Киберпреступники всегда ищут белые пятна в управлении доступом, будь то неправильные конфигурации, плохие методы проверки учетных данных, неисправленные ошибки безопасности или другие скрытые двери в корпоративный замок. Теперь, когда организации продолжают модернизироваться в сторону облака, злоумышленники пользуются открывающейся возможностью: получить доступ к недостаткам и неправильным конфигурациям в том, как организации используют ресурсы облачных провайдеров. управление идентификацией и доступом (IAM) слои.
В выступлении в среду, 10 августа, в Black Hat USA под названием «Я тот, кто стучит», Игал Гофман, руководитель отдела исследований Ermetic, расскажет об этой новой границе риска. «Защитники должны понимать, что новый периметр — это не сетевой уровень, как это было раньше. Теперь это действительно IAM — уровень управления, который управляет всем», — говорит он Dark Reading.
Сложность, идентичность машины = отсутствие безопасности
Он отмечает, что самая распространенная ошибка, с которой сталкиваются службы безопасности при внедрении облачного IAM, заключается в непонимании всей сложности среды. Это включает в себя понимание растущего количества разрешений и доступа, созданных приложениями «программное обеспечение как услуга» (SaaS).
«Злоумышленники продолжают получать токены или учетные данные либо с помощью фишинга, либо каким-либо другим способом», — объясняет Гофман. «В свое время они мало что давали злоумышленнику, кроме того, что было на локальной машине. Но теперь эти токены безопасности имеют гораздо больший доступ, потому что за последние несколько лет все перешли в облако и имеют больше доступа к облачным ресурсам».
Проблема сложности становится особенно пикантной, когда речь идет о машинные объекты — которые, в отличие от людей, всегда работают. В облачном контексте они используются для доступа к облачным API с помощью ключей API; включить бессерверные приложения; автоматизировать роли безопасности (т. е. брокеры служб облачного доступа или CASB); интегрировать приложения и профили SaaS друг с другом с помощью сервисных аккаунтов; и более.
Учитывая, что среднестатистическая компания в настоящее время использует сотни облачных приложений и баз данных, эта масса удостоверений машин представляет собой очень сложную сеть переплетенных разрешений и доступа, которая лежит в основе инфраструктуры организаций, которую трудно проследить и, следовательно, трудно управлять. — говорит Гофман. Вот почему злоумышленники все больше и больше стремятся использовать эту идентичность.
«Мы наблюдаем рост использования нечеловеческих идентичностей, которые имеют доступ к различным ресурсам и различным внутренним услугам», — отмечает он. «Это сервисы, которые общаются с другими сервисами. У них есть разрешения и обычно более широкий доступ, чем у людей. Облачные провайдеры подталкивают своих пользователей к их использованию, потому что на базовом уровне они считают их более безопасными. Но есть некоторые методы эксплуатации, которые можно использовать для компрометации сред с использованием этих нечеловеческих удостоверений».
Он добавляет, что машинные объекты с разрешениями на управление особенно привлекательны для злоумышленников.
«Это один из основных векторов, на который нацеливаются киберпреступники, особенно в Azure», — объясняет он. «Если у вас нет глубокого понимания того, как управлять ими в IAM, вы предлагаете дыру в безопасности».
Как повысить безопасность IAM в облаке
С точки зрения защиты Гофман планирует обсудить множество вариантов, которые есть у организаций для решения проблемы внедрения эффективного IAM в облаке. Во-первых, организациям следует использовать возможности ведения журналов облачных провайдеров, чтобы получить полное представление о том, кто и что существует в среде.
«Эти инструменты на самом деле не используются широко, но они позволяют лучше понять, что происходит в вашей среде», — объясняет он. «Вы также можете использовать ведение журнала для уменьшения поверхности атаки, потому что вы можете точно видеть, что используют пользователи и какие разрешения у них есть. Администраторы также могут сравнивать заявленные политики с тем, что на самом деле используется в данной инфраструктуре».
Он также планирует разобрать и сравнить различные службы IAM от трех ведущих поставщиков общедоступных облачных служб — Amazon Web Services, Google Cloud Platform и Microsoft Azure — и их подходы к обеспечению безопасности, которые немного отличаются. Мультиоблачный IAM является дополнительной проблемой для корпораций, использующих разные облака от разных поставщиков, и Гофман отмечает, что понимание тонких различий между инструментами, которые они предлагают, может иметь большое значение для укрепления защиты.
Он отмечает, что организации также могут использовать различные сторонние инструменты с открытым исходным кодом, чтобы лучше видеть всю инфраструктуру, добавив, что он и его содокладчик Ноам Дахан, руководитель исследования в Ermetic, планируют продемонстрировать один вариант.
«Облачный IAM очень важен, — говорит Гофман. «Мы собираемся поговорить об опасностях, инструментах, которые можно использовать, и о важности лучшего понимания того, какие разрешения используются, а какие не используются, а также о том, как и где администраторы могут определять белые пятна».
- блокчейн
- кошельки с криптовалютами
- cryptoexchange
- информационная безопасность
- киберпреступники
- Информационная безопасность
- Темное чтение
- Департамент внутренней безопасности
- цифровые кошельки
- брандмауэр
- Kaspersky
- вредоносных программ
- Mcafee
- НексБЛОК
- Платон
- Платон Ай
- Платон Интеллектуальные данные
- Платон игра
- ПлатонДанные
- платогейминг
- VPN
- безопасности веб-сайтов
