Hvordan takle svøpen med feilkonfigurasjoner i skyen
Innholdsfortegnelse:
Et åpent nettskydatalager som inneholder personopplysningene til spillere på Australias fotballag understreker den økende trusselen fra skyfeilkonfigurasjoner. I følge IBM, var de årsaken til den første tilgangen i 11 % av datainnbruddene i fjor. Men ved å implementere beste praksis som regelmessige sikkerhetsrevisjoner, strammere tilgangskontroller og kryptering, og overholde industristandarder som ISO 27001, kan denne typen risiko reduseres.
Hva skjedde i Football Australia?
I februar, forskere ved Cybernews bekreftet de hadde avdekket en datalekkasje ved Australias styrende organ for fotball. Hendelsen var forårsaket av feil konfigurerte Amazon Web Services (AWS)-nøkler og avdekket 127 sensitive databøtter.
Alarmerende nok hadde en av disse containerne null sikkerhetstiltak på plass og inneholdt personlig identifiserbar informasjon (PII) som kontrakter og pass til spillere på Australias fotballag. Andre eksponerte data inkluderte detaljene om fans som kjøpte billetter til spill, digital infrastrukturkildekode og skript, og annen informasjon som beskriver organisasjonens infrastruktur. Football Australia hevder å ha lukket sikkerhetshullet etter å ha mottatt et varsel fra forskerne.
Feilkonfigurering av skyen er en epidemi
Det kan være vanskelig for lite ansatte eller overarbeidede IT-team å holde tritt med det raske tempoet i skyinnovasjon, og sikre at tjenestene deres bedrifter bruker er riktig konfigurert.
"Feilkonfigurasjoner i skyen har blitt endemiske av forståelige grunner. Det rasende tempoet innen skyinnovasjon har raskt økt kompleksiteten, sier Increditools sikkerhetsanalytiker, Kelly Indah, til ISMS.online. "AWS alene tilbyr over 200 tjenester, hver med flere konfigurasjonsalternativer. Mange organisasjoner har slitt med å holde sine interne ferdigheter oppdatert midt i denne teknologiske tsunamien.»
Indah beskriver også selvtilfredsheten til enkelte IT-fagfolk som en hovedårsak til feilkonfigurering av skyen, og advarer: "Den sømløse enkle skyen har ført til at noen har undervurdert omsorgen som kreves for å låse ned miljøer på riktig måte."
I tillegg tror IT-fagfolk noen ganger feilaktig at skyleverandøren er ansvarlig for alle cybersikkerhetssaker, ifølge Sean Wright, leder for applikasjonssikkerhet i Featurespace.
Realiteten er imidlertid at både leverandører og brukere har et "delt ansvar" for sikre skyen infrastruktur. Wright sier til ISMS.online at skyleverandører vanligvis håndterer infrastrukturproblemer som maskinvare, nettverk og programvare, mens brukeren er ansvarlig for å administrere skykontoer og sørge for at konfigurasjonene er sikre.
Når folk uten riktig opplæring bruker skyplattformer, vil problemer som feilkonfigurasjoner uunngåelig oppstå.
"Med så mange tjenester tilgjengelig, er det lett å få ting galt," hevder Wright.
Vance Tran, medgründer av Pointer Clicker, sier rask innovasjon i skyen har resultert i at leverandører har gitt ut nye funksjoner «raskere enn bedrifter kan oppdatere retningslinjer og lære opp ansatte».
"I tillegg sprer bedrifter ansvar på tvers av mange interessenter uten tilstrekkelig tilsyn, noe som gjør tilsyn og ansvarlighet for administrasjon av sikkerhetskonfigurasjon utfordrende," sier han til ISMS.online.
Ulike typer feilkonfigurasjon
Når det gjelder å takle denne utfordringen, bør IT- og cybersikkerhetsteam være oppmerksomme på flere vanlige feilkonfigurasjoner i skyen. Disse inkluderer eksponerte nøkler og legitimasjon – i henhold til Football Australia – feilkonfigurerte tilgangskontroller, åpne porter og brannmurregler og ukrypterte sensitive data i hvile og under transport, sier Pointer Clicker's Tran.
