Hoe om die plaag van wolk-wankonfigurasies aan te pak
INHOUDSOPGAWE:
’n Ontblote wolkdatastoor wat die persoonlike inligting bevat van spelers van Australië se nasionale sokkerspan onderstreep die groeiende bedreiging wat deur wolkwankonfigurasies inhou. Volgens IBM, was hulle die oorsaak van aanvanklike toegang in 11% van data-oortredings verlede jaar. Maar deur die implementering van beste praktyke soos gereelde sekuriteitsoudits, strenger toegangskontroles en enkripsie, en die nakoming van industriestandaarde soos ISO 27001, kan hierdie soort risiko versag word.
Wat het by Football Australia gebeur?
In Februarie het navorsers by Cybernews bevestig hulle het 'n datalek by Australië se beheerliggaam vir sokker ontdek. Die voorval is veroorsaak deur onbehoorlik gekonfigureerde Amazon Web Services (AWS)-sleutels en het 127 sensitiewe data-emmers blootgelê.
Onrusbarend genoeg het een van hierdie houers geen veiligheidsmaatreëls in plek gehad nie en het persoonlik identifiseerbare inligting (PII) soos die kontrakte en paspoorte van spelers op Australië se nasionale sokkerspan bevat. Ander blootgestelde data sluit in die besonderhede van aanhangers wat kaartjies vir speletjies gekoop het, digitale infrastruktuur-bronkode en skrifte, en ander inligting wat die organisasie se infrastruktuur uiteensit. Football Australia beweer dat hulle die sekuriteitsgaping gesluit het nadat hulle 'n waarskuwing van die navorsers ontvang het.
Wolk wankonfigurasie is 'n epidemie
Dit kan moeilik wees vir IT-spanne met kort personeel of oorwerk om tred te hou met die vinnige pas van wolkinnovasie, en te verseker dat die dienste wat hul maatskappye gebruik, behoorlik opgestel is.
“Wolk-wankonfigurasies het om verstaanbare redes endemies geword. Die yslike tempo van wolkinnovasie het die kompleksiteit vinnig verhoog,” vertel Increditools-sekuriteitsontleder, Kelly Indah, aan ISMS.online. “AWS alleen bied meer as 200 dienste, elk met verskeie konfigurasie-opsies. Baie organisasies het gesukkel om hul interne vaardighede op datum te hou te midde van hierdie tegnologie-tsoenami.”
Indah beskryf ook die selfvoldaanheid van sommige IT-professionele persone as 'n groot oorsaak van wolkwanopstelling, en waarsku: "Die naatlose gemak van die wolk het daartoe gelei dat sommige die sorg wat nodig is om omgewings behoorlik toe te sluit, onderskat het."
Boonop glo IT-professionals soms verkeerdelik dat die wolkverskaffer verantwoordelik is vir alle kubersekuriteitsake, volgens Sean Wright, hoof van toepassingsekuriteit by Featurespace.
Die realiteit is egter dat verkopers en gebruikers albei 'n "gedeelde verantwoordelikheid" het vir wolk te beveilig infrastruktuur. Wright vertel aan ISMS.online dat wolkverskaffers tipies infrastruktuurkwessies soos hardeware, netwerke en sagteware hanteer, terwyl die gebruiker verantwoordelik is vir die bestuur van wolkrekeninge en om te verseker dat konfigurasies veilig is.
Wanneer mense sonder behoorlike opleiding wolkplatforms gebruik, sal probleme soos wankonfigurasies onvermydelik ontstaan.
"Met soveel dienste beskikbaar, is dit maklik om dinge verkeerd te kry," voer Wright aan.
Vance Tran, medestigter van Pointer Clicker, sê vinnige wolkinnovasie het daartoe gelei dat verkopers nuwe kenmerke vrystel "vinniger as wat maatskappye beleid kan opdateer en personeel kan oplei".
"Boonop versprei ondernemings verantwoordelikhede oor baie belanghebbendes sonder voldoende toesig, wat toesig en aanspreeklikheid vir sekuriteitkonfigurasiebestuur uitdagend maak," sê hy aan ISMS.online.
