Кіберзлочинці завжди шукають сліпі зони в управлінні доступом, будь то неправильні конфігурації, погані методи ідентифікації, невиправлені помилки безпеки чи інші приховані двері до корпоративного замку. Тепер, коли організації продовжують модернізуватися до хмари, зловмисники користуються новою можливістю: недоліки доступу та неправильні конфігурації в тому, як організації використовують хмарні провайдери. управління ідентифікацією та доступом (IAM) шарів.
У розмові в середу, 10 серпня в Black Hat USA під назвою «Я той, хто стукає”, – Ігал Гофман, керівник відділу досліджень Ermetic, запропонує погляд на цей новий ризик. «Захисники повинні розуміти, що новий периметр — це не рівень мережі, як це було раніше. Тепер це дійсно IAM — це рівень керування, який керує всім», — розповідає він Dark Reading.
Складність, Ідентифікація машини = Незахищеність
Він зазначає, що найпоширеніша пастка, з якою стикаються служби безпеки під час впровадження хмарного IAM, полягає в тому, що вони не визнають суцільної складності середовища. Це включає в себе розуміння зростаючої кількості дозволів і доступу, які створили програми програмного забезпечення як послуги (SaaS).
«Зловмисники продовжують отримувати токени чи облікові дані за допомогою фішингу чи іншого підходу», — пояснює Гофман. «Свого часу це мало що давало зловмиснику, крім того, що було на локальній машині. Але тепер ці токени безпеки мають набагато більше доступу, тому що всі за останні кілька років перейшли до хмари та мають більше доступу до хмарних ресурсів».
Проблема складності особливо пікантна, коли йдеться про машинні сутності — які, на відміну від людей, завжди працюють. У хмарному контексті вони використовуються для доступу до хмарних API за допомогою ключів API; включити безсерверні програми; автоматизувати ролі безпеки (тобто брокери послуг доступу до хмари або CASB); інтегрувати програми та профілі SaaS один з одним за допомогою облікових записів служб; і більше.
З огляду на те, що середньостатистична компанія зараз використовує сотні хмарних додатків і баз даних, ця маса машинних ідентифікаційних даних представляє дуже складну мережу переплетених дозволів і доступу, які лежать в основі інфраструктури організацій, яку важко побачити, а отже, важко керувати нею. Гофман каже. Ось чому супротивники все більше й більше намагаються використовувати ці ідентичності.
«Ми спостерігаємо зростання використання нелюдських ідентифікацій, які мають внутрішній доступ до різних ресурсів і різних послуг», — зазначає він. «Це служби, які спілкуються з іншими службами. Вони мають дозволи та зазвичай ширший доступ, ніж люди. Хмарні провайдери підштовхують своїх користувачів використовувати їх, оскільки на базовому рівні вони вважають їх більш безпечними. Але є деякі методи експлуатації, які можна використовувати для компрометації середовища за допомогою цих нелюдських ідентичностей».
Машинні об’єкти з дозволами на керування особливо привабливі для використання зловмисниками, додає він.
«Це один із основних напрямків, на який ми бачимо націлювання кіберзлочинців, особливо в Azure», — пояснює він. «Якщо ви не маєте глибокого розуміння того, як ними керувати в IAM, ви створюєте дірку в безпеці».
Як підвищити безпеку IAM у хмарі
З позиції захисту Гофман планує обговорити багато варіантів, які організації мають для вирішення проблеми впровадження ефективного IAM у хмарі. По-перше, організації повинні використовувати можливості ведення журналів хмарних провайдерів, щоб створити повне уявлення про те, хто — і що — існує в середовищі.
«Насправді ці інструменти не використовуються широко, але вони є хорошими варіантами для кращого розуміння того, що відбувається у вашому середовищі», — пояснює він. «Ви також можете використовувати журналювання, щоб зменшити поверхню атаки, оскільки ви можете точно бачити, що використовують користувачі та які вони мають дозволи. Адміністратори також можуть порівнювати заявлену політику з тим, що насправді використовується в певній інфраструктурі».
Він також планує розбити та порівняти різні служби IAM від трьох провідних публічних хмарних провайдерів — Amazon Web Services, Google Cloud Platform і Microsoft Azure — і їхні підходи до безпеки, усі з яких дещо відрізняються. Багатохмарний IAM є додатковим недоліком для корпорацій, які використовують різні хмари від різних провайдерів, і Гофман зазначає, що розуміння тонких відмінностей між інструментами, які вони пропонують, може значною мірою допомогти зміцнити захист.
Організації також можуть використовувати різноманітні сторонні інструменти з відкритим вихідним кодом, щоб отримати кращу видимість у всій інфраструктурі, зазначає він, додаючи, що він та його співведучий Ноам Дахан, керівник досліджень Ermetic, планують продемонструвати один варіант.
«Хмарний IAM надзвичайно важливий», — каже Гофман. «Ми поговоримо про небезпеки, інструменти, які можна використовувати, і важливість кращого розуміння того, які дозволи використовуються, а які ні, а також як і де адміністратори можуть визначити сліпі зони».
