W miarę jak organizacje coraz częściej przenoszą swoje dane i obciążenia do chmury, zabezpieczenie tożsamości w chmurze stało się sprawą najwyższej wagi. Tożsamości są kluczem do dostępu do zasobów chmury, a w przypadku ich naruszenia umożliwiają atakującym uzyskanie dostępu do wrażliwych danych i systemów.
Większość obserwowanych obecnie ataków to ataki po stronie klienta, podczas których napastnicy naruszają czyjeś konto i wykorzystują jego uprawnienia do bocznego przemieszczania się oraz uzyskiwania dostępu do wrażliwych danych i zasobów. Aby temu zapobiec, potrzebujesz wglądu w infrastrukturę tożsamości swojej chmury. Jeśli nie znasz tożsamości wszystkich osób i obiektów uzyskujących dostęp do systemów, ich uprawnień i relacji, nie będziesz mieć kontekstu niezbędnego do skutecznej oceny ryzyka i podjęcia środków zapobiegawczych.
Problem ten ilustruje szereg głośnych ataków. Naruszona tożsamość w chmurze umożliwiła atakującym dostęp do Oprogramowanie Orion firmy SolarWinds, gdzie wdrożyli szkodliwy kod u tysięcy swoich klientów, w tym agencji rządowych i firm z listy Fortune 500. Innym przykładem jest Atak na Microsoft Exchange, w którym napastnicy wykorzystali lukę w programie Exchange w celu uzyskania dostępu do kont e-mail. Stamtąd kradli wrażliwe dane i wysyłali e-maile phishingowe, próbując włamać się na inne konta.
Do zabezpieczania chmury radzę wdrożyć podejście zwane ryzykiem stosowanym, które pozwala specjalistom ds. bezpieczeństwa podejmować decyzje dotyczące działań zapobiegawczych w oparciu o dane kontekstowe dotyczące relacji między tożsamościami oraz dalszych skutków zagrożeń w ich konkretnych środowiskach. Oto kilka praktycznych wskazówek dotyczących stosowania ryzyka stosowanego.
Traktuj ochronę w chmurze jako projekt dotyczący bezpieczeństwa, a nie ćwiczenie zgodności
Na początek zmień sposób myślenia. Dawno minęły proste dni przetwarzania typu klient-serwer. Środowisko chmurowe to skomplikowany system danych, użytkowników, systemów i interakcji pomiędzy nimi wszystkimi.
Zaznaczenie szeregu pól nie zapewni większego bezpieczeństwa, jeśli nie zrozumiesz, jak wszystko ze sobą współpracuje. Większość zespołów przyjmuje niekierowane podejście do bezpieczeństwa prewencyjnego, pokładając ślepą wiarę w strategię ustalania priorytetów i działań naprawczych wdrożoną wiele lat temu. Jednak bezpieczeństwo wymaga indywidualnego podejścia dostosowanego do każdego zespołu ds. bezpieczeństwa, w oparciu o szerszą ekspozycję organizacji na ryzyko. Nie każdy „krytyczny” alert od dostawcy zabezpieczeń jest koniecznie największym zagrożeniem dla tego konkretnego środowiska.
Aby dokładnie ustalić priorytety działań naprawczych i zmniejszyć ryzyko, należy wziąć pod uwagę całą powierzchnię ataku. Zrozumienie relacji między ekspozycjami, aktywami i użytkownikami pomaga określić, które problemy stwarzają największe ryzyko. Jeśli weźmie się pod uwagę dodatkowy kontekst, „krytyczne” ustalenie może nie być największym problemem.
Uzyskaj wgląd w swoją infrastrukturę tożsamości w chmurze
Następnie kluczowa jest widoczność. Aby wiarygodnie zidentyfikować stosowane ryzyko, należy przeprowadzić kompleksowy audyt wszystkich tożsamości i punktów kontroli dostępu w infrastrukturze tożsamości w chmurze. Musisz wiedzieć, jakie zasoby masz w swoim środowisku, czy znajdują się w chmurze, czy lokalnie, w jaki sposób są udostępniane i konfigurowane, a także inne zmienne.
