組織のデータやワークロードのクラウドへの移行が進むにつれ、クラウド ID の保護が最重要事項になっています。 ID はクラウド リソースにアクセスするための鍵であり、これが侵害されると、攻撃者が機密データやシステムにアクセスできるようになります。
現在確認されているほとんどの攻撃はクライアント側の攻撃であり、攻撃者は誰かのアカウントを侵害し、その権限を利用して横方向に移動し、機密データやリソースにアクセスします。 これを防ぐには、クラウドの ID インフラストラクチャを可視化する必要があります。 システムにアクセスしているすべての人やオブジェクトの身元、権限、関係を把握していなければ、リスクを効果的に評価して予防策を講じるために必要なコンテキストを得ることができません。
多くの注目を集めている攻撃がこの問題を例証しています。 侵害されたクラウド ID により、攻撃者は次の情報にアクセスできるようになりました。 SolarWinds の Orion ソフトウェアでは、政府機関やフォーチュン 500 企業を含む数千の顧客に悪意のあるコードを展開しました。 別の例としては、 Microsoft Exchange 攻撃では、攻撃者が Exchange の脆弱性を悪用して電子メール アカウントにアクセスしました。 そこから、彼らは機密データを盗み、他のアカウントを侵害するためにフィッシングメールを送信しました。
クラウドを保護するには、適用リスクとして知られるアプローチを実装することをお勧めします。これにより、セキュリティ担当者は、アイデンティティ間の関係と、特定の環境における脅威の下流への影響に関するコンテキスト データに基づいて、予防措置に関する意思決定を行うことができます。 適用されたリスクを採用するための実践的なヒントをいくつか紹介します。
クラウド保護をコンプライアンス演習ではなくセキュリティ プロジェクトとして扱う
まずは考え方を変えてみましょう。 クライアント/サーバー コンピューティングの単純な時代は終わりました。 クラウド環境は、データ、ユーザー、システム、およびそれらすべての間の相互作用からなる複雑なシステムです。
すべてがどのように連携するかを理解していなければ、一連のボックスにチェックを入れても、セキュリティを強化することはできません。 ほとんどのチームは予防セキュリティに対して無計画なアプローチを採用しており、何年も前に策定された優先順位付けと修復戦略を盲目的に信じています。 しかし、セキュリティには、組織の広範なリスクに基づいて、各セキュリティ チームに合わせたオーダーメイドのアプローチが必要です。 セキュリティ ベンダーからのすべての「重大」アラートが、必ずしもその特定の環境に対する最大のリスクになるわけではありません。
修復に正確な優先順位を付けてリスクを軽減するには、攻撃対象領域全体を考慮する必要があります。 エクスポージャー、資産、ユーザー間の関係を理解すると、どの問題が最大のリスクを引き起こすかを判断するのに役立ちます。 追加のコンテキストを考慮すると、「重大な」発見が最大の問題ではない可能性があります。
クラウド ID インフラストラクチャを可視化する
次に重要なのは可視性です。 適用されたリスクを確実に特定するには、クラウド ID インフラストラクチャ内のすべての ID とアクセス コントロール ポイントの包括的な監査を実行する必要があります。 環境内にどのようなリソースがあるか、リソースがクラウドかオンプレミスか、リソースがどのようにプロビジョニングおよび構成されているか、その他の変数を把握する必要があります。
クラウドを保護する場合、クラウド固有のリソースがどのように構成されているかだけを確認することはできません。たとえば、仮想マシン (VM)、サーバーレス機能、Kubernetes クラスター、コンテナーなどの ID の側面を監査する必要があります。 XNUMX 人の管理者は、AWS に関連付けられたアカウント、ローカル システムにログインするための別のロールを持つ Active Directory アカウント、GitHub 上のアカウント、Salesforce アカウントなどを持っている可能性があります。また、管理者が使用するマシンの衛生状態などについても考慮する必要があります。開発者、DevOps、IT チームが使用しています。 DevOps エンジニアに対するフィッシング攻撃が成功すると、クラウド環境のセキュリティ体制に大きな影響を与える可能性があります。
そこから、アイデンティティとそれらがアクセスするシステムの間の関係をマッピングする必要があります。 これは、攻撃対象領域を理解する上で重要な部分です。 クラウドネイティブ アプリケーション保護プラットフォーム (CNAPP) はこれを支援するように設計されています。 強力な CNAPP プラットフォームを使用すると、セキュリティ チームは特定の ID に関する異常な動作を検出し、構成がドリフトし始めたときを検出できるようになります。
さまざまなチームを連携させる
ID と関係をマッピングしたら、それらを脆弱性や構成ミスと関連付けて、最も脆弱な場所を特定し、適用されるリスクの定量化を開始する必要があります。 それなしには効果的な修復戦略を立てることはできません。
しかし、データと戦略だけでは限界があります。 チームはサイロで運営される傾向があり、各チームは、他のチームとのコミュニケーションや、リスクを最小限に抑えるための全体的なビジョンに基づく調整を行わずに、使用している特定のソフトウェアに基づいて優先順位付けのアクションに従います。 すべての攻撃対象領域が同じではないため、さまざまなスキルセットが環境固有の変数に基づいて緩和策を講じられるように組織を構築する必要があります。
チームがより緊密に連携すると、組織のリスクは低下します。 あなたが持っているとしましょう クロスサイトスクリプティングの脆弱性 Web アプリケーションの XNUMX つで。 そのアプリケーションを実行するインフラストラクチャに関連するセキュリティまたは構成の問題を優先するのは合理的ではないでしょうか? 逆もまた真です。 悪用される可能性のない開発環境で実行される脆弱性よりも、運用環境で実行されている脆弱性、またはインターネット上に存在する脆弱性に対処する方が合理的ではないでしょうか?
