Поскольку организации все чаще перемещают свои данные и рабочие нагрузки в облако, защита облачных удостоверений становится первостепенной задачей. Идентификаторы — это ключи к доступу к облачным ресурсам, и в случае компрометации они позволяют злоумышленникам получить доступ к конфиденциальным данным и системам.
Большинство атак, которые мы наблюдаем сегодня, представляют собой атаки на стороне клиента, при которых злоумышленники компрометируют чью-либо учетную запись и используют свои привилегии для перемещения в горизонтальном направлении и доступа к конфиденциальным данным и ресурсам. Чтобы предотвратить это, вам необходима видимость инфраструктуры идентификации вашего облака. Если вы не знаете личности всех людей и объектов, имеющих доступ к системам, их разрешения и взаимоотношения, у вас не будет контекста, необходимого для эффективной оценки риска и принятия превентивных мер.
Ряд громких атак иллюстрируют эту проблему. Скомпрометированная облачная идентификация предоставила злоумышленникам доступ к Программное обеспечение SolarWinds Orion, где они развернули вредоносный код тысячам своих клиентов, включая правительственные учреждения и компании из списка Fortune 500. Другим примером является Атака на Microsoft Exchange, в котором злоумышленники воспользовались уязвимостью в Exchange для получения доступа к учетным записям электронной почты. Оттуда они украли конфиденциальные данные и рассылали фишинговые электронные письма, пытаясь скомпрометировать другие учетные записи.
Для обеспечения безопасности облака я советую реализовать подход, известный как прикладной риск, который позволяет специалистам по безопасности принимать решения о превентивных действиях на основе контекстных данных о взаимосвязи между идентификаторами и о том, каковы последующие последствия угроз в их конкретных средах. Вот несколько практических советов по принятию прикладного риска.
Относитесь к облачной защите как к проекту безопасности, а не к проверке соответствия требованиям
Для начала измените свое мышление. Прошли простые времена клиент-серверных вычислений. Облачная среда — это сложная система данных, пользователей, систем и взаимодействий между ними.
Установка нескольких флажков не обеспечит большей безопасности, если вы не понимаете, как все работает вместе. Большинство команд придерживаются неуправляемого подхода к превентивной безопасности, слепо веря в стратегию определения приоритетов и устранения проблем, разработанную много лет назад. Тем не менее, безопасность требует индивидуального подхода, адаптированного к каждой команде безопасности с учетом более широкой подверженности организации рискам. Не каждое «критическое» предупреждение от поставщика средств безопасности обязательно представляет собой самый большой риск для конкретной среды.
Чтобы точно расставить приоритеты в устранении проблем и снизить риск, необходимо учитывать всю поверхность атаки. Понимание взаимосвязей между рисками, активами и пользователями поможет вам определить, какие проблемы представляют наибольший риск. Если принять во внимание дополнительный контекст, «критический» вывод может оказаться не самой большой проблемой.
Обеспечьте прозрачность своей инфраструктуры Cloud Identity
Далее, ключевым моментом является видимость. Чтобы достоверно определить применяемый риск, вам следует провести комплексный аудит всех удостоверений и точек управления доступом в вашей облачной инфраструктуре удостоверений. Вам необходимо знать, какие ресурсы есть в вашей среде, находятся ли они в облаке или локально, как они предоставляются и настраиваются, а также другие переменные.
При обеспечении безопасности облака вы не можете только смотреть, как настроены специфичные для облака ресурсы — вам необходимо провести аудит аспекта идентификации: например, виртуальных машин (ВМ), бессерверных функций, кластеров Kubernetes и контейнеров. У одного администратора может быть учетная запись, привязанная к AWS, учетная запись Active Directory с другой ролью для входа в свои локальные системы, учетная запись на GitHub, учетная запись Salesforce и т. д. Вы также должны учитывать такие вещи, как гигиена машин, которые используют разработчики, DevOps и ИТ-команды. Успешная фишинговая атака на инженера DevOps может оказать огромное влияние на состояние безопасности вашей облачной среды.
Отсюда вам следует сопоставить отношения между личностями и системами, к которым они получают доступ. Это важная часть понимания вашей поверхности атаки. Облачные платформы защиты приложений (CNAPP) призваны помочь в этом. Наличие мощной платформы CNAPP дает команде безопасности возможность обнаруживать аномальное поведение в отношении определенного удостоверения и определять, когда конфигурации начинают смещаться.
Объедините свои разные команды
После того, как вы наметили личности и взаимоотношения, вам необходимо связать их с уязвимостями и неправильными конфигурациями, чтобы определить, где вы наиболее уязвимы, и начать количественную оценку применяемого риска. Без этого невозможно создать эффективную стратегию исправления ситуации.
Но данные и стратегия помогут вам лишь до определенного момента. Команды, как правило, работают разрозненно, и каждая следует действиям по определению приоритетов на основе конкретного программного обеспечения, которое они используют, без связи с другими командами или согласования целостного видения минимизации рисков. Поскольку не все поверхности атак одинаковы, вам необходимо структурировать организацию так, чтобы разные наборы навыков могли предпринимать смягчающие действия на основе переменных, специфичных для их среды.
Когда команды более тесно связаны, организационный риск снижается. Допустим, у вас есть уязвимость межсайтового скриптинга в одном из ваших веб-приложений. Не имеет ли смысла уделять приоритетное внимание любым проблемам безопасности или конфигурации, связанным с инфраструктурой, на которой работает это приложение? Обратное также верно. Не имеет ли больше смысла устранить уязвимость, которая работает в рабочей среде или находится в Интернете, по сравнению с уязвимостью, работающей в среде разработки и не имеющей шансов на эксплуатацию?