Zabezpieczając chmurę, nie można tylko patrzeć na konfigurację zasobów specyficznych dla chmury — należy przeprowadzić audyt aspektu tożsamości: na przykład maszyn wirtualnych (VM), funkcji bezserwerowych, klastrów Kubernetes i kontenerów. Jeden administrator może mieć konto powiązane z AWS, konto Active Directory z inną rolą umożliwiającą logowanie się do swoich systemów lokalnych, konto w GitHub, konto Salesforce itp. Musisz także wziąć pod uwagę takie kwestie, jak higiena maszyn, na których pracuje korzystają programiści, DevOps i zespoły IT. Udany atak phishingowy na inżyniera DevOps może mieć ogromny wpływ na stan bezpieczeństwa środowisk chmurowych.
Na tej podstawie należy zmapować relacje między tożsamościami a systemami, do których uzyskują one dostęp. Jest to ważna część zrozumienia powierzchni ataku. Platformy ochrony aplikacji natywne w chmurze (CNAPP) mają w tym pomóc. Posiadanie silnej platformy CNAPP daje zespołowi ds. bezpieczeństwa możliwość wykrywania nietypowych zachowań związanych z określoną tożsamością i wykrywania, kiedy konfiguracje zaczynają się zmieniać.
Dopasuj swoje różne zespoły
Kiedy już zmapujesz tożsamości i relacje, musisz powiązać je z lukami w zabezpieczeniach i błędnymi konfiguracjami, aby określić, gdzie jesteś najbardziej narażony na ataki, i rozpocząć ilościowe określanie zastosowanego ryzyka. Bez tego nie można stworzyć skutecznej strategii naprawczej.
Ale dane i strategia zabiorą Cię tylko do pewnego momentu. Zespoły zwykle działają w silosach i każdy z nich ustala priorytety w oparciu o konkretne oprogramowanie, z którego korzysta, bez komunikacji z innymi zespołami i bez skupiania się na holistycznej wizji minimalizacji ryzyka. Ponieważ nie każda powierzchnia ataku jest taka sama, należy zorganizować organizację w taki sposób, aby różne zestawy umiejętności mogły podejmować działania łagodzące w oparciu o zmienne specyficzne dla ich środowiska.
Kiedy zespoły są ściślej powiązane, ryzyko organizacyjne spada. Powiedzmy, że masz luka w zabezpieczeniach skryptów krzyżowych w jednej z aplikacji internetowych. Czy nie byłoby sensowne nadanie priorytetu wszelkim problemom związanym z bezpieczeństwem lub konfiguracją związanym z infrastrukturą, na której działa ta aplikacja? Odwrotność jest również prawdą. Czy nie ma większego sensu zajęcie się luką występującą w środowisku produkcyjnym lub znajdującą się w Internecie w porównaniu z luką występującą w środowisku deweloperskim bez możliwości wykorzystania?
Duża część powodu zespoły bezpieczeństwa pracują w tych silosach Dzieje się tak dlatego, że środowisko dostawców w pewnym sensie zmusiło ich do pracy w ten sposób. Do niedawna nie było sposobu na zrobienie rzeczy, które tutaj proponuję — przynajmniej nie dla nikogo poza 1% organizacji, które mają ogromne budżety na bezpieczeństwo oraz wbudowane wewnętrzne narzędzia i zespoły.
Podsumowując, ochrona tożsamości – w chmurze i innych – wymaga zmiany sposobu myślenia ze zgodności na całościowe podejście do bezpieczeństwa i stosowanego ryzyka, które obejmuje uzyskanie wglądu w infrastrukturę chmury za pomocą CNAPP i skoordynowanie działań różnych zespołów w celu ustalenia priorytetów działań naprawczych.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
- PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
- PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
- Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
- Źródło: https://www.darkreading.com/edge/securing-cloud-identities-to-protect-assets-and-minimize-risk
- :ma
- :Jest
- :nie
- :Gdzie
- $W GÓRĘ
- 500
- a
- zdolność
- O nas
- dostęp
- Dostęp
- Konto
