Bezpieczeństwo chmury: wystarczy prosty błąd, by być narażonym na ataki
Dzięki nowemu hybrydowemu modelowi pracy obserwujemy, jak organizacje coraz częściej przenoszą swój “workload” do chmury. Transformacja ta zapewnia ogromne korzyści w zakresie elastyczności i skalowalności, ale wiąże się z nieodłącznym i zwiększonym ryzykiem bezpieczeństwa i zgodności. Prosty błąd konfiguracji może spowodować, że cała organizacja będzie narażona na zagrożenia ze strony hakerów, którzy - aby uzyskać dostęp do zasobów krytycznych - nie będą zmuszeni włamywać się do centrum danych.
2022-03-18, 12:37

Gartner przewiduje, że do 2025 r. 99% problemów związanych z bezpieczeństwem chmury będzie wynikiem błędu ludzkiego, popełnionego podczas konfigurowania zasobów i zabezpieczeń w chmurze. W czasach, gdy organizacje stają się coraz bardziej zależne od zewnętrznych dostawców chmury (również w kwestii bezpieczeństwa danych), takich jak AWS, Microsoft Azure, IBM i Google Cloud Platform, obawy związane z błędną konfiguracją i innymi lukami w chmurze mogą szybko się nasilać. Co więcej, w ciągu ostatnich dwóch lat wiele organizacji, uznających się za zagrożone, musiało przyspieszyć swoje procesy transformacji cyfrowej, co spowodowało luki w wiedzy oraz zasobach, które tylko pogłębiają obawy związane z bezpieczeństwem chmury.

 

W ramach modelu współodpowiedzialności — struktury bezpieczeństwa zaprojektowanej w celu zapewnienia odpowiedzialności za zagrożone dane i inne incydenty — dostawca chmury będzie oferować podstawowe zabezpieczenia, jednak to same firmy muszą zadbać o bezpieczeństwo własnych danych w chmurze. Innymi słowy, jeśli dostawcy usług w chmurze zapewniają, że „bramy miasta są zamknięte”, a teren jest dobrze strzeżony, to firmy nadal muszą zadbać o to, aby ich własne „drzwi do domostw” były zamknięte. To nie lada wyczyn, biorąc pod uwagę, że wiele dużych przedsiębiorstw polega obecnie na trzech lub czterech platformach chmurowych w ramach strategii wielu chmur.

 

Nasilają się ataki na dostawców usług w chmurze

 

Jak wskazano w Raporcie Bezpieczeństwa 2022 firmy Check Point Software, w ubiegłym roku nastąpiła fala ataków, które wykorzystują luki w usługach wiodących w branży dostawców usług w chmurze. Dla zaangażowanych cyberprzestępców ostatecznym celem jest uzyskanie pełnej kontroli nad infrastrukturą chmury organizacji lub, co gorsza, całym zapleczem IT organizacji, w tym jej własnymi kodami czy danymi klientów. Nie trzeba dodawać, że może to mieć niszczący wpływ na dotknięte firmy i mają rację, że się martwią.

 

Rodzaje luk czy wad bezpieczeństwa, o których tutaj mówimy, nie są błędami logicznymi lub opartymi na uprawnieniach, wywodzącymi się z polityki kontroli organizacji, które mogą być wykorzystywane przez cyberprzestępców do uzyskania nieautoryzowanego dostępu i eskalacji uprawnień. Te mogły by być przynajmniej jednoznacznie wskazane i rozwiązane. Wady te są zwykle krytycznymi lukami w samej infrastrukturze chmury, przed którymi może być znacznie trudniej się zabezpieczyć.

 

Weźmy na przykład lukę OMIGOD, która otworzyła furtkę dla ataków na usługi w chmurze w 2021 r. We wrześniu wykryto cztery krytyczne luki w agencie oprogramowania Microsoft Azure, który umożliwiał użytkownikom zarządzanie konfiguracjami w środowiskach zdalnych i lokalnych. Szacuje się, że ten exploit zagrażał 65% baz klientów platformy Azure, narażając na niebezpieczeństwo tysiące organizacji i miliony urządzeń końcowych. Dzięki luce OMIGOD cyberprzestępcy byli w stanie zdalnie wykonać dowolny kod w sieci organizacji i eskalować uprawnienia administratora, skutecznie przejmując sieć. W ramach aktualizacji z września 2021 r. firma Microsoft rozwiązała problem, ale wydana przez nią automatyczna poprawka wydawała się nieskuteczna przez kilka kolejnych dni. W ciągu roku w usługach chmurowych Microsoft Azure ujawniono kolejne luki, w tym „ChaosDB”, która umożliwiła cyberprzestępcom odzyskanie kilku kluczy wewnętrznych, wykorzystywanych do uzyskania uprawnień administratora, które ostatecznie umożliwiłyby im zarządzanie bazami danych i kontami atakowanych organizacji. Wśród firm, które były narażone na te szczególne „otwarte drzwi”, znalazły się Coca-Cola, Skype, a nawet specjalizująca się w bezpieczeństwie firma Symantec.

 

Prawdopodobnie w 2022 r. pojawi się znacznie więcej podatności w zabezpieczeniach dostawców chmury, ale na szczęście istnieją możliwości będące pod kontrolą firm, które mogą zmniejszyć ryzyko.

