サイバー犯罪者は、構成の誤り、不適切な認証方法、パッチが適用されていないセキュリティ バグ、企業の城へのその他の隠し扉など、アクセス管理の盲点を常に探しています。 現在、組織がクラウドへの近代化の流れを続けているため、悪意のある人物が新たな機会を利用しています。それは、組織がクラウド プロバイダーを使用する方法におけるアクセスの欠陥と構成ミスです。 IDおよびアクセス管理(IAM) 層。
10 月 XNUMX 日水曜日に Black Hat USA で開催された「IAM ザ・ワン・フー・ノックスErmetic の研究責任者である Igal Gofman は、この新たなリスクの最前線について見解を述べます。 「防御側は、新しい境界が以前のようなネットワーク層ではないことを理解する必要があります。 今ではそれは本当に IAM であり、すべてを管理する管理レイヤーです」と彼は Dark Reading に語っています。
複雑さ、マシンのアイデンティティ = 不安
クラウド IAM を実装する際にセキュリティ チームが踏み込む最も一般的な落とし穴は、環境の複雑さを認識していないことだと彼は指摘します。 これには、Software-as-a-Service (SaaS) アプリが作成した許可とアクセスの膨大な量を理解することが含まれます。
「攻撃者は、フィッシングやその他の方法でトークンや認証情報を手に入れ続けています」と Gofman 氏は説明します。 「かつて、それらはローカル マシン上にあったもの以上に攻撃者に与えるものはありませんでした。 しかし、ここ数年で誰もがクラウドに移行し、クラウド リソースへのアクセスが増えたため、これらのセキュリティ トークンはより多くのアクセス権を持っています。」
複雑さの問題は、特に厄介です。 マシン エンティティ — 人間とは異なり、常に働いています。 クラウド コンテキストでは、API キーを使用してクラウド API にアクセスするために使用されます。 サーバーレス アプリケーションを有効にします。 セキュリティ ロールを自動化する (つまり、クラウド アクセス サービス ブローカーまたは CASB)。 サービス アカウントを使用して SaaS アプリとプロファイルを相互に統合する。 もっと。
現在、平均的な企業が何百ものクラウドベースのアプリとデータベースを使用していることを考えると、この大量のマシン ID は、組織のインフラストラクチャを支える非常に複雑なアクセス許可とアクセスの複雑なウェブを提示します。これは、可視化が難しく、管理が困難です。ゴフマンは言う。 そのため、攻撃者はこれらの ID をますます悪用しようとしています。
「内部でさまざまなリソースやさまざまなサービスにアクセスできる、人間以外の ID の使用が増加しています」と彼は指摘します。 「これらは他のサービスと対話するサービスです。 彼らは権限を持ち、通常は人間よりも幅広いアクセス権を持っています。 クラウド プロバイダーは、基本的なレベルでより安全であると考えているため、ユーザーにそれらを使用するように促しています。 しかし、これらの人間以外の ID を使用して環境を侵害するために使用できる悪用技術がいくつかあります。」
管理権限を持つマシン エンティティは、攻撃者にとって特に魅力的である、と彼は付け加えます。
「これは、特に Azure でサイバー犯罪者が標的にしている主要なベクトルの XNUMX つです」と彼は説明します。 「IAM 内でそれらを管理する方法を十分に理解していなければ、セキュリティ ホールを提供していることになります。」
クラウドで IAM セキュリティを強化する方法
防御的な観点から、Gofman は、クラウドに効果的な IAM を実装するという問題を回避するために、組織が持つ多くのオプションについて議論する予定です。 XNUMX つには、組織はクラウド プロバイダーのログ機能を利用して、環境内に誰が、何が存在するかを包括的に把握する必要があります。
「これらのツールは実際には広く使用されているわけではありませんが、環境で何が起こっているかをよりよく理解するための優れたオプションです」と彼は説明します。 「ユーザーが何を使用しているか、どのような権限を持っているかを正確に確認できるため、ロギングを使用して攻撃面を減らすこともできます。 管理者は、規定されたポリシーと特定のインフラストラクチャ内で実際に使用されているものを比較することもできます。」
彼はまた、上位 XNUMX つのパブリック クラウド プロバイダー (Amazon Web Services、Google Cloud Platform、および Microsoft Azure) のさまざまな IAM サービスと、それらのセキュリティ アプローチを分類して比較する予定です。これらはすべてわずかに異なります。 マルチクラウド IAM は、さまざまなプロバイダーのさまざまなクラウドを使用している企業にとって追加の問題であり、Gofman は、提供するツール間の微妙な違いを理解することは、防御を強化するのに大いに役立つと述べています.
組織は、さまざまなサードパーティ製のオープン ソース ツールを使用して、インフラストラクチャ全体の可視性を高めることもできます、と彼は指摘し、彼と彼の共同プレゼンターである Ermetic の研究リーダーである Noam Dahan は、XNUMX つのオプションをデモする予定であると付け加えました。
「Cloud IAM は非常に重要です」と Gofman 氏は言います。 「危険性、使用できるツール、使用されているパーミッションと使用されていないパーミッションをよりよく理解することの重要性、および管理者が盲点を特定する方法と場所について話します。」
