Sådan tackles svøben med fejlkonfigurationer i skyen
Indholdsfortegnelse:
Et blotlagt clouddatalager, der indeholder personlige oplysninger om spillere på Australiens fodboldlandshold, understreger den voksende trussel, som skyfejlkonfigurationer udgør. Ifølge IBM, var de årsagen til den første adgang i 11 % af databrud sidste år. Men ved at implementere bedste praksis som regelmæssige sikkerhedsrevisioner, strammere adgangskontrol og kryptering og overholdelse af industristandarder som ISO 27001, kan denne form for risiko afbødes.
Hvad skete der ved Football Australia?
I februar skrev forskere ved Cybernews bekræftet de havde afsløret et datalæk hos Australiens styrende organ for fodbold. Hændelsen var forårsaget af forkert konfigurerede Amazon Web Services (AWS) nøgler og blotlagte 127 følsomme data buckets.
Alarmerende nok havde en af disse containere ingen sikkerhedsforanstaltninger på plads og indeholdt personligt identificerbare oplysninger (PII) såsom kontrakter og pas for spillere på Australiens fodboldlandshold. Andre afslørede data omfattede detaljer om fans, der købte billetter til spil, digital infrastrukturkildekode og scripts og andre oplysninger, der beskriver organisationens infrastruktur. Football Australia hævder at have lukket sikkerhedshullet efter at have modtaget en advarsel fra forskerne.
Cloud Fejlkonfiguration er en epidemi
Det kan være svært for IT-teams med kort bemanding eller overanstrengelse at følge med i det høje tempo i cloud-innovation og sikre, at de tjenester, deres virksomheder bruger, er korrekt konfigureret.
"Skyfejlkonfigurationer er blevet endemiske af forståelige årsager. Cloud-innovationens hæsblæsende tempo har hurtigt øget kompleksiteten,” fortæller Increditools sikkerhedsanalytiker, Kelly Indah, til ISMS.online. “Alene AWS tilbyder over 200 tjenester, hver med flere konfigurationsmuligheder. Mange organisationer har kæmpet for at holde deres interne færdigheder opdaterede midt i denne teknologiske tsunami."
Indah beskriver også selvtilfredsheden hos nogle it-professionelle som en væsentlig årsag til fejlkonfiguration i skyen, og advarer: "Den problemfri lethed i skyen har fået nogle til at undervurdere den omhu, der kræves for at låse miljøer ordentligt ned."
Derudover tror it-professionelle nogle gange fejlagtigt, at cloud-udbyderen er ansvarlig for alle cybersikkerhedsanliggender, ifølge Sean Wright, chef for applikationssikkerhed hos Featurespace.
Virkeligheden er dog, at både leverandører og brugere har et "fælles ansvar" for sikre skyen infrastruktur. Wright fortæller til ISMS.online, at cloud-udbydere typisk håndterer infrastrukturproblemer som hardware, netværk og software, mens brugeren er ansvarlig for at administrere cloud-konti og sikre, at konfigurationer er sikre.
Når folk uden ordentlig uddannelse bruger cloud-platforme, vil der uundgåeligt opstå problemer som fejlkonfigurationer.
"Med så mange tilgængelige tjenester er det nemt at komme galt afsted," argumenterer Wright.
Vance Tran, medstifter af Pointer Clicker, siger, at hurtig cloud-innovation har resulteret i, at leverandører frigiver nye funktioner "hurtigere end virksomheder kan opdatere politikker og uddanne personale".
"Derudover spreder virksomheder ansvar på tværs af mange interessenter uden tilstrækkeligt tilsyn, hvilket gør tilsyn og ansvarlighed for sikkerhedskonfigurationsstyring udfordrende," siger han til ISMS.online.
Forskellige typer fejlkonfiguration
Når det kommer til at løse denne udfordring, bør it- og cybersikkerhedsteams være opmærksomme på flere almindelige cloud-fejlkonfigurationer. Disse inkluderer blotlagte nøgler og legitimationsoplysninger – som i Football Australia – forkert konfigurerede adgangskontroller, åbne porte og firewall-regler og ukrypterede følsomme data i hvile og under transport, siger Pointer Clicker's Tran.
