ככל שארגונים מעבירים יותר ויותר את הנתונים ועומסי העבודה שלהם לענן, אבטחת זהויות הענן הפכה לבעלת חשיבות עליונה. זהויות הן המפתחות לגישה למשאבי ענן, ואם נפגעות, הן מאפשרות לתוקפים לקבל גישה לנתונים ולמערכות רגישות.
רוב ההתקפות שאנו רואים כיום הן התקפות בצד הלקוח, שבהן התוקפים מתפשרים על חשבון של מישהו ומשתמשים בהרשאות שלו כדי לנוע לרוחב ולגשת לנתונים ולמשאבים רגישים. כדי למנוע זאת, אתה צריך נראות לתוך תשתית הזהות של הענן שלך. אלא אם כן אתה יודע את זהותם של כל האנשים והאובייקטים שניגשים למערכות, ההרשאות שלהם ומערכות היחסים שלהם, לא יהיה לך ההקשר הדרוש כדי להעריך ביעילות את הסיכון שלך ולנקוט באמצעי מניעה.
מספר התקפות בפרופיל גבוה ממחישות בעיה זו. זהות ענן שנפרצה נתנה לתוקפים גישה תוכנת Orion של SolarWinds, שם הם פרסו קוד זדוני לאלפי לקוחותיהם, כולל סוכנויות ממשלתיות וחברות Fortune 500. דוגמה נוספת היא התקפה של Microsoft Exchange, שבו תוקפים ניצלו פגיעות ב-Exchange כדי לקבל גישה לחשבונות דואר אלקטרוני. משם, הם גנבו נתונים רגישים ושלחו מיילים דיוגים בניסיון לסכן חשבונות אחרים.
לצורך אבטחת הענן, אני מייעץ ליישם גישה המכונה סיכון יישומי, המאפשרת לעוסקים באבטחה לקבל החלטות לגבי פעולות מניעה על סמך נתונים הקשריים על הקשר בין זהויות ומה ההשפעות במורד הזרם של איומים בסביבות הספציפיות שלהם. להלן כמה טיפים מעשיים לאימוץ סיכונים יישומיים.
התייחסו להגנה בענן כאל פרויקט אבטחה, לא כאל תרגיל תאימות
בתור התחלה, שנה את הלך הרוח שלך. חלפו הימים הפשוטים של מחשוב שרת-לקוח. סביבת הענן היא מערכת מסובכת של נתונים, משתמשים, מערכות ואינטראקציות בין כולם.
סימון סדרה של תיבות לא יביא אבטחה רבה יותר אם לא תבין איך הכל עובד ביחד. רוב הצוותים נוקטים בגישה לא מודרכת לאבטחה מונעת, תוך אמונה עיוורת באסטרטגיית העדיפויות והתיקון שהוקמה לפני שנים. עם זאת, האבטחה דורשת גישה מותאמת אישית לכל צוות אבטחה בהתבסס על חשיפת הסיכון הרחבה יותר של הארגון. לא כל התראה "קריטית" מספק אבטחה היא בהכרח הסיכון הגדול ביותר לאותה סביבה ספציפית.
כדי לקבוע עדיפות מדויקת לתיקון ולהפחית את הסיכון, עליך לשקול את כל משטח ההתקפה. הבנת הקשרים בין חשיפות, נכסים ומשתמשים עוזרת לך לקבוע אילו בעיות מהוות את הסיכון הגדול ביותר. כאשר אתה לוקח בחשבון הקשר נוסף, ייתכן שהממצא ה"קריטי" אינו הבעיה הגדולה ביותר.
קבל נראות לתוך תשתית Cloud Identity שלך
לאחר מכן, הנראות היא המפתח. כדי לזהות באופן אמין את הסיכון החל, עליך לבצע ביקורת מקיפה של כל הזהויות ונקודות בקרת הגישה בתשתית הזהות בענן שלך. אתה צריך לדעת אילו משאבים יש לך בסביבה שלך, בין אם הם בענן או מקומיים, כיצד הם מסודרים ומוגדרים ומשתנים אחרים.