 

 

Zamykanie drzwi i wzmacnianie bezpieczeństwa wewnętrznego

 

Zwiększenie zabezpieczeń chmury to nie tylko posiadanie odpowiednich produktów i usług, ale także pielęgnowanie „mentalności bezpieczeństwa” w całej organizacji. Niezależnie od tego, co mówi umowa dotycząca poziomu usług między organizacją a dostawcą chmury, to na organizacji ostatecznie spoczywa obowiązek zapewnienia ochrony dokumentacji klientów i innych ważnych danych.

 

Dlatego przed przeniesieniem do chmury obciążeń o znaczeniu krytycznym organizacje muszą upewnić się, że „drzwi” do ich aplikacji i danych są odpowiednio zatrzaśnięte. Oznacza to precyzyjne dostrojenie zarządzania tożsamością i dostępem, wdrożenie zasady „najmniejszych uprawnień”, tak aby dostęp do danych mieli tylko ludzie i aplikacje na zasadzie ścisłej potrzeby wiedzy. Oznacza to również lepszą segmentację sieci i wykorzystanie technologii firewall w celu zapewnienia, że wrażliwe dane mogą być odpowiednio „silosowane” i chronione w razie potrzeby.

 

Bezpieczeństwo w chmurze jest złożone, a w środowiskach z wieloma chmurami staje się jeszcze bardziej złożone. Warto więc pomyśleć o skonsolidowaniu wszystkich zabezpieczeń chmur różnych dostawców w jedno rozwiązanie, które monitoruje wszystkie złośliwe działania i zmniejsza obciążenie poprzez automatyzację typowych zadań, takich jak aktualizacje zasad. W idealnym świecie oznaczałoby to podejście „jednej szyby” do zarządzania bezpieczeństwem wszystkich zasobów w chmurze, dzięki czemu można uważniej przyglądać się incydentom związanym z bezpieczeństwem i skoncentrować wysiłki na tych, które budzą największe obawy.

 

Każde rozwiązanie bezpieczeństwa w chmurze jest tak dobre, jak stojący za nim silnik analizy, więc należy zapytać dostawcę, w jaki sposób radzi sobie z pojawiającymi się zagrożeniami i zagrożeniami typu zero-day. Przykładowo firma Check Point Software dysponuje rozwiązaniem ThreatCloud, które monitoruje miliony węzłów sieciowych na całym świecie i wykorzystuje ponad 30 technologii sztucznej inteligencji do identyfikowania zagrożeń w czasie rzeczywistym, dzięki czemu można je zablokować, zanim dostaną się do chmury, a nawet do sieci lokalnej lub użytkownika końcowego urządzenia.

 

Dodatkowo należy wprowadzić zabezpieczenia na najwcześniejszym etapie tworzenia aplikacji. Nie chcemy, aby kontrole bezpieczeństwa nadmiernie spowalniały DevOps i opóźniały wdrażanie aplikacji, ale równie dobrze nie możemy sobie pozwolić na cięcia w zakresie bezpieczeństwa. Podejście DevSecOps, które pozwala skanować kod pod kątem błędnych konfiguracji, a nawet złośliwego oprogramowania w ramach procesu DevOps, zapewni, że nie „upieczemy” podatności już na samym początku.

 

Przejście na chmurę może tylko przyspieszyć, gdy organizacje zdadzą sobie sprawę z korzyści, jakie przynosi ona w zakresie przewagi konkurencyjnej, elastyczności i odporności. Nadszedł też czas, aby przyjąć odpowiedzialne podejście do bezpieczeństwa i zgodności oraz wdrożyć je w chmurze. Jest to trudne i złożone zadanie, ale dobrą wiadomością jest to, że istnieją rozwiązania, które mogą nam w tym pomóc - nie tylko zabezpieczają sieć chmurową, ale także - dzięki wykorzystaniu sztucznej inteligencji i automatyzacji - zmniejszają nakład pracy związany z wykrywaniem i zapobieganiem zagrożeniom, nawet tym, które dopiero zostaną opracowane. Wreszcie, można to zrobić szybko, bo… wszystko jest w chmurze!

KONTAKT / AUTOR
Wojciech Głażewski
POBIERZ JAKO WORD
Pobierz .docx
Business News
Biuro prasowe dostarcza WhitePress
Copyright © 2015-2024.  Dla dziennikarzy
Strona, którą przeglądasz jest dedykowaną podstroną serwisu biuroprasowe.pl, administrowaną w zakresie umieszczanych na niej treści przez danego użytkownika usługi Wirtualnego biura prasowego, oferowanej przez WhitePress sp. z o.o. z siedzibą w Bielsku–Białej.

WhitePress sp. z o.o. nie ponosi odpowiedzialności za treści oraz odesłania do innych stron internetowych zamieszczone na podstronach serwisu przez użytkowników Wirtualnego biura prasowego lub zaciągane bezpośrednio z innych serwisów, zgodnie z wybranymi przez tych użytkowników ustawieniami.

W przypadku naruszenia przez takie treści przepisów prawa, dóbr osobistych osób trzecich lub innych powszechnie uznanych norm, podmiotem wyłącznie odpowiedzialnym za naruszenie jest dany użytkownik usługi, który zamieścił przedmiotową treść na dedykowanej podstronie serwisu.