Компании быстро используют облако, чтобы революционизировать свои цифровые преобразования. Согласно Gartner Глобальный рынок облачных вычислений, по оценкам, к 2020 году вырастет на 266,4 млрд. Долл. США, что в 2019 году увеличится с 227,4 млрд. Долл. США.
Существует несколько преимуществ облачных вычислений, включая потенциальные более низкие затраты (с большими возможностями в общедоступном облаке, которые могут помочь производительности по сравнению с более ограниченными возможностями в частных облаках) и более быстрое время на рынке.
Однако, благодаря множеству преимуществ, которые предлагает облако, безопасность данных является одним из ключевых проблем, удерживающих обратные предприятия от принятия облачных решений. Чтобы поддержать это, опрос показал, что 93% компаний умеренно связаны с рисками безопасности облачных вычислений.
Облачная инфраструктура может быть сложной, и мы все знаем, что сложность является врагом безопасности. В то время как большинство экспертов по облачной безопасности согласны с тем, что компании могут извлечь выгоду из решений безопасности, встроенных в облако, организации также могут допускать серьезные ошибки и раскрывать критические данные и системы.
Некоторые из наиболее распространенных рисков безопасности облачной безопасности включают несанкционированный доступ через неправильный контроль доступа и неправильное использование учетных данных сотрудника. Несанкционированный доступ и небезопасные API привязаны к месту номер один в качестве Единственная самая большая воспринимаемая уязвимость безопасности в облаке (по 42% респондентов). За этими рисками безопасности следует неправильные конфигурации в облаке на уровне 40%.
Как компании могут получить преимущества технологии облачных вычислений, сохраняя при этом безопасность данных?
Существует несколько профилактических мер, которые компании могут принять, чтобы предотвратить уязвимости облачной безопасности на ранних стадиях. Это варьируется от простых решений по обеспечению безопасности, таких как реализация многофакторной аутентификации до более сложных контролей безопасности для соответствия нормативным мандатам.
7 лучших уязвимостей безопасности облачных вычислений и способов их смягчения
В этой статье мы рассмотрим уязвимости безопасности облачных вычислений и о том, как их смягчить.
1. Неправильно настроено облачное хранилище
Облачное хранилище является богатым источником украденных данных для киберпреступников. Несмотря на высокие ставки, организации продолжают совершать ошибку неправильной конфигурации облачного хранилища, что значительно стоило многих компаний.
Согласно отчету Symantec, в 2018 году было украдено или просочилось почти 70 миллионов записей из -за неправильно настроенных ковшов облачного хранения. В отчете также подчеркивалось появление различных инструментов, которые позволяют злоумышленникам обнаружить неправильное хранилище облачного хранилища.
Неверная конфигурация облачного хранилища может быстро перерасти в крупное нарушение облачной безопасности для организации и ее клиентов. Существует несколько типов ошибок облака, с которыми сталкиваются предприятия. Некоторые виды неправильных сборов включают:
• AWS Group Group неправильная конфигурация: Группы безопасности AWS несут ответственность за обеспечение безопасности на уровнях доступа к источнику, назначению, порту и протоколу. Они могут быть связаны с экземплярами сервера EC2 и многими другими ресурсами. Неправильная конфигурация в группах безопасности AWS может позволить злоумышленнику получить доступ к вашим облачным серверам и данным Exfiltrate.
• Отсутствие ограничений доступа: Неадекватные ограничения или гарантия, предотвращающие несанкционированный доступ к вашей облачной инфраструктуре, могут подвергнуть ваше предприятие под угрозу. Небезопасное облачное хранилище может привести к тому, что злоумышленники получат доступ к данным, хранящимся в облаке, и загружать конфиденциальные данные, которые могут иметь разрушительные последствия для вашей организации. Первоначально AWS не по умолчанию открылся по умолчанию, и это привело к множеству нарушений данных.
Как предотвратить неправильное хранение облачного хранилища
Когда дело доходит до облачных вычислений, всегда полезно перепроверить конфигурации безопасности облачного хранилища при настройке облачного сервера. Хотя это может показаться очевидным, это может легко упускать из виду другие действия, такие как перемещение данных в облако, не обращая внимания на его безопасность.
Вы также можете использовать специализированные инструменты для проверки конфигураций безопасности облачного хранилища. Эти инструменты облачной безопасности могут помочь вам проверить состояние конфигураций безопасности по расписанию и определить уязвимости, пока не стало слишком поздно.