Verskillende tipes wankonfigurasie
Wanneer dit kom by die aanspreek van hierdie uitdaging, moet IT- en kuberveiligheidspanne bewus wees van verskeie algemene wolk-wankonfigurasies. Dit sluit in ontblote sleutels en geloofsbriewe – soos in Football Australia – onbehoorlik gekonfigureerde toegangskontroles, ooppoort- en brandmuurreëls, en ongeënkripteerde sensitiewe data tydens rus en tydens vervoer, sê Pointer Clicker se Tran.
’n Reeks sekuriteitskwessies kan ontstaan wanneer IT-spanne te veel mense toelaat om toegang tot wolkdienste te kry, of as hulle verouderde poorte soos FTP op hul wolkgashere gebruik, argumenteer Stephen Pettitt, verkoopsdirekteur van M247. Hy sê sulke kwessies maak die lewens van IT-professionele persone “nog moeiliker”.
Om sensitiewe data per ongeluk vir enigiemand toeganklik te maak, is 'n herhalende wolk-wanopstelling, volgens Matt Middleton-Leal, besturende direkteur van EMEA North by Qualys.
"Byvoorbeeld, 31% van AWS S3-emmers is publiek toeganklik, wat hulle blootstel aan potensiële sekuriteitskwesbaarhede en aanvalle," sê hy aan ISMS.online. "Openbare S3-emmers stel ook ander dienste bloot – byvoorbeeld, EC2-gevalle en RDS-databasisse kan in gevaar gestel word as hul toegangsleutels, geloofsbriewe of rugsteunlêers in 'n onveilige S3-emmer gestoor word."
Increditools se Indah voeg by dat algemene kwessies soos publiek toeganklike wolkbergingsemmers en versuim om strenger toegangskontroles af te dwing, "'n oop uitnodiging aan kubermisdadigers bied".
Beste praktyke kan help
Featurespace se Wright raai organisasies aan om te verseker dat slegs voldoende opgeleide professionele persone toegelaat word om wolkplatforms en -dienste te gebruik. As dit misluk, raai hy aan om 'n span kundiges saam te stel wat kan verseker dat wolkimplementering veilig is.
Pointer Clicker se Tran voeg by dat zero-trust sekuriteitsmodelle en netwerksegmentering baie wolk wankonfigurasie risiko's kan versag. Gereelde ouditering van wolkdienste vir wankonfigurasies en die gebruik van outomatiese sekuriteitsinstrumente soos Amazon GuardDuty sal ook sekuriteitspanne help om kwesbaarhede vinnig te identifiseer, voeg hy by.
Om te verseker dat kruisfunksionele spanne gedeelde sekuriteitsmodelle verstaan, is nog 'n belangrike stap.
“Die wolk maak sekuriteit almal se werk,” voer Tran aan. "Met die regte kultuur en prosesse in plek, kan selfs klein organisasies op die hoogte bly van 'n voortdurend veranderende landskap."
Die aanvaarding van 'n wêreldwye erkende bedryfsraamwerk soos ISO 27001 kan ook die waarskynlikheid van wolk wankonfigurasies verminder, volgens Rob Warcup, 'n vennoot by Leading Edge Cyber. Hy sê aan ISMS.online: "ISO 27001 is 'n wonderlike raamwerk om te verseker dat alle basisse gedek word, insluitend afdeling '6.2 Inligtingsekuriteitsbewustheid, Onderwys en Opleiding', en afdeling 5.1 Beleide vir Inligtingsekuriteit."
Deur proaktiewe stappe te neem soos gereelde oudits, aanvalsimulasies, opleiding in sekuriteitsbewustheid, streng toegangskontroles en data-enkripsie sal ondernemings in staat stel om te keer dat wolkwankonfigurasies plaasvind, volgens Indah van Increditools.
"Met waaksaamheid en 'n deurlopende verbintenis tot die beste praktyke vir wolksekuriteit, kan organisasies vermy om die deure wyd oop te laat vir datadiefstal," beweer sy. "Verskerp jou wolkkonfigurasies voordat jy die volgende waarskuwingsverhaal word."
Soos Football Australia onlangs uitgevind het, kan wolkwankonfigurasies ernstige gevolge hê. Gereelde kontrole vir sekuriteitsgapings en nakoming van industrie-erkende sekuriteitstandaarde soos ISO 27001 behoort organisasies te help om risiko oor hierdie vinnig groeiende deel van hul korporatiewe aanvaloppervlak beter te bestuur.
