Vähiten vastustuskyvyn tie: Miksi syvyyssuuntainen puolustus on paras vastaus pilviuhkiin

Uhkatoimijat ovat todella kekseliäitä. Kun he huomaavat tietyn reitin olevan estetty, he eivät luovuta. Sen sijaan he yksinkertaisesti etsivät toista. Katso vaikka Googlen uusinta... Cloud Threat Horizons -raportti vuoden 2026 ensimmäiselle puoliskolle. Google Cloud on rakentanut alustalleen vankan joukon parhaita käytäntöjä minimoimaan identiteetin vaarantumisen ja väärinkäytön mahdollisuudet. Mitä pahikset sitten tekivät vuoden 2025 jälkipuoliskolla? He yksinkertaisesti vaihtoivat alkuperäiset käyttöoikeuspyrkimyksensä tunnistetietojen vaarantamisesta haavoittuvuuksien hyödyntämiseen.

Se on yksi raportin mielenkiintoisista näkemyksistä, jotka voisivat auttaa tietoturvajohtajia heidän pyrkiessään jatkuvasti parantamaan tietoturvatilannettaan.

Vioista tietomurtoihin

Kaksi kaaviota havainnollistaa täydellisesti nykypäivän uhkamaiseman dynaamista luonnetta: toinen kuvaa Google Cloudissa hyödynnettyjä alkuperäisiä käyttöoikeusvektoreita ja toinen on alustariippumaton versio. Google Cloudissa "heikot tai puuttuvat tunnistetiedot" olivat vastuussa vain 27 prosentista tietomurroista vuoden 2025 jälkipuoliskolla, kun vastaava luku edellisen kuuden kuukauden aikana oli 47.1 prosenttia. Sitä vastoin kolmansien osapuolten ohjelmistohaavoittuvuuksien hyödyntäminen muodosti 45 prosenttia tietomurroista, kun vastaava luku vuoden 2025 ensimmäisellä puoliskolla oli vain 3 prosenttia.

Vaikka jälkimmäiset hyökkäykset ovat "hienostuneempia ja kalliimpia" uhkatoimijoille, he myös parantavat niitä. Googlen mukaan haavoittuvuuksien paljastumisen ja joukkohyväksynnän välinen aika on lyhentynyt viikoista vain päiviin tai tunteihin. React2Shell oli yksi suosituimmista hyväksikäyttökohteista viime vuonna – mikä johti merkittävään tietomurtoon osoitteessa LexisNexis, useiden muiden yritysten joukossa.

Kun tarkastelemme tilannetta kaikilla alustoilla, identiteettihyökkäykset nousevat kuitenkin jälleen ensisijaiseksi hyökkäysvektoriksi merkittävissä pilvi- ja SaaS-ympäristöissä – niiden osuus alkuperäisistä käyttöoikeuksista oli 83 %. Haavoittuvuuksien hyödyntäminen kattoi viime vuonna vain 2 %. Identiteettihyökkäysten osalta verkkohuijaus (17 %) oli suositumpaa kuin sähköpostihuijaus (12 %). Mutta yleisempiä kuin molemmat olivat varastettujen tunnistetietojen käyttö (21 %) ja luotettavien suhteiden vaarantaminen kolmansien osapuolten kanssa (21 %), kuten pahamaineinen Salesforce Drift OAuth -kampanja.

Ole enemmän Googlea

Raportti ei ainoastaan ​​tarjoa hyödyllistä tilannekuvaa nykyisistä uhkatrendeistä, vaan se myös osoittaa, mikä toimii puolustuksellisesti. Ideaalimaailmassa tietoturvajohtajat pystyisivät jäljittelemään Google Cloudin syvyyssuuntainen puolustus ja oletusarvoisesti suojattu lähestymistapa estääkseen mahdollisimman monta alkuperäistä käyttöreittiä. Identiteettinäkökulmasta tämä tarkoittaa:

• Vähiten sallittujen oikeuksien periaatteen noudattaminen ja liiallisten oikeuksien säännöllinen tarkastaminen/poistaminen
• Sallivien palomuurisääntöjen korvaaminen identiteettikeskeisillä välityspalvelimilla hallinnollisten käyttöliittymien suojaamiseksi etäkoodin suorittamiselta (RCE) ja varastetuilta salasanoilta
• Kontekstitietoisen, tietojenkalastelulta suojatun MFA:n (esim. laitteistoavainten tai salasanojen) valvonta
• Kolmannen osapuolen sovellusten käytettävissä olevien tietojen rajoittaminen (esim. OAuth-integraation kautta)
• Tiukkojen varmennusprotokollien laatiminen IT-tukipalvelun henkilöstölle (esim. visuaalisen varmennuksen vaatiminen videopuhelussa tai toissijaisen esimiehen hyväksyntä) varkausyritysten estämiseksi

"Oletusarvoisesti turvallinen" -periaate on yksi tehokkaimmista tavoista vähentää riskejä nykyaikaisissa pilviympäristöissä, väittää Vysiionin teknologiajohtaja Peter Clapton.

