Cybercriminelen zoeken altijd naar blinde vlekken in toegangsbeheer, of het nu gaat om verkeerde configuraties, slechte legitimatiepraktijken, niet-gepatchte beveiligingsbugs of andere verborgen deuren naar het bedrijfskasteel. Nu organisaties hun moderniseringsdrift naar de cloud voortzetten, profiteren kwaadwillenden van een nieuwe kans: toegangsfouten en verkeerde configuraties in de manier waarop organisaties cloudproviders gebruiken. identiteits- en toegangsbeheer (IAM) lagen.
In een lezing op woensdag 10 augustus bij Black Hat USA getiteld “Ik ben degene die klopt”, zal Igal Gofman, hoofd onderzoek bij Ermetic, een kijkje geven in deze opkomende risicogrens. "Verdedigers moeten begrijpen dat de nieuwe perimeter niet de netwerklaag is zoals voorheen. Nu is het echt IAM — het is de managementlaag die alles regeert”, vertelt hij aan Dark Reading.
Complexiteit, machine-identiteiten = onzekerheid
De meest voorkomende valkuil waar beveiligingsteams in trappen bij het implementeren van cloud IAM is het niet herkennen van de enorme complexiteit van de omgeving, merkt hij op. Dat omvat ook inzicht in de enorme hoeveelheid machtigingen en toegang die SaaS-apps (software-as-a-service) hebben gecreëerd.
"Tegenstanders blijven tokens of inloggegevens in handen krijgen, hetzij via phishing of een andere benadering", legt Gofman uit. “Vroeger gaven die de aanvaller niet veel meer dan wat er op een lokale machine stond. Maar nu hebben die beveiligingstokens veel meer toegang, omdat iedereen de afgelopen jaren naar de cloud is verhuisd en meer toegang heeft tot cloudbronnen.”
De complexiteitskwestie is bijzonder pikant als het gaat om: machine entiteiten - die, in tegenstelling tot mensen, altijd werken. In de cloudcontext worden ze gebruikt om toegang te krijgen tot cloud-API's met behulp van API-sleutels; serverloze applicaties inschakelen; automatiseren van beveiligingsrollen (dwz cloud access service brokers of CASB's); integreer SaaS-apps en profielen met elkaar met behulp van serviceaccounts; en meer.
Aangezien het gemiddelde bedrijf nu honderden cloudgebaseerde apps en databases gebruikt, vormt deze massa machine-identiteiten een zeer complex web van met elkaar verweven rechten en toegangen die de infrastructuur van organisaties ondersteunen, dat moeilijk zichtbaar is en dus moeilijk te beheren is, zegt Goofman. Daarom proberen tegenstanders deze identiteiten steeds meer uit te buiten.
"We zien een toename in het gebruik van niet-menselijke identiteiten, die intern toegang hebben tot verschillende bronnen en verschillende diensten", merkt hij op. “Dit zijn diensten die spreken met andere diensten. Ze hebben machtigingen en hebben meestal een bredere toegang dan mensen. De cloudproviders pushen hun gebruikers om die te gebruiken, omdat ze ze op het basisniveau als veiliger beschouwen. Maar er zijn enkele exploitatietechnieken die kunnen worden gebruikt om omgevingen te compromitteren met behulp van die niet-menselijke identiteiten.”
Machine-entiteiten met beheerrechten zijn bijzonder aantrekkelijk voor kwaadwillenden, voegt hij eraan toe.
"Dit is een van de belangrijkste vectoren waarop cybercriminelen zich richten, vooral in Azure", legt hij uit. "Als je geen goed begrip hebt van hoe je ze binnen de IAM moet beheren, bied je een beveiligingsgat aan."
Hoe u IAM-beveiliging in de cloud kunt verbeteren
Vanuit defensief oogpunt is Gofman van plan om de vele opties te bespreken die organisaties hebben om het probleem van het implementeren van effectieve IAM in de cloud te omzeilen. Ten eerste zouden organisaties gebruik moeten maken van de logging-mogelijkheden van cloudproviders om een uitgebreid beeld te krijgen van wie - en wat - in de omgeving bestaat.
"Deze tools worden niet echt veel gebruikt, maar het zijn goede opties om beter te begrijpen wat er in uw omgeving gebeurt", legt hij uit. “Je kunt logging ook gebruiken om het aanvalsoppervlak te verkleinen, omdat je precies kunt zien wat gebruikers gebruiken en welke rechten ze hebben. Beheerders kunnen ook het vermelde beleid vergelijken met wat er daadwerkelijk wordt gebruikt binnen een bepaalde infrastructuur.”
Hij is ook van plan om de verschillende IAM-services van de top drie van openbare cloudproviders - Amazon Web Services, Google Cloud Platform en Microsoft Azure - en hun beveiligingsbenaderingen, die allemaal iets anders zijn, op te splitsen en te vergelijken. Multi-cloud IAM is een extra rimpel voor bedrijven die verschillende clouds van verschillende providers gebruiken, en Gofman merkt op dat het begrijpen van de subtiele verschillen tussen de tools die ze aanbieden een grote bijdrage kan leveren aan het versterken van de verdediging.
Organisaties kunnen ook een verscheidenheid aan open source-tools van derden gebruiken om een betere zichtbaarheid van de infrastructuur te krijgen, merkt hij op, eraan toevoegend dat hij en zijn co-presentator Noam Dahan, onderzoeksleider bij Ermetic, van plan zijn om één optie te demonstreren.
"Cloud IAM is superbelangrijk", zegt Gofman. "We gaan het hebben over de gevaren, de tools die kunnen worden gebruikt en het belang om beter te begrijpen welke machtigingen worden gebruikt en welke niet worden gebruikt, en hoe en waar beheerders blinde vlekken kunnen identificeren."
