Cyberbrottslingar letar alltid efter blinda fläckar i åtkomsthanteringen, oavsett om det är felkonfigurationer, dåliga rutiner för autentisering, oparpade säkerhetsbuggar eller andra dolda dörrar till företagets slott. Nu, när organisationer fortsätter att modernisera sig till molnet, utnyttjar dåliga aktörer en ny möjlighet: åtkomstbrister och felkonfigurationer i hur organisationer använder molnleverantörer. identitets- och åtkomsthantering (IAM) skikten.
I ett föredrag onsdagen den 10 augusti på Black Hat USA med titeln "Jag är den som knackar”, Igal Gofman, forskningschef för Ermetic, kommer att erbjuda en syn på denna framväxande riskgräns. "Försvarare måste förstå att den nya omkretsen inte är nätverkslagret som det var tidigare. Nu är det verkligen IAM – det är ledningsskiktet som styr allt”, säger han till Dark Reading.
Komplexitet, Maskinidentiteter = Osäkerhet
Den vanligaste fallgropen som säkerhetsteam går in i när de implementerar moln IAM är att inte känna igen miljöns rena komplexitet, konstaterar han. Det inkluderar att förstå den enorma mängden behörigheter och åtkomst som programvara-som-en-tjänst (SaaS)-appar har skapat.
"Motståndare fortsätter att lägga vantarna på tokens eller referenser, antingen via nätfiske eller något annat tillvägagångssätt", förklarar Gofman. "En gång i tiden gav dessa inte mycket till angriparen utöver vad som fanns på en lokal maskin. Men nu har dessa säkerhetstoken mycket mer åtkomst, eftersom alla under de senaste åren har flyttat till molnet och har mer tillgång till molnresurser.”
Komplexitetsfrågan är särskilt pikant när det gäller maskinenheter — som, till skillnad från människor, alltid fungerar. I molnsammanhang används de för att komma åt moln-API:er med API-nycklar; aktivera serverlösa applikationer; automatisera säkerhetsroller (dvs. molnåtkomstmäklare eller CASB); integrera SaaS-appar och -profiler med varandra med hjälp av tjänstkonton; och mer.
Med tanke på att det genomsnittliga företaget nu använder hundratals molnbaserade appar och databaser, presenterar denna massa av maskinidentiteter en mycket komplex väv av sammanvävda behörigheter och åtkomst som stödjer organisationens infrastruktur, som är svår att få insyn i och därmed svår att hantera, säger Gofman. Det är därför motståndare försöker utnyttja dessa identiteter mer och mer.
"Vi ser en ökning av användningen av icke-mänskliga identiteter, som har tillgång till olika resurser och olika tjänster internt", konstaterar han. "Det här är tjänster som talar med andra tjänster. De har behörigheter och vanligtvis bredare åtkomst än människor. Molnleverantörerna pressar sina användare att använda dem, eftersom de på grundnivå anser dem vara säkrare. Men det finns vissa exploateringstekniker som kan användas för att kompromissa miljöer med dessa icke-mänskliga identiteter."
Maskinenheter med förvaltningsbehörigheter är särskilt attraktiva för motståndare att använda, tillägger han.
"Detta är en av de viktigaste vektorerna vi ser cyberbrottslingar rikta in sig på, särskilt i Azure," förklarar han. "Om du inte har en intim förståelse för hur du hanterar dem inom IAM, erbjuder du ett säkerhetshål."
Hur man ökar IAM-säkerheten i molnet
Ur en defensiv synvinkel planerar Gofman att diskutera de många alternativ som organisationer har för att komma runt problemet med att implementera effektiv IAM i molnet. För det första bör organisationer använda sig av molnleverantörers loggningsmöjligheter för att bygga en heltäckande bild av vem – och vad – som finns i miljön.
"Dessa verktyg används faktiskt inte i stor utsträckning, men de är bra alternativ för att bättre förstå vad som händer i din miljö", förklarar han. "Du kan använda loggning för att minska attackytan också, eftersom du kan se exakt vad användare använder och vilka behörigheter de har. Administratörer kan också jämföra uttalade policyer med vad som faktiskt används inom en given infrastruktur också."
Han planerar också att bryta ner och jämföra de olika IAM-tjänsterna från de tre främsta offentliga molnleverantörerna – Amazon Web Services, Google Cloud Platform och Microsoft Azure – och deras säkerhetsmetoder, som alla är något olika. Multi-cloud IAM är en extra rynka för företag som använder olika moln från olika leverantörer, och Gofman noterar att förståelse av de subtila skillnaderna mellan de verktyg de erbjuder kan gå långt för att stödja försvar.
Organisationer kan också använda en mängd olika tredjepartsverktyg med öppen källkod för att få bättre synlighet över hela infrastrukturen, noterar han och tillägger att han och hans medpresentatör Noam Dahan, forskningsledare på Ermetic, planerar att demonstrera ett alternativ.
"Cloud IAM är superviktigt", säger Gofman. "Vi kommer att prata om farorna, verktygen som kan användas och vikten av att bättre förstå vilka behörigheter som används och vilka behörigheter som inte används, och hur och var administratörer kan identifiera blinda fläckar."