Управление, кто может создавать и настраивать облачные ресурсы. Многие проблемы облачных вычислений возникли от людей, которые хотят перейти в облако, не понимая, как обеспечить их данные.
2. Небезопасные API
Пользовательские интерфейсы приложения (API) предназначены для оптимизации процессов облачных вычислений. Однако, если оставить небезопасность, API могут открывать линии связи для злоумышленников для использования облачных ресурсов.
По оценкам Gartner, к 2022 году API будет вектором угрозы, используемым более часто злоумышленником для целевых данных предприятия.
Недавнее исследование также показало, что две трети предприятий передают свои API общественности, чтобы внешние разработчики и деловые партнеры могли получить доступ к программным платформам.
Исследование также показало, что организация обычно обрабатывает в среднем 363 API, и почти 61% компаний сообщили, что их бизнес -стратегии полагаются на интеграцию API.
С растущей зависимостью от API, злоумышленники нашли общие способы использования небезопасных API для вредоносных действий, следуют два примера:
• Неадекватная аутентификация: Часто разработчики создают API без надлежащего контроля аутентификации. В результате эти API полностью открыты для Интернета, и любой может использовать их для доступа к корпоративным данным и системам.
• Недостаточно разрешения: Слишком многие разработчики не думают, что злоумышленники увидят вызовы API -вызовов и не ставят соответствующие элементы управления авторизацией. Если это не сделано, компромисс данных бэкэнд тривиальен.
Как предотвратить небезопасные API
Поощряйте разработчиков разработать API с сильной аутентификацией, шифрованием, мониторингом активности и контролем доступа. API должны быть защищены.
Проведите тесты на проникновение, которые повторяют внешнюю атаку, нацеленную на ваши конечные точки API, а также получают безопасный обзор кода. Лучше всего убедиться, что у вас есть безопасный жизненный цикл разработки программного обеспечения (SDLC), чтобы убедиться, что вы постоянно разрабатываете безопасные приложения и API.
Кроме того, рассмотрите возможность использования шифрования SSL/TLS для передачи данных. Реализуйте многофакторную аутентификацию с такими схемами, как одноразовые пароли, цифровые идентификаторы и т. Д., Для обеспечения сильных элементов управления аутентификацией.
3. Потеря или кража интеллектуальной собственности
Интеллектуальная собственность (IP), несомненно, является одним из самых ценных активов организации, а также уязвима для угроз безопасности, особенно если данные хранятся в Интернете.
Анализ показал, что почти 21% файлов, загруженных в облачные сервисы обмена файлами, содержат конфиденциальную информацию, включая IP. Когда эти облачные сервисы нарушаются, злоумышленники могут получить доступ к конфиденциальной информации, хранящейся в них.
Для многих организаций IP — это данные, которые они владеют, а потеря данных означает, что они теряют свой IP. Давайте посмотрим на наиболее распространенные причины потери данных:
• Изменение данных: Когда данные изменяются в некотором смысле, и их нельзя восстановить до его предыдущего состояния, это может привести к потере полной целостности данных и может сделать их бесполезными. • Удаление данных: Злоумышленник может удалить конфиденциальные данные из облачной службы, которая, очевидно, представляет серьезную угрозу безопасности данных для операций организации. • Потеря доступа: Злоумышленники могут хранить информацию для выкупа (атака вымогателей) или зашифровать данные с сильными ключами шифрования, пока они не выполнят свои вредоносные действия. Поэтому важно принять профилактические меры для защиты вашей интеллектуальной собственности и данных в облачной среде.
Как предотвратить потерю или кражу интеллектуальной собственности
Частые резервные копии являются одним из наиболее эффективных способов предотвращения потерь или кражи интеллектуальной собственности. Установите график для регулярных резервных копий и четкое определение того, какие данные имеют право на резервное копирование, а что нет. Рассмотрим использование программного обеспечения для предотвращения потери данных (DLP) для обнаружения и предотвращения несанкционированного перемещения конфиденциальных данных.
Другим решением для предотвращения потерь или кражи данных является шифрование ваших данных и геосивертификации ваших резервных копий. Наличие автономных резервных копий также очень важно, особенно с вымогательными программами.
4. Нарушения соответствия и нормативные действия
Предприятия должны иметь постоянные правила, чтобы определить, кто может получить доступ к тому, какие данные и что они могут с этим сделать.