En række sikkerhedsproblemer kan opstå, når it-teams tillader for mange mennesker at få adgang til cloud-tjenester, eller hvis de bruger forældede porte såsom FTP på deres cloud-værter, argumenterer Stephen Pettitt, salgsdirektør for M247. Han siger, at sådanne problemer gør livet for it-professionelle "endnu sværere".
At gøre følsomme data tilgængelige ved et uheld er en tilbagevendende fejlkonfiguration i skyen, ifølge Matt Middleton-Leal, administrerende direktør for EMEA North hos Qualys.
"For eksempel er 31% af AWS S3 buckets offentligt tilgængelige, hvilket udsætter dem for potentielle sikkerhedssårbarheder og angreb," siger han til ISMS.online. "Offentlige S3-bøtter afslører også andre tjenester - for eksempel kan EC2-forekomster og RDS-databaser blive kompromitteret, hvis deres adgangsnøgler, legitimationsoplysninger eller backup-filer er gemt i en usikker S3-bøtte."
Increditools' Indah tilføjer, at almindelige problemer såsom offentligt tilgængelige skylager og manglende håndhævelse af strengere adgangskontrol "tilbyder en åben invitation til cyberkriminelle".
Bedste praksis kan hjælpe
Featurespaces Wright råder organisationer til at sikre, at kun tilstrækkeligt uddannede fagfolk får lov til at bruge cloud-platforme og -tjenester. Hvis dette ikke lykkes, råder han til at oprette et team af eksperter, som kan sikre, at cloudimplementeringen er sikker.
Pointer Clicker's Tran tilføjer, at sikkerhedsmodeller med nul tillid og netværkssegmentering kan afbøde mange fejlkonfigurationsrisici i skyen. Regelmæssig revision af cloud-tjenester for fejlkonfigurationer og brug af automatiserede sikkerhedsværktøjer som Amazon GuardDuty vil også hjælpe sikkerhedsteams med at identificere sårbarheder hurtigt, tilføjer han.
Et andet vigtigt skridt er at sikre, at tværfunktionelle teams forstår delte sikkerhedsmodeller.
"Skyen gør sikkerhed til alles job," argumenterer Tran. "Med den rette kultur og de rigtige processer på plads kan selv små organisationer forblive på toppen af et landskab i konstant forandring."
Vedtagelse af en globalt anerkendt industriramme som ISO 27001 kan også mindske sandsynligheden for cloud-fejlkonfigurationer, ifølge Rob Warcup, en partner hos Leading Edge Cyber. Han fortæller til ISMS.online: "ISO 27001 er en fantastisk ramme til at sikre, at alle baser er dækket, inklusive afsnit '6.2 Informationssikkerhedsbevidsthed, uddannelse og træning' og afsnit 5.1 Politikker for informationssikkerhed."
At tage proaktive skridt som regelmæssige audits, angrebssimuleringer, træning i sikkerhedsbevidsthed, streng adgangskontrol og datakryptering vil gøre det muligt for virksomheder at forhindre fejlkonfigurationer i skyen, ifølge Indah fra Increditools.
"Med årvågenhed og en løbende forpligtelse til bedste praksis for cloud-sikkerhed kan organisationer undgå at lade døren stå åben for datatyveri," hævder hun. "Stram dine skykonfigurationer, før du bliver den næste advarselsfortælling."
Som Football Australia for nylig fandt ud af, kan fejlkonfigurationer i skyen have alvorlige konsekvenser. Regelmæssig kontrol for sikkerhedshuller og overholdelse af brancheanerkendte sikkerhedsstandarder som ISO 27001 bør hjælpe organisationer bedre med at styre risici på tværs af denne hurtigt voksende del af deres virksomhedsangrebsoverflade.