Большая часть причины группы безопасности работают в этих бункерах Причина в том, что ситуация с поставщиками как бы вынудила их работать таким образом. До недавнего времени не было способа сделать то, что я здесь предлагаю — по крайней мере, ни у кого, кроме 1% организаций, которые имеют огромные бюджеты на безопасность и имеют собственные инструменты и команды.
Подводя итог, можно сказать, что защита личных данных — как облачных, так и других — требует перехода от соответствия требованиям к комплексному подходу к обеспечению безопасности и прикладному риску, который включает в себя получение прозрачности вашей облачной инфраструктуры с помощью CNAPP и согласование действий различных команд по определению приоритетов устранения проблем.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.darkreading.com/edge/securing-cloud-identities-to-protect-assets-and-minimize-risk
- :имеет
- :является
- :нет
- :куда
- $UP
- 500
- a
- способность
- О нас
- доступ
- доступа
- Учетная запись
- Учетные записи
- точно
- Действие
- действия
- активный
- дополнительный
- адрес
- Администратор
- Принятие
- консультировать
- агентствах
- тому назад
- Оповещение
- выравнивание
- выравнивание
- Все
- позволяет
- причислены
- an
- и
- Другой
- любой
- кто угодно
- Применение
- Приложения
- прикладной
- подхода
- МЫ
- около
- AS
- внешний вид
- оценить
- Активы
- связанный
- At
- атаковать
- нападки
- попытка
- аудит
- AWS
- основанный
- BE
- , так как:
- становиться
- было
- поведение
- сделанный на заказ
- между
- Крупнейшая
- коробки
- приносить
- шире
- Бюджеты
- построенный
- но
- CAN
- шанс
- тесно
- облако
- облачная инфраструктура
- код
- Связь
- Компании
- Соответствие закону
- сложный
- комплексный
- скомпрометированы
- Ослабленный
- вычисление
- Конфигурация
- настроить
- Рассматривать
- Контейнеры
- контекст
- контекстной
- контроль
- соединенный
- Создайте
- критической
- Клиенты
- данным
- Дней
- решения
- развернуть
- предназначенный
- обнаруживать
- Определять
- Дев
- застройщиков
- различный
- do
- приносит
- Дон
- Капли
- каждый
- Эффективный
- фактически
- Писем
- включить
- инженер
- Весь
- Окружающая среда
- средах
- и т.д
- Каждая
- многое
- пример
- обмена
- эксплуатация
- Эксплуатируемый
- Экспозиция
- вера
- далеко
- обнаружение
- следующим образом
- Что касается
- Fortune
- от
- Функции
- Gain
- получение
- дал
- GitHub
- дает
- ушел
- Правительство
- государственные учреждения
- большой
- большая безопасность
- величайший
- Есть
- имеющий
- помощь
- здесь
- Высокий профиль
- целостный
- Как
- HTTPS
- i
- определения
- тождества
- Личность
- if
- иллюстрировать
- Влияние
- Воздействие
- Осуществляющий
- важную
- in
- В том числе
- все больше и больше
- Инфраструктура
- пример
- взаимодействие
- Интернет
- в
- вопрос
- вопросы
- IT
- JPG
- Основные
- ключи
- Вид
- Знать
- известный
- пейзаж
- большой
- наименее
- позволять
- такое как
- локальным
- журнал
- посмотреть
- Продукция
- сделать
- карта
- массивный
- Май..
- меры
- Мышление
- минимизация
- БОЛЕЕ
- самых
- двигаться
- должен
- обязательно
- необходимо
- Необходимость
- нет
- номер
- объекты
- of
- on
- ONE
- только
- работать
- or
- организация
- организационной
- организации
- Другое
- в противном случае
- внешний
- Первостепенный
- часть
- особый
- Люди
- Разрешения
- фишинг
- фишинг-атака
- Часть
- Платформа
- Платформы
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- пунктов
- поза
- практическое
- предотвращать
- приоритетов
- Расставляйте приоритеты
- приоритезация
- привилегии
- Проблема
- Производство
- Проект
- предлагая
- для защиты
- защищающий
- защиту
- положил
- Полагая
- RE
- причина
- недавно
- уменьшить
- отношения
- Отношения
- требуется
- Полезные ресурсы
- Снижение
- Роли
- Бег
- s
- Salesforce
- то же
- сообщили
- обеспечение
- безопасность
- посмотреть
- смысл
- чувствительный
- послать
- Серии
- Serverless
- Наборы
- сдвиг
- должен
- силосы
- просто
- Сидящий
- умение
- So
- уже
- Software
- некоторые
- Кто-то
- конкретный
- Начало
- украли
- Стратегия
- сильный
- Структура
- успешный
- Поверхность
- система
- системы
- с учетом
- взять
- команда
- команды
- который
- Ассоциация
- их
- Их
- Там.
- Эти
- они
- вещи
- этой
- тысячи
- угрозы
- TIE
- Связанный
- Советы
- в
- сегодня
- вместе
- инструменты
- правда
- понимать
- понимание
- до
- использование
- пользователей
- через
- Огромная
- продавец
- Против
- Виртуальный
- видимость
- видение
- Уязвимости
- уязвимость
- Уязвимый
- Путь..
- we
- Web
- веб-приложений
- Что
- когда
- будь то
- , которые
- будете
- без
- Выиграл
- Работа
- работает
- Wouldn
- лет
- еще
- Ты
- ВАШЕ
- зефирнет