Tội phạm mạng luôn tìm kiếm các điểm mù trong quản lý quyền truy cập, có thể là cấu hình sai, phương pháp xác thực kém, lỗi bảo mật chưa được vá hoặc các cánh cửa ẩn khác dẫn đến lâu đài của công ty. Giờ đây, khi các tổ chức tiếp tục chuyển hướng hiện đại hóa sang đám mây, những kẻ xấu đang lợi dụng một cơ hội mới nổi: truy cập các lỗ hổng và cấu hình sai trong cách các tổ chức sử dụng các nhà cung cấp đám mây' quản lý danh tính và truy cập (IAM) các lớp.
Trong một buổi nói chuyện vào thứ Tư, ngày 10 tháng XNUMX tại Black Hat USA với tựa đề “Tôi là người gõ cửa,” Igal Gofman, trưởng bộ phận nghiên cứu của Ermetic, sẽ đưa ra quan điểm về ranh giới rủi ro mới nổi này. “Những người phòng thủ cần hiểu rằng vành đai mới không phải là lớp mạng như trước đây. Bây giờ nó thực sự là IAM — đó là lớp quản lý chi phối tất cả,” anh ấy nói với Dark Reading.
Độ phức tạp, Nhận dạng máy = Không an toàn
Ông lưu ý rằng cạm bẫy phổ biến nhất mà các nhóm bảo mật mắc phải khi triển khai IAM trên đám mây là không nhận ra sự phức tạp tuyệt đối của môi trường. Điều đó bao gồm việc hiểu số lượng quyền và quyền truy cập mà các ứng dụng phần mềm dưới dạng dịch vụ (SaaS) đã tạo ra.
Gofman giải thích: “Các đối thủ tiếp tục nhúng tay vào mã thông báo hoặc thông tin đăng nhập, thông qua lừa đảo hoặc một số cách tiếp cận khác. “Tại một thời điểm, những thứ đó không mang lại nhiều lợi ích cho kẻ tấn công ngoài những gì có trên máy cục bộ. Nhưng giờ đây, các mã thông báo bảo mật đó có nhiều quyền truy cập hơn, bởi vì mọi người trong vài năm qua đã chuyển sang đám mây và có nhiều quyền truy cập hơn vào tài nguyên đám mây.”
Vấn đề phức tạp đặc biệt quan trọng khi nói đến thực thể máy — thứ, không giống như con người, luôn hoạt động. Trong bối cảnh đám mây, chúng được sử dụng để truy cập API đám mây bằng các khóa API; kích hoạt các ứng dụng không có máy chủ; tự động hóa các vai trò bảo mật (nghĩa là các nhà môi giới dịch vụ truy cập đám mây hoặc CASB); tích hợp các ứng dụng và hồ sơ SaaS với nhau bằng tài khoản dịch vụ; và hơn thế nữa.
Cho rằng một công ty trung bình hiện sử dụng hàng trăm ứng dụng và cơ sở dữ liệu dựa trên đám mây, khối lượng nhận dạng máy này thể hiện một mạng lưới các quyền và quyền truy cập đan xen rất phức tạp làm nền tảng cho cơ sở hạ tầng của các tổ chức, rất khó để có được khả năng hiển thị và do đó khó quản lý, Gofman nói. Đó là lý do tại sao những kẻ thù đang tìm cách khai thác những danh tính này ngày càng nhiều.
Ông lưu ý: “Chúng tôi đang chứng kiến sự gia tăng trong việc sử dụng các danh tính không phải con người, vốn có quyền truy cập vào các tài nguyên khác nhau và các dịch vụ khác nhau trong nội bộ. “Đây là những dịch vụ nói với các dịch vụ khác. Họ có quyền và thường có quyền truy cập rộng hơn con người. Các nhà cung cấp đám mây đang thúc đẩy người dùng của họ sử dụng những thứ đó, vì ở cấp độ cơ bản, họ cho rằng chúng an toàn hơn. Tuy nhiên, có một số kỹ thuật khai thác có thể được sử dụng để xâm phạm môi trường bằng cách sử dụng những danh tính không phải con người đó.”
Ông cho biết thêm, các thực thể máy có quyền quản lý đặc biệt hấp dẫn đối với các đối thủ sử dụng.
Ông giải thích: “Đây là một trong những vectơ chính mà chúng tôi thấy tội phạm mạng đang nhắm mục tiêu, đặc biệt là trong Azure. “Nếu bạn không hiểu rõ về cách quản lý chúng trong IAM, thì bạn đang tạo ra một lỗ hổng bảo mật.”
Cách tăng cường bảo mật IAM trên đám mây
Từ quan điểm phòng thủ, Gofman có kế hoạch thảo luận về nhiều lựa chọn mà các tổ chức có để giải quyết vấn đề triển khai IAM hiệu quả trên đám mây. Đầu tiên, các tổ chức nên tận dụng khả năng ghi nhật ký của nhà cung cấp đám mây để xây dựng cái nhìn toàn diện về ai — và cái gì — tồn tại trong môi trường.
Ông giải thích: “Những công cụ này không thực sự được sử dụng rộng rãi, nhưng chúng là những lựa chọn tốt để hiểu rõ hơn những gì đang diễn ra trong môi trường của bạn. “Bạn cũng có thể sử dụng tính năng ghi nhật ký để giảm bề mặt tấn công, bởi vì bạn có thể biết chính xác những gì người dùng đang sử dụng và họ có những quyền gì. Quản trị viên cũng có thể so sánh các chính sách đã nêu với những gì đang thực sự được sử dụng trong một cơ sở hạ tầng nhất định.”
Anh ấy cũng có kế hoạch phân tích và so sánh các dịch vụ IAM khác nhau từ ba nhà cung cấp đám mây công cộng hàng đầu — Amazon Web Services, Google Cloud Platform và Microsoft Azure — và các phương pháp bảo mật của họ, tất cả đều hơi khác một chút. IAM nhiều đám mây là một vấn đề bổ sung cho các tập đoàn sử dụng các đám mây khác nhau từ các nhà cung cấp khác nhau và Gofman lưu ý rằng việc hiểu được sự khác biệt tinh tế giữa các công cụ mà họ cung cấp có thể giúp tăng cường khả năng phòng thủ.
Ông lưu ý rằng các tổ chức cũng có thể sử dụng nhiều công cụ nguồn mở của bên thứ ba để có được khả năng hiển thị tốt hơn trên cơ sở hạ tầng, đồng thời cho biết thêm rằng ông và người đồng trình bày Noam Dahan, trưởng nhóm nghiên cứu tại Ermetic, dự định trình diễn một tùy chọn.
“Cloud IAM cực kỳ quan trọng,” Gofman nói. “Chúng ta sẽ nói về những mối nguy hiểm, các công cụ có thể được sử dụng và tầm quan trọng của việc hiểu rõ hơn về quyền nào được sử dụng và quyền nào không được sử dụng cũng như cách thức và vị trí quản trị viên có thể xác định các điểm mù.”
