Kuinka torjua pilvivirheiden vitsaus

Paljastettu pilvitietovarasto, joka sisältää Australian jalkapallomaajoukkueen pelaajien henkilökohtaisia ​​tietoja, korostaa pilvivirheiden aiheuttamaa kasvavaa uhkaa. Mukaan IBM, ne aiheuttivat ensimmäisen käyttöoikeuden 11 prosentissa viime vuoden tietomurroista. Mutta ottamalla käyttöön parhaat käytännöt, kuten säännölliset tietoturvatarkastukset, tiukempi pääsynvalvonta ja salaus sekä noudattamalla alan standardeja, kuten ISO 27001, tällaista riskiä voidaan pienentää.

Mitä tapahtui Football Australiassa?

Helmikuussa Cybernewsin tutkijat vahvistettu he olivat paljastaneet tietovuodon Australian jalkapallon hallintoelimessä. Tapahtuman aiheutti väärin määritetyt Amazon Web Services (AWS) -avaimet ja paljastivat 127 arkaluontoista tietosäilöä.

Hälyttävästi yhdessä näistä konteista ei ollut suojatoimia, ja se sisälsi henkilökohtaisia ​​​​tietoja (PII), kuten Australian jalkapallomaajoukkueen pelaajien sopimuksia ja passeja. Muita paljastuneita tietoja olivat tiedot faneista, jotka ostivat lippuja peleihin, digitaalisen infrastruktuurin lähdekoodia ja käsikirjoituksia sekä muuta tietoa organisaation infrastruktuurista. Football Australia väittää sulkeneensa turvaaukon saatuaan hälytyksen tutkijoilta.

Pilven määritysvirhe on epidemia

Vähäisen henkilöstön tai ylityöllistettyjen IT-tiimien voi olla vaikea pysyä pilvi-innovaatioiden nopeassa tahdissa ja varmistaa, että heidän yritystensä käyttämät palvelut on määritetty oikein.

"Pilvivirheistä on tullut yleisiä ymmärrettävistä syistä. Pilvi-innovaatioiden huima vauhti on lisännyt nopeasti monimutkaisuutta", Increditoolsin tietoturva-analyytikko Kelly Indah kertoo ISMS.onlinelle. "Pelkästään AWS tarjoaa yli 200 palvelua, joista jokaisessa on useita konfigurointivaihtoehtoja. Monet organisaatiot ovat kamppailleet pitääkseen omat taitonsa ajan tasalla tämän teknologiatsunamin keskellä."

Indah kuvailee myös joidenkin IT-ammattilaisten omahyväisyyttä pääasiallisena syynä pilven väärinmääritykseen ja varoittaa: "Pilven saumaton helppous on johtanut siihen, että jotkut aliarvioivat ympäristön asianmukaisen lukitsemisen edellyttämää huolellisuutta."

Lisäksi IT-ammattilaiset uskovat joskus virheellisesti, että pilvipalveluntarjoaja on vastuussa kaikista kyberturvallisuusasioista, Sean Wrightin, sovellusturvallisuusjohtajan Featuresspacen mukaan.

Tosiasia on kuitenkin, että sekä myyjillä että käyttäjillä on "jaettu vastuu". pilven turvaaminen infrastruktuuria. Wright kertoo ISMS.online-sivustolle, että pilvipalveluntarjoajat käsittelevät yleensä infrastruktuuri-ongelmia, kuten laitteistoja, verkkoja ja ohjelmistoja, kun taas käyttäjä on vastuussa pilvitilien hallinnasta ja kokoonpanojen turvallisuuden varmistamisesta.

Kun ihmiset, joilla ei ole asianmukaista koulutusta, käyttävät pilvialustoja, ongelmia, kuten virheellisiä konfiguraatioita, syntyy väistämättä.

"Kun palveluita on niin paljon, on helppoa mennä pieleen", Wright väittää.

Pointer Clickerin perustaja Vance Tran sanoo, että nopea pilvi-innovaatio on johtanut siihen, että myyjät ovat julkaisseet uusia ominaisuuksia "nopeammin kuin yritykset voivat päivittää käytäntöjä ja kouluttaa henkilökuntaa".

"Lisäksi yritykset jakavat vastuut monien sidosryhmien kesken ilman riittävää valvontaa, mikä tekee tietoturvakonfiguraatioiden hallinnan valvonnasta ja vastuuvelvollisuudesta haastavaa", hän kertoo ISMS.online-sivustolle.

