Varför din molnsäkerhet inte minskar det och vad du ska göra åt det

SANS-institutets molnsäkerhetsundersökning 2019 är nykter (du måste registrera dig för ett gratis medlemskap för att läsa det). I rapporten skriven av Dave Shackleford i april 2019 anges några nedslående fakta och siffror. Till exempel skulle man tro att vi, efter alla de senaste rapporter om överträdelser, skulle bli bättre på att skydda våra molnresurser. Men inte bara är vi fortfarande ganska dåliga på det, det stora problemet är inte ens teknik. Det är fortfarande människor. En tydlig indikation på detta visas i rapportens lista över de bästa typerna av attacker, som börjar med kontokapital eller kapacitetskrackning och nummer två orsak till felkonfiguration av molntjänster och resurser.

"Credential kapning är en beprövad tillgångsmetodik eftersom du attackerar människor, " säger Mike Sprunger, Senior Manager för Security Consulting Practice på Insight Enterprises 'Security Consulting Practice. "Människor kommer alltid att vara den svagaste länken eftersom det är här du stöter på många traditionella socialtekniska frågor, till exempel samtal till helpdesk, phishing och spjutfiske."

Naturligtvis finns det många sätt att legitimationsuppgifter kan stulas, där phishing helt enkelt är det senaste och i vissa fall det svåraste att hantera. Men referenser kan också skördas från data från andra överträdelser helt enkelt för att människor använder samma referenser där de kan så att de inte kommer ihåg mer än nödvändigt. Dessutom finns det fortfarande mycket tid att skriva inloggningsinformation om klisterlappar och klistra in dem bredvid ett tangentbord.

Felkonfiguration av molntjänster är ett annat område där människor är svag punkt. Skillnaden här är att människor kommer att gå ut och ställa upp en molntjänst utan att ha någon aning om vad de gör, och sedan kommer de att använda den för att lagra data utan att skydda dem.

"Först, när molnet antagits, har det varit så mycket om hur lätt det är att stå upp ett moln att det finns orealistiska förväntningar, " förklarade Sprunger. "Människor gör misstag, och det är inte riktigt klart vad du måste göra för att definiera säkerhet kring containrar."

Vaghet i säkerhet är inte bra

En del av problemet är att molnleverantörer inte riktigt gör ett tillräckligt jobb med att förklara hur deras säkerhetsalternativ fungerar (som jag fick reda på när jag nyligen granskade Infrastructure-as-a-Service eller IaaS-lösningar), så du måste gissa eller ringa säljaren för hjälp. Med många molntjänster har du till exempel möjlighet att slå på en brandvägg. Men att ta reda på hur man konfigurerar den när den körs kanske inte tydligt förklaras. Alls.

Problemet är så dåligt att Shackleford, författaren till SANS-rapporten, börjar rapporten med en lista över oskyddade Amazon Simple Storage Service (S3) skopor som resulterade i överträdelser. "Om siffrorna ska tros är 7 procent av S3-hinkarna öppna för hela världen, " skrev han, "och ytterligare 35 procent använder inte kryptering (som är inbyggd i tjänsten)." Amazon S3 är en utmärkt lagringsplattform eftersom våra tester gick ut. Problem som dessa härrör helt enkelt från användare som antingen felkonfigurerar tjänsten eller är helt omedvetna om att vissa funktioner finns.

Missbruk av privilegierad användning är nästa på listan och det är ett annat problem som härrör från människor. Sprunger sa att det här är mer än bara missnöjda anställda, även om det inkluderar dem. "Mycket av det som saknas är tredje parter som har privilegierad tillgång, " förklarade han. "Det är mycket lättare att gå igenom åtkomst till servicekonton. Det är vanligtvis ett enda konto med ett enda lösenord, och det finns inget ansvar."

Servicekonton tillhandahålls vanligtvis för tredje parter, ofta leverantörer eller entreprenörer som behöver tillgång antingen för att tillhandahålla support eller service. Det var ett sådant servicekonto som tillhörde en Uppvärmnings-, Ventilations-, Luftkonditionerings- (HVAC) entreprenör som var den svaga punkten som ledde till Målöverträdelsen 2014. "Dessa konton har vanligtvis gudliknande privilegier, " sade Sprunger och tilllade att de är ett främsta mål för angripare.

Att övervinna säkerhetssvårigheter

Så, vad gör du om dessa sårbarheter? Det korta svaret är utbildning men det är mer komplexa än så. Till exempel måste användare utbildas för att leta efter phishing-e-postmeddelanden, och att utbildningen måste vara tillräckligt fullständig för att känna igen även subtila tecken på phishing. Dessutom måste det inkludera de anställda bör vidta om de till och med misstänker att de ser en sådan attack. Detta inkluderar hur man ser var en länk i ett e-postmeddelande verkligen går, men det måste också inkludera procedurer för rapportering av ett sådant e-postmeddelande. Utbildningen måste innehålla en övertygelse om att de inte får problem för att de inte agerar på e-postinstruktioner som verkar misstänkta.

På samma sätt måste det finnas en viss nivå av företagsstyrning på plats så att slumpmässiga anställda inte går ut och sätter upp sina egna molntjänstkonton. Detta inkluderar att titta på kostnadsredovisningskuponger för avgifter för molntjänster på personliga kreditkort. Men det betyder också att du måste tillhandahålla utbildning i hur du hanterar tillgängligheten till molntjänster.

Att hantera privilegierade missbruk av användare

Att hantera privilegierat missbruk av användare kan också vara utmanande eftersom vissa leverantörer insisterar på tillgång med ett brett utbud av rättigheter. Du kan hantera en del av detta genom att segmentera ditt nätverk så att åtkomst bara är till den tjänst som hanteras. Segmentera det till exempel så att HVAC-styrenheten är i sitt eget segment och leverantörer som har till uppgift att behålla det systemet bara får åtkomst till den delen av nätverket. En annan åtgärd som kan hjälpa till att uppnå detta är att distribuera ett robust identitetshanteringssystem (IDM), som inte bara kommer att hålla bättre reda på konton, utan också vem som har dem och deras åtkomstpersoner. Dessa system låter dig också avbryta åtkomsten snabbare och ger en granskningsspår för kontoaktivitet. Och även om du kan spendera stora pengar på en, kanske du redan har en igång om du är en Windows Server-butik med ett Microsoft Active Directory (AD) träd aktiverat.

• De bästa säkerhetssviterna för 2019 De bästa säkerhetssviterna för 2019
• De bästa leverantörerna för molnlagring och fildelning för affärer för 2019 De bästa leverantörerna av molnlagring och fildelning för affärer för 2019
• The Best Cloud Backup Services for Business 2019 De bästa Cloud Backup Services för företaget 2019

Du kanske också måste se till att leverantörer har åtkomst till minst privilegier så att deras konton bara ger dem rättigheter till programvaran eller apparaten som de hanterar och inget annat - en annan bra användning av ett IDM-system. Du kan kräva att de ber om tillfällig åtkomst för allt annat.

Det här är bara de bästa artiklarna på en ganska lång lista över säkerhetsproblem, och det är värt att läsa SANS-säkerhetsundersökningsrapporten i sin helhet. Listan ger dig en färdplan över sätt att närma dig dina säkerhetsproblem och hjälper dig att inse fler steg du kan vidta. Men i slutändan är, om du inte gör något åt ​​de problem som rapporteras av SANS, så kommer din molnsäkerhet att stinka, och du kommer förmodligen att bli fångad i en virvel av misslyckande när ditt moln cirkulerar avloppet till en fullblåst brott.