באמת IAM - שכבת הניהול היא ששולטת בכל", הוא אומר ל-Dark Reading.
מורכבות, זהויות מכונה = חוסר ביטחון
המהמורת הנפוצה ביותר אליה צוותי אבטחה נכנסים בעת יישום ענן IAM היא לא להכיר במורכבות העצומה של הסביבה, הוא מציין. זה כולל הבנה של כמות ההרשאות והגישה שאפליקציות תוכנה כשירות (SaaS) יצרו.
"היריבים ממשיכים לשים את ידיהם על אסימונים או אישורים, או באמצעות דיוג או דרך אחרת", מסביר גופמן. "בזמן מסוים, אלה לא נתנו הרבה לתוקף מעבר למה שהיה במכונה מקומית. אבל עכשיו, לאסימוני האבטחה האלה יש הרבה יותר גישה, כי כולם בשנים האחרונות עברו לענן, ויש להם יותר גישה למשאבי ענן."
נושא המורכבות הוא פיקנטי במיוחד כשמדובר ישויות מכונה - שבניגוד לבני אדם, תמיד עובדים. בהקשר הענן, הם משמשים לגישה לממשקי API של ענן באמצעות מפתחות API; אפשר יישומים ללא שרת; אוטומציה של תפקידי אבטחה (כלומר, מתווכים של שירותי גישה לענן או CASBs); שלב אפליקציות ופרופילים של SaaS זה עם זה באמצעות חשבונות שירות; ועוד.
בהתחשב בכך שהחברה הממוצעת משתמשת כעת במאות אפליקציות ומסדי נתונים מבוססי ענן, מסה זו של זהויות מכונה מציגה רשת מורכבת ביותר של הרשאות וגישה שזורות זו בבסיס התשתיות של ארגונים, שקשה להשיג את החשיפה אליה ולכן קשה לנהל, אומר גופמן. זו הסיבה שהיריבים מבקשים לנצל את הזהויות הללו יותר ויותר.
"אנו רואים עלייה בשימוש בזהויות לא אנושיות, שיש להן גישה למשאבים שונים ולשירותים שונים באופן פנימי", הוא מציין. "אלה שירותים שמדברים עם שירותים אחרים. יש להם הרשאות, ובדרך כלל גישה רחבה יותר מבני אדם. ספקי הענן דוחפים את המשתמשים שלהם להשתמש באלה, מכיוון שברמה הבסיסית הם רואים בהם בטוחים יותר. אבל, יש כמה טכניקות ניצול שניתן להשתמש בהן כדי להתפשר על סביבות תוך שימוש באותן זהויות לא אנושיות."
ישויות מכונה עם הרשאות ניהול אטרקטיביות במיוחד עבור יריבים לשימוש, הוא מוסיף.
"זהו אחד הווקטורים העיקריים שאנו רואים פושעי סייבר מכוונים, במיוחד ב-Azure", הוא מסביר. "אם אין לך הבנה אינטימית כיצד לנהל אותם בתוך IAM, אתה מציע חור אבטחה."
כיצד להגביר את אבטחת IAM בענן
מנקודת מבט הגנתית, גופמן מתכנן לדון באפשרויות הרבות שיש לארגונים לעקוף את הבעיה של יישום IAM יעיל בענן. ראשית, ארגונים צריכים לעשות שימוש ביכולות הרישום של ספקי ענן כדי לבנות תצוגה מקיפה של מי - ומה - קיים בסביבה.
"כלים אלה למעשה אינם נמצאים בשימוש נרחב, אבל הם אפשרויות טובות להבין טוב יותר מה קורה בסביבה שלך", הוא מסביר. "אתה יכול להשתמש ברישום גם כדי לצמצם את משטח ההתקפה, כי אתה יכול לראות בדיוק במה משתמשים משתמשים ובאילו הרשאות יש להם. מנהלי מערכת יכולים גם להשוות מדיניות מוצהרת למה שנמצא בפועל בשימוש בתשתית נתונה".
הוא גם מתכנן לפרק ולהשוות בין שירותי IAM השונים משלושת ספקי הענן הציבוריים המובילים - Amazon Web Services, Google Cloud Platform ו-Microsoft Azure - וגישות האבטחה שלהם, כולן שונות במקצת. Multi-Cloud IAM הוא קמט נוסף עבור תאגידים המשתמשים בעננים שונים מספקים שונים, וגופמן מציין כי הבנת ההבדלים העדינים בין הכלים שהם מציעים יכולה לסייע רבות לחיזוק הגנות.
ארגונים יכולים גם להשתמש במגוון כלי קוד פתוח של צד שלישי כדי להשיג נראות טובה יותר על פני התשתית, הוא מציין, ומוסיף כי הוא ושותפו למגיש נועם דהן, מוביל מחקר בחברת Ermetic, מתכננים להדגים אפשרות אחת.
"Cloud IAM הוא סופר חשוב", אומר גופמן. "אנחנו הולכים לדבר על הסכנות, הכלים שניתן להשתמש בהם, והחשיבות של להבין טוב יותר באילו הרשאות משתמשים ובאיזה הרשאות לא משתמשים, וכיצד והיכן מנהלים יכולים לזהות נקודות עיוורות."