Eri tyyppiset virheelliset konfiguraatiot

Tähän haasteeseen tarttuessaan IT- ja kyberturvatiimien tulisi olla tietoisia useista yleisistä pilvipalveluiden virhemäärityksistä. Näitä ovat muun muassa paljastetut avaimet ja tunnistetiedot – kuten Football Australiassa – väärin määritetyt pääsynhallintalaitteet, avoimet portti- ja palomuurisäännöt sekä salaamattomat arkaluontoiset tiedot lepotilassa ja siirron aikana, Pointer Clicker's Tran kertoo.

Useita tietoturvaongelmia voi syntyä, kun IT-tiimit sallivat liian monien ihmisten käyttää pilvipalveluita tai jos he käyttävät vanhentuneita portteja, kuten FTP, pilviisännissään, väittää Stephen Pettitt, M247:n myyntijohtaja. Hänen mukaansa tällaiset ongelmat tekevät IT-ammattilaisten elämästä "jopa vaikeampaa".

Arkaluonteisten tietojen saattaminen kenen tahansa saataville vahingossa on toistuvaa pilvimääritysvirhettä, sanoo Matt Middleton-Leal, Qualysin pohjoisen EMEA-alueen toimitusjohtaja.

"Esimerkiksi 31 % AWS S3 -säilöistä on julkisesti saatavilla, mikä altistaa ne mahdollisille tietoturva-aukoille ja hyökkäyksille", hän kertoo ISMS.online-sivustolle. "Julkiset S3-säihöt paljastavat myös muita palveluita – esimerkiksi EC2-esiintymät ja RDS-tietokannat voivat vaarantua, jos niiden pääsyavaimet, valtuustiedot tai varmuuskopiotiedostot tallennetaan suojaamattomaan S3-säilöyn."

Increditoolsin Indah lisää, että yleiset ongelmat, kuten julkisesti saatavilla olevat pilvitallennustilat ja tiukempien pääsynrajoitusten täytäntöönpanon epäonnistuminen, "tarjoavat avoimen kutsun kyberrikollisille".

Parhaat käytännöt voivat auttaa

Featuresspacen Wright neuvoo organisaatioita varmistamaan, että vain riittävän koulutetut ammattilaiset saavat käyttää pilvialustoja ja -palveluita. Jos tämä ei onnistu, hän neuvoo perustamaan asiantuntijaryhmän, joka voi varmistaa pilvipalvelun turvallisuuden.

Pointer Clicker's Tran lisää, että nollaluottamustietoturvamallit ja verkon segmentointi voivat lieventää monia pilvimääritysten väärinkäytön riskejä. Hän lisää, että pilvipalveluiden säännöllinen auditointi virheellisten määritysten varalta ja automaattisten suojaustyökalujen, kuten Amazon GuardDutyn, käyttö auttaa myös tietoturvatiimejä tunnistamaan haavoittuvuudet nopeasti.

Toinen tärkeä askel on varmistaa, että moniammatilliset tiimit ymmärtävät jaetut tietoturvamallit.

"Pilvi tekee turvallisuudesta kaikkien työtä", Tran väittää. "Oikean kulttuurin ja prosessien avulla pienetkin organisaatiot voivat pysyä jatkuvasti muuttuvan maiseman päällä."

Otetaan käyttöön maailmanlaajuisesti tunnustettu toimialakehys, kuten ISO 27001 Leading Edge Cyberin yhteistyökumppanin Rob Warcupin mukaan se voi myös vähentää pilvivirheiden todennäköisyyttä. Hän kertoo ISMS.online-sivustolle: "ISO 27001 on loistava kehys sen varmistamiseksi, että kaikki perusteet on katettu, mukaan lukien osio "6.2 Tietoturvatietoisuus, koulutus ja koulutus" ja osio 5.1 Tietoturvakäytännöt."

Increditoolsin Indah mukaan ottamalla ennakoivia toimia, kuten säännöllisiä auditointeja, hyökkäyssimulaatioita, turvallisuustietoisuuskoulutusta, tiukkaa pääsynhallintaa ja tietojen salausta, yritykset voivat estää pilven virheelliset konfiguraatiot.

"Valppaana ja jatkuvalla sitoutumisella pilviturvallisuuden parhaisiin käytäntöihin organisaatiot voivat välttää ovien jättämisen auki datavarkauksille", hän väittää. "Tiukkaa pilvikokoonpanojasi, ennen kuin sinusta tulee seuraava varoitustarina."

Kuten Football Australia äskettäin havaitsi, pilvivirheillä voi olla vakavia seurauksia. Säännölliset tietoturva-aukkojen tarkastukset ja alan tunnustettujen turvallisuusstandardien, kuten ISO 27001, noudattaminen auttavat organisaatioita hallitsemaan riskejä paremmin tällä nopeasti kasvavalla yrityksen hyökkäyspinnan alueella.