В то время как облако предлагает выгоду от простоты доступа, оно также представляет риск безопасности, поскольку может быть трудно отслеживать, кто может получить доступ к информации в облаке. Согласно соблюдению или отраслевым нормам, для организаций важно знать подробности о их хранении данных и контроле доступа.
Перемещение ваших приложений в общедоступное облако, безусловно, не гарантирует соблюдение нормативных требований и, как правило, затрудняет соответствие. «Модель общей ответственности», предлагаемая поставщиками услуг, означает, что они владеют облачной безопасностью, вы должны сохранить безопасность данных в облаке.
Мандаты конфиденциальности, такие как CCPA , PCI-DSS и GDPR все Применить к облачным вычислениям, и если ваша компания управляет множеством конфиденциальных данных, таких как PII (личная информация), переход на облачные вычисления может сделать соответствие более важной проблемой.
Как предотвратить нарушения соответствия и нормативные действия
Первый и прежде всего шаг для соответствия в облаке — тщательно проанализировать соглашение о облачном обслуживании и запрос политик безопасности облака и безопасности данных у вашего поставщика услуг.
Стоит отметить, что обязанности по поддержанию облачной безопасности будут зависеть от уровня облачных сервисов, будь то инфраструктура как услуга (IAAS), платформа как услуга (PAAS) или программное обеспечение как услуга (SAAS). Это повлияет на ответственность за безопасность и право собственности как для вашего облачного поставщика, так и для организации.
Убедитесь, что вы внедрили модель для управления доступом, где вы можете увидеть записи о том, какие системы развернуты, и их облачные уровни безопасности. Вот несколько быстрых советов:
• Знайте всех своих пользователей, роли и разрешения доступа. • Иметь четкую личность и иметь возможность отслеживать все активы во всех географических местах и контролировать, какие данные могут быть где. • Поддерживать сильное управление конфигурацией с частым и автоматизированным сканированием шаблонов.
Внедрить план реагирования на инцидент для нарушений, связанных с облачными вычислениями. Таким образом, вы можете быстро идентифицировать и смягчить уязвимости безопасности в случае нарушения облачных данных, или уязвимость подвергается воздействию злоумышленников. Стратегия ответа должна быть хорошо документирована и утверждена в рамках общего плана реагирования на инциденты вашей организации.
5. Потеря контроля над действиями конечного пользователя
Когда компании не знают, как их сотрудники используют услуги облачных вычислений, они могут потерять контроль над своими активами данных и в конечном итоге стать уязвимыми для нарушений и угроз безопасности инсайдеров.
Инсайдерам не нужно прорываться через виртуальные частные сети (VPN), брандмауэры или другие защитные средства, чтобы получить доступ к внутренним данным в облаке предприятия. Они могут непосредственно получить доступ к конфиденциальным данным в облачной инфраструктуре без особых хлопот.
Это может привести к потере интеллектуальной собственности и собственной информации, которая имеет четкие последствия для организации.
Рассматривая потерю контроля над действиями конечного пользователя требует наблюдения, мониторинга, эскалации, анализа после инцидента, исправления, расследования и реагирования на инциденты, которые должны быть интегрированы в план безопасности данных компании.
Как предотвратить потерю контроля Над действиями конечного пользователя
Обеспечить обучение вашим сотрудникам, чтобы научить их, как справляться с уязвимостью безопасности, такими как фишинг и вредоносное ПО. Обучить их облачным вычислениям и о том, как защитить конфиденциальную информацию, которую они несут за пределами организации на своих мобильных устройствах или ноутбуках. Сообщите им о последствиях, связанных со злонамеренной деятельностью.
Обычно аудит серверов в облачной инфраструктуре для определения уязвимостей безопасности данных, которые можно своевременно использовать и исправить их.
Сосредоточьтесь на утвержденных закаленных изображениях, которые регулярно сканируются на предмет рисков безопасности и уязвимостей. Затем разверните новые серверы из этих изображений и постоянно сканируйте для правильной конфигурации и для обнаружения уязвимостей. Сосредоточьтесь на «скот, а не домашних животных». Если сервер уязвим или не соблюдает его, не ремонтируйте его, замените его утвержденным закаленным изображением.
Убедитесь, что привилегированные центральные серверы и системы безопасности доступа ограничены минимальным количеством людей, и что эти сотрудники имеют достаточное обучение для безопасного обращения с административными правами на облачном сервере.