בעת אבטחת הענן, אינך יכול להסתכל רק על אופן התצורה של משאבים ספציפיים לענן - עליך לבצע ביקורת על היבט הזהות: מכונות וירטואליות (VMs), פונקציות ללא שרת, אשכולות Kubernetes ומכולות, למשל. למנהל אחד יכול להיות חשבון שקשור ל-AWS, חשבון Active Directory עם תפקיד אחר לכניסה למערכות המקומיות שלו, חשבון ב-GitHub, חשבון Salesforce וכו'. אתה גם צריך לשקול דברים כמו ההיגיינה של המכונות ש- מפתחים, DevOps וצוותי IT משתמשים. התקפת פישינג מוצלחת על מהנדס DevOps יכולה להיות בעלת השפעה עצומה על מצב האבטחה של סביבות הענן שלך.
משם, עליך למפות את היחסים בין זהויות והמערכות שאליהם הם ניגשים. זהו חלק חשוב בהבנת משטח ההתקפה שלך. פלטפורמות הגנת יישומים מקוריות בענן (CNAPPs) נועדו לעזור בזה. פלטפורמת CNAPP חזקה מעניקה לצוות האבטחה את היכולת לזהות התנהגות חריגה סביב זהות מסוימת ולזהות מתי תצורות מתחילות להיסחף.
יישר בין הצוותים השונים שלך
לאחר שתמופו את הזהויות ואת הקשרים, עליך לקשור אותם לפגיעויות ותצורות שגויות כדי לקבוע היכן אתה הכי פגיע ולהתחיל לכמת את הסיכון המוחל. אתה לא יכול ליצור אסטרטגיית תיקון יעילה בלי זה.
אבל נתונים ואסטרטגיה יקחו אותך רק עד כה. צוותים נוטים לפעול בממגורות, וכל אחד עוקב אחר פעולות תעדוף המבוססות על התוכנה הספציפית שבה הם משתמשים, ללא תקשורת עם צוותים אחרים או התאמה לחזון הוליסטי למזעור סיכונים. מכיוון שלא כל משטח התקפה זהה, עליך לבנות את הארגון כך שקבוצות מיומנויות שונות יוכלו לנקוט בפעולה מפחיתה בהתבסס על המשתנים הספציפיים לסביבתם.
כאשר צוותים מקושרים יותר, הסיכון הארגוני יורד. נניח שיש לך א פגיעות סקריפטים בין-אתרים באחד מיישומי האינטרנט שלך. האם לא הגיוני לתת עדיפות לכל בעיית אבטחה או תצורה הקשורה לתשתית המריץ את היישום הזה? גם ההיפך נכון. האם זה לא הגיוני יותר לטפל בפגיעות שפועלת בייצור או יושבת באינטרנט לעומת פגיעות הפועלת בסביבת מפתחים ללא סיכוי לניצול?
חלק גדול מהסיבה צוותי אבטחה עובדים בממגורות אלה זה בגלל שנוף הספקים די אילץ אותם לעבוד בצורה הזו. עד לאחרונה, לא הייתה דרך לעשות את הדברים שאני מציע כאן - לפחות לא עבור אף אחד מלבד 1% מהארגונים שיש להם תקציבי אבטחה עצומים ובנו כלים וצוותים פנימיים.
לסיכום, הגנה על זהויות - בענן ואחרות - דורשת אימוץ של שינוי חשיבה מתאימות לגישת אבטחה הוליסטית, סיכון יישומי, הכוללת השגת נראות לתוך תשתית הענן שלך עם CNAPP ויישור צוותים שונים על תעדוף תיקון.