En rekke sikkerhetsproblemer kan oppstå når IT-team lar for mange mennesker få tilgang til skytjenester, eller hvis de bruker utdaterte porter som FTP på skyvertene sine, argumenterer Stephen Pettitt, salgsdirektør i M247. Han sier at slike problemer gjør livene til IT-fagfolk «enda vanskeligere».
Å ved et uhell gjøre sensitive data tilgjengelige for hvem som helst er en tilbakevendende feilkonfigurasjon i skyen, ifølge Matt Middleton-Leal, administrerende direktør for EMEA North hos Qualys.
"For eksempel er 31 % av AWS S3-bøttene offentlig tilgjengelige, noe som utsetter dem for potensielle sikkerhetssårbarheter og angrep," sier han til ISMS.online. "Offentlige S3-bøtter avslører også andre tjenester - for eksempel kan EC2-forekomster og RDS-databaser bli kompromittert hvis tilgangsnøkler, legitimasjon eller sikkerhetskopifiler er lagret i en usikker S3-bøtte."
Increditools' Indah legger til at vanlige problemer som offentlig tilgjengelige skylagringsbøtter og unnlatelse av å håndheve strengere tilgangskontroller, "tilbyr en åpen invitasjon til nettkriminelle".
Beste praksis kan hjelpe
Featurespaces Wright råder organisasjoner til å sikre at bare tilstrekkelig utdannede fagfolk får lov til å bruke skyplattformer og tjenester. Hvis dette ikke lykkes, anbefaler han å sette opp et team med eksperter som kan sikre at skyimplementeringen er sikker.
Pointer Clicker's Tran legger til at null-tillit-sikkerhetsmodeller og nettverkssegmentering kan redusere mange feilkonfigurasjonsrisikoer i skyen. Regelmessig revisjon av skytjenester for feilkonfigurasjoner og bruk av automatiserte sikkerhetsverktøy som Amazon GuardDuty vil også hjelpe sikkerhetsteam med å identifisere sårbarheter raskt, legger han til.
Å sikre tverrfunksjonelle team forstår delte sikkerhetsmodeller er et annet viktig skritt.
"Skyen gjør sikkerhet til alles jobb," hevder Tran. "Med riktig kultur og prosesser på plass, kan selv små organisasjoner holde seg på toppen av et landskap i stadig endring."
Vedta et globalt anerkjent industrirammeverk som ISO 27001 kan også redusere sannsynligheten for skyfeilkonfigurasjoner, ifølge Rob Warcup, en partner hos Leading Edge Cyber. Han sier til ISMS.online: "ISO 27001 er et flott rammeverk for å sikre at alle baser er dekket, inkludert avsnitt '6.2 Informasjonssikkerhetsbevissthet, utdanning og opplæring' og avsnitt 5.1 Retningslinjer for informasjonssikkerhet."
Å ta proaktive skritt som vanlige revisjoner, angrepssimuleringer, opplæring i sikkerhetsbevissthet, strenge tilgangskontroller og datakryptering vil gjøre det mulig for bedrifter å stoppe skyfeilkonfigurasjoner, ifølge Indah fra Increditools.
"Med årvåkenhet og en kontinuerlig forpliktelse til beste praksis for skysikkerhet, kan organisasjoner unngå å la dørene stå åpne for datatyveri," hevder hun. "Stram opp skykonfigurasjonene dine før du blir den neste advarende historien."
Som Football Australia nylig fant ut, kan feilkonfigurasjoner i skyen få alvorlige konsekvenser. Regelmessige kontroller for sikkerhetshull og overholdelse av industrianerkjente sikkerhetsstandarder som ISO 27001 bør hjelpe organisasjoner bedre å håndtere risiko på tvers av denne raskt voksende delen av bedriftens angrepsoverflate.
