Оскільки організації все частіше переміщують свої дані та робочі навантаження в хмару, безпека хмарних ідентифікаторів стає першорядною. Ідентифікаційні дані є ключем до доступу до хмарних ресурсів, і, якщо вони зламані, вони дають зловмисникам змогу отримати доступ до конфіденційних даних і систем.
Більшість атак, які ми спостерігаємо сьогодні, — це атаки на стороні клієнта, під час яких зловмисники компрометують чийсь обліковий запис і використовують свої привілеї для переміщення вбік і доступу до конфіденційних даних і ресурсів. Щоб запобігти цьому, вам потрібна видимість інфраструктури ідентифікації вашої хмари. Якщо ви не знаєте особу всіх людей і об’єктів, які мають доступ до систем, їхні дозволи та стосунки, ви не матимете контексту, необхідного для ефективної оцінки ризику та вжиття запобіжних заходів.
Низка резонансних атак ілюструє цю проблему. Скомпрометована хмарна ідентифікація надала зловмисникам доступ до Програмне забезпечення Orion від SolarWinds, де вони розгорнули шкідливий код для тисяч своїх клієнтів, включаючи державні установи та компанії зі списку Fortune 500. Іншим прикладом є Атака Microsoft Exchange, у якому зловмисники скористалися вразливістю в Exchange, щоб отримати доступ до облікових записів електронної пошти. Звідти вони викрадали конфіденційні дані та надсилали фішингові електронні листи, намагаючись скомпрометувати інші облікові записи.
Для захисту хмари я раджу застосувати підхід, відомий як прикладний ризик, який дозволяє фахівцям із безпеки приймати рішення щодо запобіжних дій на основі контекстних даних про зв’язок між ідентичними особами та те, якими є наслідки загроз у їхніх конкретних середовищах. Ось кілька практичних порад щодо прийняття прикладного ризику.
Ставтеся до хмарного захисту як до проекту безпеки, а не до виконання вимог
Для початку змініть своє мислення. Прості дні клієнт-серверних обчислень минули. Хмарне середовище – це складна система даних, користувачів, систем і взаємодії між усіма ними.
Якщо ви не розумієте, як усе працює разом, встановлення ряду прапорців не принесе більшої безпеки. Більшість команд використовують некерований підхід до превентивної безпеки, сліпо вірячи в стратегію визначення пріоритетів і виправлення, запроваджену багато років тому. Проте безпека потребує індивідуального підходу, адаптованого до кожної групи безпеки на основі ширшого ризику організації. Не кожне «критичне» сповіщення від постачальника засобів безпеки обов’язково є найбільшим ризиком для конкретного середовища.
Щоб точно розставити пріоритети для виправлення та зменшити ризик, ви повинні розглянути всю поверхню атаки. Розуміння зв’язків між ризиками, активами та користувачами допоможе вам визначити, які проблеми становлять найбільший ризик. Якщо взяти до уваги додатковий контекст, «критичне» відкриття може бути не найбільшою проблемою.
Отримайте видимість вашої інфраструктури Cloud Identity
Далі, видимість є ключовою. Щоб достовірно визначити застосований ризик, вам слід провести комплексний аудит усіх ідентифікаторів і точок контролю доступу у вашій хмарній інфраструктурі ідентифікації. Вам потрібно знати, які ресурси є у вашому середовищі, чи є вони в хмарі чи локально, як вони підготовлені та налаштовані, а також інші змінні.
Захищаючи хмару, ви не можете дивитися лише на те, як налаштовані ресурси, пов’язані з хмарою, — вам потрібно перевірити аспект ідентичності: наприклад, віртуальні машини (ВМ), безсерверні функції, кластери Kubernetes і контейнери. Один адміністратор може мати обліковий запис, прив’язаний до AWS, обліковий запис Active Directory з іншою роллю для входу в локальні системи, обліковий запис на GitHub, обліковий запис Salesforce тощо. Ви також повинні враховувати такі речі, як гігієна машин, які розробники, DevOps та ІТ-команди використовують. Успішна фішингова атака на інженера DevOps може мати величезний вплив на стан безпеки ваших хмарних середовищ.
Звідти ви повинні відобразити зв’язки між ідентифікаторами та системами, до яких вони мають доступ. Це важлива частина розуміння вашої поверхні атаки. Хмарні платформи захисту програм (CNAPP) створені, щоб допомогти в цьому. Наявність потужної платформи CNAPP дає команді безпеки можливість виявляти ненормальну поведінку навколо певної особи та виявляти, коли конфігурації починають дрейфувати.
Об’єднайте свої різні команди
Після того, як ви намітили ідентифікатори та зв’язки, вам потрібно прив’язати їх до вразливостей і неправильних конфігурацій, щоб визначити, де ви найбільш вразливі, і почати кількісну оцінку застосованого ризику. Без цього ви не можете створити ефективну стратегію відновлення.
Але дані та стратегія заведуть вас лише поки. Команди, як правило, працюють роз’єднано, і кожна виконує пріоритетні дії на основі конкретного програмного забезпечення, яке вони використовують, без спілкування з іншими командами або узгодження цілісного бачення для мінімізації ризику. Оскільки не кожна поверхня атаки однакова, вам потрібно структурувати організацію так, щоб різні набори навичок могли вживати пом’якшувальних дій на основі змінних, характерних для їх середовища.
Коли команди тісніше об’єднані, організаційний ризик падає. Скажімо, у вас є уразливість міжсайтового сценарію в одній із ваших веб-програм. Хіба не має сенсу надати пріоритет будь-якій проблемі безпеки чи конфігурації, пов’язаній з інфраструктурою, на якій працює ця програма? Справедливо й зворотне. Чи не має більшого сенсу усунути вразливість, яка працює у виробництві або знаходиться в Інтернеті, а не вразливість, що працює в середовищі розробників без шансів на використання?