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://www.darkreading.com/edge/securing-cloud-identities-to-protect-assets-and-minimize-risk
- :יש ל
- :הוא
- :לֹא
- :איפה
- $ למעלה
- 500
- a
- יכולת
- אודות
- גישה
- גישה
- חֶשְׁבּוֹן
- חשבונות
- במדויק
- פעולה
- פעולות
- פעיל
- נוסף
- כתובת
- מנהל
- אימוץ
- לייעץ
- סוכנויות
- לִפנֵי
- ערני
- יישור
- יישור
- תעשיות
- מאפשר
- גם
- an
- ו
- אחר
- כל
- כל אחד
- בקשה
- יישומים
- יישומית
- גישה
- ARE
- סביב
- AS
- אספקט
- לְהַעֲרִיך
- נכסים
- המשויך
- At
- לתקוף
- המתקפות
- ניסיון
- בדיקה
- AWS
- מבוסס
- BE
- כי
- להיות
- היה
- התנהגות
- בהתאמה אישית
- בֵּין
- הגדול ביותר
- תיבות
- להביא
- רחב
- תקציבים
- נבנה
- אבל
- CAN
- סיכוי
- מקרוב
- ענן
- תשתית ענן
- קוד
- תקשורת
- חברות
- הענות
- מסובך
- מַקִיף
- פשרה
- התפשר
- מחשוב
- תְצוּרָה
- מוגדר
- לשקול
- מכולות
- הקשר
- קשר
- לִשְׁלוֹט
- יחד
- לִיצוֹר
- קריטי
- לקוחות
- נתונים
- ימים
- החלטות
- פרס
- מעוצב
- לאתר
- לקבוע
- dev
- מפתחים
- אחר
- do
- עושה
- דון
- טיפות
- כל אחד
- אפקטיבי
- יעילות
- אמייל
- מיילים
- לאפשר
- מהנדס
- שלם
- סביבה
- סביבות
- וכו '
- כל
- הכל
- דוגמה
- חליפין
- ניצול
- ומנוצל
- חשיפה
- אֱמוּנָה
- רחוק
- מציאת
- כדלקמן
- בעד
- הון עתק
- החל מ-
- פונקציות
- לְהַשִׂיג
- זכייה
- נתן
- GitHub
- נותן
- נעלם
- ממשלה
- משרדי ממשלה
- יותר
- אבטחה רבה יותר
- הגדול ביותר
- יש
- יש
- לעזור
- כאן
- פרופיל גבוה
- הוליסטית
- איך
- HTTPS
- i
- לזהות
- זהויות
- זהות
- if
- להמחיש
- פְּגִיעָה
- השפעות
- יישום
- חשוב
- in
- כולל
- יותר ויותר
- תשתית
- למשל
- יחסי גומלין
- אינטרנט
- אל תוך
- סוגיה
- בעיות
- IT
- jpg
- מפתח
- מפתחות
- סוג
- לדעת
- ידוע
- נוף
- גָדוֹל
- הכי פחות
- לתת
- כמו
- מקומי
- היכנס
- נראה
- מכונה
- לעשות
- מַפָּה
- מסיבי
- מאי..
- אמצעים
- הלך רוח
- מזעור
- יותר
- רוב
- המהלך
- צריך
- בהכרח
- הכרחי
- צורך
- לא
- מספר
- אובייקטים
- of
- on
- ONE
- רק
- להפעיל
- or
- ארגון
- אִרְגוּנִי
- ארגונים
- אחר
- אַחֶרֶת
- הַחוּצָה
- הגדול ביותר
- חלק
- מסוים
- אֲנָשִׁים
- הרשאות
- דיוג
- התקפת דיוג
- מקום
- פלטפורמה
- פלטפורמות
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- נקודות
- פוזה
- מעשי
- למנוע
- סדר עדיפויות
- תיעדוף
- סדר עדיפויות
- הרשאות
- בעיה
- הפקה
- פּרוֹיֶקט
- מציע
- להגן
- אבטחה
- .
- גם
- מכניס
- RE
- טעם
- לאחרונה
- להפחית
- קשר
- מערכות יחסים
- דורש
- משאבים
- הסיכון
- תפקיד
- ריצה
- s
- כוח מכירות
- אותו
- לומר
- אַבטָחָה
- אבטחה
- לִרְאוֹת
- תחושה
- רגיש
- נשלח
- סדרה
- ללא שרת
- סטים
- משמרת
- צריך
- ממגורות
- פָּשׁוּט
- ישיבה
- מְיוּמָנוּת
- So
- עד כה
- תוכנה
- כמה
- מישהו
- ספציפי
- התחלה
- צָעִיף
- אִסטרָטֶגִיָה
- חזק
- מִבְנֶה
- מוצלח
- משטח
- מערכת
- מערכות
- מותאם
- לקחת
- נבחרת
- צוותי
- זֶה
- השמיים
- שֶׁלָהֶם
- אותם
- שם.
- אלה
- הֵם
- דברים
- זֶה
- אלפים
- איומים
- עניבה
- קָשׁוּר
- טיפים
- ל
- היום
- יַחַד
- כלים
- נָכוֹן
- להבין
- הבנה
- עד
- להשתמש
- משתמשים
- באמצעות
- Vast
- מוכר
- נגד
- וירטואלי
- ראות
- חזון
- פגיעויות
- פגיעות
- פגיע
- דֶרֶך..
- we
- אינטרנט
- יישומי אינטרנט
- מה
- מתי
- אם
- אשר
- יצטרך
- עם
- לְלֹא
- נצחנות
- תיק עבודות
- עובד
- לא
- שנים
- עוד
- אתה
- זפירנט