Nettkriminelle ser alltid etter blindsoner i tilgangsadministrasjonen, det være seg feilkonfigurasjoner, dårlig legitimasjonspraksis, uopprettede sikkerhetsfeil eller andre skjulte dører til bedriftsslottet. Nå, mens organisasjoner fortsetter sin moderniserende drift til skyen, utnytter dårlige aktører en ny mulighet: tilgangsfeil og feilkonfigurasjoner i hvordan organisasjoner bruker skyleverandører. identitets- og tilgangsadministrasjon (IAM) lag.
I et foredrag onsdag 10. august på Black Hat USA med tittelen "Jeg er den som banker", Igal Gofman, forskningsleder for Ermetic, vil gi et innblikk i denne nye risikogrensen. «Forsvarere må forstå at den nye omkretsen ikke er nettverkslaget slik det var før. Nå er det virkelig IAM – det er ledelseslaget som styrer alt, sier han til Dark Reading.
Kompleksitet, maskinidentiteter = usikkerhet
Den vanligste fallgruven som sikkerhetsteam går inn i når de implementerer sky-IAM, er ikke å gjenkjenne den rene kompleksiteten til miljøet, bemerker han. Det inkluderer å forstå den enorme mengden av tillatelser og tilgang som programvare-som-en-tjeneste-apper (SaaS) har opprettet.
"Motstandere fortsetter å legge hendene på tokens eller legitimasjon, enten via phishing eller en annen tilnærming," forklarer Gofman. "På et tidspunkt ga disse ikke mye til angriperen utover det som var på en lokal maskin. Men nå har disse sikkerhetstokenene mye mer tilgang, fordi alle de siste årene har flyttet til skyen og har mer tilgang til skyressurser.»
Kompleksitetsspørsmålet er spesielt pikant når det gjelder maskinenheter - som, i motsetning til mennesker, alltid fungerer. I skysammenheng brukes de til å få tilgang til sky-APIer ved hjelp av API-nøkler; aktivere serverløse applikasjoner; automatisere sikkerhetsroller (dvs. skytilgangstjenestemeglere eller CASBer); integrere SaaS-apper og -profiler med hverandre ved å bruke tjenestekontoer; og mer.
Gitt at den gjennomsnittlige bedriften nå bruker hundrevis av skybaserte apper og databaser, presenterer denne massen av maskinidentiteter et svært komplekst nett av sammenvevde tillatelser og tilgang som underbygger organisasjoners infrastruktur, som er vanskelig å få innsyn i og dermed vanskelig å administrere, sier Gofman. Det er derfor motstandere søker å utnytte disse identitetene mer og mer.
"Vi ser en økning i bruken av ikke-menneskelige identiteter, som har tilgang til forskjellige ressurser og forskjellige tjenester internt," bemerker han. «Dette er tjenester som snakker med andre tjenester. De har tillatelser, og vanligvis bredere tilgang enn mennesker. Skyleverandørene presser brukerne sine til å bruke disse, fordi de på grunnleggende nivå anser dem for å være sikrere. Men det er noen utnyttelsesteknikker som kan brukes til å kompromittere miljøer ved å bruke disse ikke-menneskelige identitetene."
Maskinenheter med administrasjonstillatelser er spesielt attraktive for motstandere å bruke, legger han til.
"Dette er en av hovedvektorene vi ser at nettkriminelle målretter seg mot, spesielt i Azure," forklarer han. "Hvis du ikke har en intim forståelse av hvordan du administrerer dem innenfor IAM, tilbyr du et sikkerhetshull."
Hvordan øke IAM-sikkerheten i skyen
Fra et defensivt ståsted planlegger Gofman å diskutere de mange alternativene organisasjoner har for å få armene rundt problemet med å implementere effektiv IAM i skyen. For det første bør organisasjoner benytte seg av skyleverandørers loggingsmuligheter for å bygge et helhetlig syn på hvem – og hva – som finnes i miljøet.
"Disse verktøyene brukes faktisk ikke mye, men de er gode alternativer for å bedre forstå hva som skjer i miljøet ditt," forklarer han. "Du kan bruke logging for å redusere angrepsoverflaten også, fordi du kan se nøyaktig hva brukerne bruker, og hvilke tillatelser de har. Administratorer kan også sammenligne uttalte retningslinjer med hva som faktisk brukes innenfor en gitt infrastruktur også.»
Han planlegger også å bryte ned og sammenligne de forskjellige IAM-tjenestene fra de tre beste offentlige skyleverandørene – Amazon Web Services, Google Cloud Platform og Microsoft Azure – og deres sikkerhetstilnærminger, som alle er litt forskjellige. Multi-cloud IAM er en ekstra rynke for selskaper som bruker forskjellige skyer fra forskjellige leverandører, og Gofman bemerker at det å forstå de subtile forskjellene mellom verktøyene de tilbyr kan gå en lang vei for å styrke forsvaret.
Organisasjoner kan også bruke en rekke tredjeparts, åpen kildekodeverktøy for å få bedre synlighet på tvers av infrastrukturen, bemerker han, og legger til at han og hans medpresentant Noam Dahan, forskningsleder ved Ermetic, planlegger å demonstrere ett alternativ.
"Cloud IAM er superviktig," sier Gofman. "Vi skal snakke om farene, verktøyene som kan brukes, og viktigheten av å forstå bedre hvilke tillatelser som brukes og hvilke tillatelser som ikke brukes, og hvordan og hvor administratorer kan identifisere blindsoner."