- Konta
- dokładnie
- Działania
- działania
- aktywny
- Dodatkowy
- adres
- Admin
- Przyjęcie
- doradzać
- agencje
- temu
- Alarm
- justowanie
- wyrównanie
- Wszystkie kategorie
- pozwala
- również
- an
- i
- Inne
- każdy
- ktoś
- Zastosowanie
- aplikacje
- stosowany
- podejście
- SĄ
- na około
- AS
- aspekt
- oszacować
- Aktywa
- powiązany
- At
- atakować
- Ataki
- próba
- Audyt
- AWS
- na podstawie
- BE
- bo
- stają się
- być
- zachowanie
- zrobiony na zamówienie
- pomiędzy
- Najwyższa
- Skrzynki
- przynieść
- szerszy
- Budżety
- wybudowany
- ale
- CAN
- szansa
- dokładnie
- Chmura
- infrastruktura chmurowa
- kod
- Komunikacja
- Firmy
- spełnienie
- skomplikowane
- wszechstronny
- kompromis
- Zagrożone
- computing
- systemu
- skonfigurowany
- Rozważać
- Pojemniki
- kontekst
- kontekstowy
- kontrola
- sprzężony
- Stwórz
- krytyczny
- Klientów
- dane
- Dni
- Decyzje
- wdrażane
- zaprojektowany
- wykryć
- Ustalać
- dev
- deweloperzy
- różne
- do
- robi
- darowizna
- Krople
- każdy
- Efektywne
- faktycznie
- e-maile
- umożliwiać
- inżynier
- Cały
- Środowisko
- środowiska
- itp
- Każdy
- wszystko
- przykład
- wymiana
- eksploatacja
- eksploatowany
- Ekspozycja
- wiara
- daleko
- znalezieniu
- następujący sposób
- W razie zamówieenia projektu
- Majątek
- od
- Funkcje
- Wzrost
- zyskuje
- dał
- GitHub
- daje
- poszedł
- Rząd
- agencje rządowe
- większy
- większe bezpieczeństwo
- Największym
- Have
- mający
- pomoc
- tutaj
- wysoki profil
- holistyczne
- W jaki sposób
- HTTPS
- i
- zidentyfikować
- tożsamości
- tożsamość
- if
- zilustrować
- Rezultat
- Oddziaływania
- wykonawczych
- ważny
- in
- Włącznie z
- coraz bardziej
- Infrastruktura
- przykład
- Interakcje
- Internet
- najnowszych
- problem
- problemy
- IT
- jpg
- Klawisz
- Klawisze
- Uprzejmy
- Wiedzieć
- znany
- krajobraz
- duży
- najmniej
- niech
- lubić
- miejscowy
- log
- Popatrz
- maszyny
- robić
- mapa
- masywny
- Może..
- środków
- Mindset
- minimalizowanie
- jeszcze
- większość
- ruch
- musi
- koniecznie
- niezbędny
- Potrzebować
- Nie
- numer
- obiekty
- of
- on
- ONE
- tylko
- działać
- or
- organizacja
- organizacyjny
- organizacji
- Inne
- Inaczej
- na zewnątrz
- najważniejszy
- część
- szczególny
- Ludzie
- uprawnienia
- phishing
- atak phishingowy
- Miejsce
- Platforma
- Platformy
- plato
- Analiza danych Platona
- PlatoDane
- zwrotnica
- poza
- Praktyczny
- zapobiec
- priorytetyzacja
- Priorytet
- ustalanie priorytetów
- przywileje
- Problem
- Produkcja
- projekt
- proponuje
- chronić
- ochrony
- ochrona
- położyć
- Putting
- RE
- powód
- niedawno
- zmniejszyć
- związek
- Relacje
- Wymaga
- Zasoby
- Ryzyko
- Rola
- bieganie
- s
- sprzedawca
- taki sam
- powiedzieć
- zabezpieczenia
- bezpieczeństwo
- widzieć
- rozsądek
- wrażliwy
- wysłany
- Serie
- Bezserwerowe
- Zestawy
- przesunięcie
- powinien
- Silosy
- Prosty
- Siedzący
- umiejętność
- So
- dotychczas
- Tworzenie
- kilka
- Ktoś
- specyficzny
- początek
- Ukradłem
- Strategia
- silny
- Struktura
- udany
- Powierzchnia
- system
- systemy
- dostosowane
- Brać
- zespół
- Zespoły
- że
- Połączenia
- ich
- Im
- Tam.
- Te
- one
- rzeczy
- to
- tysiące
- zagrożenia
- TIE
- Związany
- wskazówki
- do
- już dziś
- razem
- narzędzia
- prawdziwy
- zrozumieć
- zrozumienie
- aż do
- posługiwać się
- Użytkownicy
- za pomocą
- Naprawiono
- sprzedawca
- Przeciw
- Wirtualny
- widoczność
- wizja
- Luki w zabezpieczeniach
- wrażliwość
- Wrażliwy
- Droga..
- we
- sieć
- Aplikacje internetowe
- Co
- jeśli chodzi o komunikację i motywację
- czy
- który
- będzie
- w
- bez
- Wygrał
- Praca
- działa
- nie
- lat
- jeszcze
- You
- Twój
- zefirnet