Велика частина причини у цих силосах працюють групи безпеки це тому, що ландшафт постачальників змусив їх працювати таким чином. До недавнього часу не було способу зробити те, що я тут пропоную — принаймні ні для кого, крім 1% організацій, які мають величезні бюджети безпеки та створені власні інструменти та команди.
Підводячи підсумок, можна сказати, що для захисту ідентифікаційних даних (хмарних та інших) потрібен перехід від відповідності до цілісного підходу до безпеки, прикладного ризику, який передбачає отримання видимості вашої хмарної інфраструктури за допомогою CNAPP та об’єднання різних команд щодо визначення пріоритетів усунення.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://www.darkreading.com/edge/securing-cloud-identities-to-protect-assets-and-minimize-risk
- : має
- :є
- : ні
- :де
- $UP
- 500
- a
- здатність
- МЕНЮ
- доступ
- доступ до
- рахунки
- Рахунки
- точно
- дію
- дії
- активний
- Додатковий
- адреса
- адмін
- Прийняття
- радити
- агентства
- назад
- Оповіщення
- вирівнювання
- вирівнювання
- ВСІ
- дозволяє
- Також
- an
- та
- Інший
- будь-який
- будь
- додаток
- застосування
- прикладної
- підхід
- ЕСТЬ
- навколо
- AS
- зовнішній вигляд
- оцінити
- Активи
- асоційований
- At
- атака
- нападки
- спроба
- аудит
- AWS
- заснований
- BE
- оскільки
- ставати
- було
- поведінка
- замовляти
- між
- найбільший
- коробки
- приносити
- ширше
- Бюджети
- побудований
- але
- CAN
- шанс
- тісно
- хмара
- інфраструктура хмари
- код
- Комунікація
- Компанії
- дотримання
- складний
- всеосяжний
- компроміс
- Компрометація
- обчислення
- конфігурація
- налаштувати
- Вважати
- Контейнери
- контекст
- контекстуальний
- контроль
- з'єднаний
- створювати
- критичний
- Клієнти
- дані
- Днів
- рішення
- розгорнути
- призначений
- виявляти
- Визначати
- DEV
- розробників
- різний
- do
- робить
- Дон
- краплі
- кожен
- Ефективний
- фактично
- повідомлення електронної пошти
- включіть
- інженер
- Весь
- Навколишнє середовище
- середовищах
- і т.д.
- Кожен
- все
- приклад
- обмін
- експлуатація
- експлуатований
- експонування
- віра
- далеко
- виявлення
- слідує
- для
- стан
- від
- Функції
- Отримувати
- набирає
- дав
- GitHub
- дає
- пішов
- Уряд
- державні установи
- великий
- більша безпека
- найбільший
- Мати
- має
- допомога
- тут
- гучний
- цілісний
- Як
- HTTPS
- i
- ідентифікувати
- тотожності
- Особистість
- if
- ілюструвати
- Impact
- Вплив
- реалізації
- важливо
- in
- У тому числі
- все більше і більше
- Інфраструктура
- екземпляр
- Взаємодії
- інтернет
- в
- питання
- питання
- IT
- JPG
- ключ
- ключі
- Дитина
- Знати
- відомий
- ландшафт
- великий
- найменш
- дозволяти
- як
- місцевий
- журнал
- подивитися
- Машинки для перманенту
- зробити
- карта
- масивний
- Може..
- заходи
- Розум
- мінімізація
- більше
- найбільш
- рухатися
- повинен
- обов'язково
- необхідно
- Необхідність
- немає
- номер
- об'єкти
- of
- on
- ONE
- тільки
- працювати
- or
- організація
- організаційної
- організації
- Інше
- інакше
- з
- Першорядний
- частина
- приватність
- Люди
- Дозволи
- phishing
- фішинг-атака
- місце
- платформа
- Платформи
- plato
- Інформація про дані Платона
- PlatoData
- точок
- поза
- Практичний
- запобігати
- пріоритетів
- Пріоритетність
- визначення пріоритетів
- привілеї
- Проблема
- Production
- проект
- пропонуючи
- захист
- захищає
- захист
- put
- Поклавши
- RE
- причина
- нещодавно
- зменшити
- відносини
- Відносини
- Вимагається
- ресурси
- Risk
- Роль
- біг
- s
- Salesforce
- то ж
- say
- забезпечення
- безпеку
- побачити
- сенс
- чутливий
- посланий
- Серія
- Без сервера
- набори
- зсув
- Повинен
- силоси
- простий
- Сидячий
- майстерність
- So
- так далеко
- Софтвер
- деякі
- Хтось
- конкретний
- старт
- вкрав
- Стратегія
- сильний
- структура
- успішний
- поверхню
- система
- Systems
- з урахуванням
- Приймати
- команда
- команди
- Що
- Команда
- їх
- Їх
- Там.
- Ці
- вони
- речі
- це
- тисячі
- загрози
- TIE
- Зв'язаний
- Поради
- до
- сьогодні
- разом
- інструменти
- правда
- розуміти
- розуміння
- до
- використання
- користувачі
- використання
- величезний
- продавець
- Проти
- Віртуальний
- видимість
- бачення
- Уразливості
- вразливість
- Вразливий
- шлях..
- we
- Web
- веб-додатки
- Що
- коли
- Чи
- який
- волі
- з
- без
- Виграв
- Work
- працює
- хіба що
- років
- ще
- Ти
- вашу
- зефірнет