理由の大部分は セキュリティ チームはこれらのサイロで作業します それは、ベンダーの状況がベンダーにこのような作業を強制しているためです。 最近まで、私がここで提案していることを実行する方法はありませんでした。少なくとも、莫大なセキュリティ予算を持ち、社内ツールやチームを構築している 1% の組織以外には存在しませんでした。
要約すると、クラウドであろうとそれ以外であろうと、アイデンティティを保護するには、コンプライアンスから全体的なセキュリティへの考え方の転換を採用する必要があり、CNAPP でクラウド インフラストラクチャを可視化し、修復の優先順位付けに関してさまざまなチームの調整を行うことが含まれます。
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/edge/securing-cloud-identities-to-protect-assets-and-minimize-risk
- :持っている
- :は
- :not
- :どこ
- $UP
- 500
- a
- 能力
- 私たちについて
- アクセス
- アクセス
- アカウント
- 正確にデジタル化
- Action
- 行動
- アクティブ
- NEW
- 住所
- 管理人
- 採用
- アドバイス
- 機関
- 前
- 警告
- 整列
- アラインメント
- すべて
- ことができます
- また
- an
- および
- 別の
- どれか
- 誰も
- 申し込み
- 適用された
- アプローチ
- です
- 周りに
- AS
- 側面
- 評価する
- 資産
- 関連する
- At
- 攻撃
- 攻撃
- 試み
- 監査
- AWS
- ベース
- BE
- なぜなら
- になる
- き
- 行動
- 別注
- の間に
- 最大の
- ボックス
- 持って来る
- より広い
- 予算
- 内蔵
- 焙煎が極度に未発達や過発達のコーヒーにて、クロロゲン酸の味わいへの影響は強くなり、金属を思わせる味わいと乾いたマウスフィールを感じさせます。
- 缶
- チャンス
- 密接に
- クラウド
- クラウドインフラ
- コード
- コミュニケーション
- 企業
- コンプライアンス
- 複雑な
- 包括的な
- 妥協
- 損害を受けた
- コンピューティング
- 設定された
- 検討
- コンテナ
- コンテキスト
- 文脈上の
- コントロール
- 結合しました
- 作ります
- 重大な
- Customers
- データ
- 日
- 決定
- 展開
- 設計
- 検出
- 決定する
- デベロッパー
- 開発者
- 異なります
- do
- ありません
- ドン
- ドロップス
- 各
- 効果的な
- 効果的に
- メール
- enable
- エンジニア
- 全体
- 環境
- 環境
- 等
- あらゆる
- すべてのもの
- 例
- 交換
- 搾取
- 搾取
- 暴露
- 信仰
- 遠く
- 発見
- 次
- フォーチュン
- から
- 機能
- 利得
- 獲得
- 与えた
- GitHubの
- 与える
- 行って
- 政府・公共機関
- 政府機関
- 大きい
- より大きなセキュリティ
- 最大
- 持ってる
- 持って
- 助けます
- こちら
- 人目を引く
- 包括的な
- 認定条件
- HTTPS
- i
- 識別する
- アイデンティティ
- アイデンティティ
- if
- 説明します
- 影響
- 影響
- 実装
- 重要
- in
- 含めて
- ますます
- インフラ関連事業
- 相互作用
- インターネット
- に
- 問題
- 問題
- IT
- JPG
- キー
- キー
- 種類
- 知っている
- 既知の
- 風景
- 大
- 最低
- う
- ような
- ローカル
- ログ
- 見て
- マシン
- make
- 地図
- 大規模な
- 五月..
- 措置
- 考え方
- 最小化
- 他には?
- 最も
- しなければなりません
- 必ずしも
- 必要
- 必要
- いいえ
- 数
- オブジェクト
- of
- on
- ONE
- の
- 操作する
- or
- 組織
- 組織の
- 組織
- その他
- さもないと
- でる
- 最高の
- 部
- 特定の
- のワークプ
- パーミッション
- フィッシング詐欺
- フィッシング攻撃
- 場所
- プラットフォーム
- プラットフォーム
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- ポイント
- ポーズ
- 実用的
- 防ぐ
- 優先順位付け
- 優先順位をつける
- 優先順位付け
- 特権
- 問題
- 生産
- プロジェクト
- 提案
- 守る
- 保護
- 保護
- 置きます
- パッティング
- RE
- 理由
- 最近
- 減らします
- 関係
- の関係
- 必要
- リソース
- リスク
- 職種
- ランニング
- s
- salesforce
- 同じ
- 言う
- 確保する
- セキュリティ
- センス
- 敏感な
- 送信
- シリーズ
- サーバレス
- セット
- シフト
- すべき
- サイロ
- 簡単な拡張で
- 座っている
- 技能
- So
- これまでのところ
- ソフトウェア
- 一部
- 誰か
- 特定の
- start
- ストール
- 戦略
- 強い
- 構造
- 成功した
- 表面
- システム
- テーラード
- 取る
- チーム
- チーム
- それ
- アプリ環境に合わせて
- それら
- そこ。
- ボーマン
- 彼ら
- 物事
- この
- 数千
- 脅威
- TIE
- タイド
- ヒント
- 〜へ
- 今日
- 一緒に
- 豊富なツール群
- true
- わかる
- 理解する
- まで
- つかいます
- users
- 広大な
- ベンダー
- 対
- バーチャル
- 視認性
- ビジョン
- 脆弱性
- 脆弱性
- 脆弱な
- 仕方..
- we
- ウェブ
- Webアプリケーション
- この試験は
- いつ
- かどうか
- which
- 意志
- 無し
- 勝った
- 仕事
- 作品
- とんでもない
- 年
- まだ
- You
- あなたの
- ゼファーネット