”Alustojen tulisi sisältää vahvat perussuojaukset identiteetin, todennuksen ja käyttöoikeuksien hallintaa varten, jotta organisaatioiden ei tarvitse olla riippuvaisia ​​järjestelmänvalvojien useiden suojausmenetelmien oikeasta määrittämisestä ennen suojauksen saavuttamista”, hän kertoo IO:lle (entinen ISMS.online). ”Pilviympäristöissä, joissa infrastruktuuri voidaan ottaa käyttöön nopeasti ja skaalautuvasti, nämä oletusarvoiset suojakaiteet vähentävät merkittävästi todennäköisyyttä, että väärästä kokoonpanosta tulee hyökkääjien pääsykohta.”

Oletusarvoisesti suojattu -periaatetta tulisi kuitenkin pitää lähtökohtana. ”Identiteetistä on käytännössä tullut nykyaikainen tietoturvan perimetri, joten organisaatiot tarvitsevat edelleen vahvoja hallinta-, valvonta- ja pienimpien oikeuksien käytäntöjä käyttäjien, palvelutilien ja kolmansien osapuolten integraatioiden välillä riskien tehokkaaseen hallintaan”, Clapton sanoo.

Tietoturvajohtajat voisivat myös noudattaa Googlen neuvoja haavoittuvuuksien hyväksikäytön estämiseksi, kuten raportissa esitetään. Tähän sisältyy korjauskäytäntöjen päivittäminen sen varmistamiseksi, että CVE-uhat suojataan käytännössä 24 tunnin kuluessa ja korjataan täysin 72 tunnin kuluessa. Automaattinen haavoittuvuuksien skannaus tukee näitä toimia löytämällä korjaamattomia ohjelmistoja.

”Turvallisuustiimien tulisi priorisoida haavoittuvuuksia hyödynnettävyyden, altistumisen ja resurssien kriittisyyden perusteella sen sijaan, että luottaisi pelkästään CVSS-pisteisiin”, Clapton neuvoo. ”Haavoittuvuuksien skannauksen integrointi kehitysputkiin ja nopeasti muuttuvien pilviresurssien näkyvyyden ylläpitäminen on ratkaisevan tärkeää.”

ISO-ero

Keeper Securityn tietoturvajohtaja Shane Barney kuitenkin väittää, että vaikka Google Cloudin oletusarvoinen suojaus on erinomainen asia asiakkailleen, useimmat yritykset toimivat hybridi- ja monipilviympäristöissä, joissa nämä hallintalaitteet eivät ulotu johdonmukaisesti.

”Tietoturvajohtajien prioriteetin ei pitäisi olla yhden palveluntarjoajan mallin kopioiminen, vaan yhdenmukaisten tietoturvatulosten varmistaminen kaikissa ympäristöissä. Tämä tarkoittaa identiteettikeskeisten tietoturvakontrollien noudattamista, jotka kulkevat käyttäjän mukana, eivätkä itse alustan mukana”, hän kertoo IO:lle.

”’Oletusarvoisesti suojattu’ -asenne on tehokas vain, jos sitä tukee nollaluottamusmalli, joka olettaa, ettei mihinkään identiteettiin tai järjestelmään voida epäsuorasti luottaa, valvoo pienimmän käyttöoikeuden käyttöä pysyvien käyttöoikeuksien poistamiseksi ja soveltaa jatkuvaa varmennusta ja istunnon valvontaa väärinkäytösten havaitsemiseksi ja hillitsemiseksi reaaliajassa – erityisesti etuoikeutettujen tilien osalta.”

Onneksi tietoturvajohtajilla on liittolainen parhaiden käytäntöjen standardien ja viitekehysten, kuten ISO 27001:n, muodossa.

”ISO/IEC 27001:n kaltaiset viitekehykset tarjoavat kriittisen perustan virallistamalla kontrollit haavoittuvuuksien hallintaan, identiteetin ja käyttöoikeuksien hallintaan sekä tietoturvatietoisuuteen”, Barney jatkaa. ”Ne muuttavat sääntelyaikeen jäsennellyiksi, auditoitaviksi käytännöiksi tietoturvariskien hallintaan, upottamalla kontrollit käyttöoikeuksien hallintaan, haavoittuvuuksien korjaamiseen ja tapauksiin reagointiin, jotka voivat skaalautua monimutkaisiin, pilvipohjaisiin ympäristöihin.”

KnowBe4:n johtava tietoturvaneuvoja Javvad Malik kannattaa myös tällaisia ​​virallisia parhaita käytäntöjä, kunhan tarkoituksena ei ole "rasti ruutuun" -vaatimustenmukaisuus.

”Standardit, kuten ISO27001, ovat hyödyllisiä, koska ne voivat ohjata organisaatioita saamaan perusasiat, kuten omaisuudenhallinnan, korjauspäivitysten, pääsynhallinnan, tapaustenhallinnan, inhimillisten riskien ja niin edelleen, käyttöön”, hän kertoo IO:lle.

”Yksittäin standardien arvo voi olla rajallinen, varsinkin jos organisaatiot noudattavat niitä vain vaatimustenmukaisuuden vuoksi. Niitä tulisi käyttää vahvan hallinnon rakentamiseen, ne tulisi sisällyttää päivittäiseen toimintaan ja ne tulisi tukea yleistä turvallisuuskulttuuria, jotta turvalliset valinnat ovat normaaleja ja ensisijaisia ​​valintoja.”