6. Плохое управление доступом
Неправильное управление доступом — это, пожалуй, самый распространенный риск безопасности облачных вычислений. В нарушениях, связанных с веб -приложениями, украденные или потерянные учетные данные были наиболее широко используемым инструментом атакующих в течение нескольких лет.
Управление доступом гарантирует, что люди могут выполнять только те задачи, которые им необходимы. Процесс проверки того, к чему у человека есть доступ, известен как разрешение.
В дополнение к стандартным вопросам управления доступом, страдающими перед организациями, таких как управление распределенной рабочей силой и усталостью пароля пользователя, существует несколько других облачных проблем, с которыми сталкиваются организации, в том числе следующие:
• Неактивные назначенные пользователи • Несколько учетных записей администратора • Неправильное предоставление пользователей и услуг и депрессирование — например, компании, не отменяющие разрешения на доступ к бывшим сотрудникам •
Кроме того, создание ролей и управления привилегиями доступа в облачной инфраструктуре также может быть сложным для предприятий.
Как предотвратить плохое управление доступом
Чтобы бороться с плохим управлением доступом в облачных сервисах, предприятиям необходимо разработать структуру управления данными для учетных записей пользователей. Для всех пользователей людей учетные записи должны быть связаны непосредственно с Службами центрального каталогов, таких как Active Directory, который отвечает за обеспечение, мониторинг и отзыв привилегий доступа из централизованного магазина.
Кроме того, предприятия должны использовать облачные или сторонние инструменты для регулярного составления списков ролей, привилегий, пользователей и групп в средах облачных сервисов. Интерфейс командной строки AWS и PowerShell для Azure могут собирать этот тип данных, а затем команда безопасности может сортировать, хранить и анализировать их.
Организации также должны гарантировать, что в облачных средах существуют механизмы регистрации и мониторинга событий для обнаружения необычной активности или несанкционированных изменений. Ключи доступа должны контролироваться и управлять, чтобы избежать плохой обработки данных или утечки.
7. Контрактные нарушения с клиентами или деловыми партнерами
Контракты в облачных вычислениях несколько сложны. Он часто ограничивает, кто уполномочен получить доступ к данным, как их можно использовать и где и как их можно хранить. Когда сотрудники перемещают ограниченные данные в облако без разрешения, бизнес -договоры могут быть нарушены, и может возникнуть судебные иски.
Например, если ваш поставщик облачных услуг сохраняет право делиться всеми данными, загруженными в облако, с третьими лицами в соответствии с их условиями, они нарушают соглашение о конфиденциальности с вашей компанией.
Это может привести к утечке данных от ваших клиентов, сотрудников и других заинтересованных сторон, которые могли быть загружены в облако.
Как предотвратить нарушения контракта с клиентами или деловыми партнерами
Контракт на облачный сервис должен включать права на проверку, мониторинг и аудиторские отчеты. Таким образом, любой риск безопасности может быть выявлен на ранней стадии, прежде чем он станет проблемой. Компании также должны убедиться, что они не заблокированы в контракте с обслуживанием, а поставщики переключения могут быть плавными упражнениями.
Это означает, что договор об обслуживании должен включать права на прекращение обслуживания для бизнеса (например, изменение контроля, ухудшение обслуживания, нормативные требования, пляж безопасности/конфиденциальности и т. Д.)
Контракт на обслуживание также должно подчеркнуть риск интеллектуальной собственности, так как облачные сервисы могут включать использование IP или других программных прав в соответствии с лицензионным соглашением. Затем организацию можно было бы втянуть в юридический спор, если третья сторона претендует на нарушение поставщика облачных услуг.
Последние мысли
Компании, работающие в облаке, подвергаются предотвратимым, но большему риску, если они не смотрят на снижение рисков, которые с ним связаны. Предприятия должны иметь сильные политики облачной безопасности, которые могут быть хорошо интегрированы в ИТ -процессы, которые команды используют для создания приложений и развертывания в облачной инфраструктуре.
Принятие облачных вычислений изменило способ работы как компаний, так и хакеров. Это принесло много возможностей, а также совершенно новый набор рисков облачной безопасности. Предприятия должны постоянно решать риски и проблемы облачной безопасности, внедряя правильные инструменты безопасности, чтобы облегчить оперативную работу.
Этот пост был первоначально опубликован в CypressDataDefense.com .
Оригинал: «https://dev.to/joywinter90/7-cloud-computing-security-vulnerabilities-and-what-to-do-about-them-2l6g»