目次:
ビデオ: Dame la cosita aaaa (十一月 2024)
SANS Instituteの2019年のクラウドセキュリティ調査は冷静になっています(無料のメンバーシップにサインアップして読む必要があります)。 2019年4月にデイブ・シャクルフォードによって書かれたこのレポートは、いくつかの残念な事実と数字を述べています。 たとえば、最近のすべての侵害レポートの後で、クラウドリソースを保護する方が良いと思うでしょう。 しかし、私たちはまだそれがかなり下手であるだけでなく、大きな問題は技術でさえありません。 まだ人です。 これの明確な兆候は、アカウントまたは資格情報のハイジャックから始まるトップタイプの攻撃のレポートのリスト、およびクラウドサービスとリソースの設定ミスの2番目の理由に表示されます。
もちろん、資格情報を盗む方法は数多くあります。フィッシングは単に最新のものであり、場合によっては対処が最も難しいものです。 ただし、他の侵害からのデータから資格情報を収集することもできます。これは、人々ができる限り同じ資格情報を再利用するため、必要以上に覚えていないためです。 さらに、付箋紙にログイン情報を書き込んでキーボードの隣に貼り付けるという昔からの慣行は、まだ非常に広く行われています。
クラウドサービスの設定ミスは、人々が弱点である別の領域です。 ここでの違いは、何をしているのかわからないまま外に出てクラウドサービスを立ち上げ、それを使用してデータを保護せずに保存することです。
「最初に、クラウドの採用において、クラウドを立ち上げるのがいかに簡単かがあまりにも多く、非現実的な期待が寄せられています」とSprunger氏は説明しました。 「人々は間違いを犯します。コンテナに関するセキュリティを定義するために何をしなければならないかは、本当に明確ではありません。」
セキュリティの曖昧さは良くない
問題の一部は、クラウドプロバイダーがセキュリティオプションがどのように機能するかを説明する適切な仕事を実際に行っていないことです(最近、Infrastructure-as-a-ServiceまたはIaaSソリューションを確認したときにわかりました)。ベンダーのヘルプ。 たとえば、多くのクラウドサービスでは、ファイアウォールを有効にするオプションがあります。 ただし、実行後に構成する方法を見つけることは、明確に説明されていない場合があります。 まったく。
この問題は非常に深刻であるため、SANSレポートの作成者であるShacklefordは、違反の原因となった保護されていないAmazon Simple Storage Service(S3)バケットのリストからレポートを開始します。 「数字を信じるなら、S3バケットの7パーセントが世界に広く開かれている」と彼は書いた、「さらに35パーセントは暗号化(サービスに組み込まれている)を使用していない。」 Amazon S3は、テストが始まったときに優れたストレージプラットフォームです。 このような問題は、単にユーザーがサービスを誤って設定したか、特定の機能が存在することをまったく知らないことに起因します。
特権使用の乱用はリストの次にあり、それは人々に起因する別の問題です。 Sprunger氏は、これには不満を抱く従業員だけではありませんが、従業員も含まれています。 「見逃しているものの多くは、特権アクセスを持つサードパーティです」と彼は説明しました。 「サービスアカウントにアクセスする方がはるかに簡単です。通常、単一のパスワードを持つ単一のアカウントであり、説明責任はありません。」
サービスアカウントは通常、サードパーティ、多くの場合、サポートまたはサービスを提供するためにアクセスする必要があるベンダーまたは請負業者に提供されます。 2014年の標的違反の原因となった弱点は、暖房、空調、空調(HVAC)の請負業者に属するサービスアカウントでした。「これらのアカウントは通常、神のような特権を持っています」とSprunger氏は付け加えました。攻撃者の主な標的。
セキュリティの脆弱性を克服する
それでは、これらの脆弱性についてどうしますか? 短い答えはトレーニングですが、それよりも複雑です。 たとえば、ユーザーはフィッシングメールを監視するようにトレーニングする必要があり、そのトレーニングはフィッシングの微妙な兆候さえ認識できるように十分に完了する必要があります。 さらに、従業員がこのような攻撃を疑っていた場合に実行する必要がある手順を含める必要があります。 これには、電子メール内のリンクが実際にどこにあるかを確認する方法が含まれますが、そのような電子メールを報告する手順も含める必要があります。 トレーニングには、疑わしいと思われる電子メールで送信された指示に従って行動しなかったとしても、トラブルに巻き込まれないという信念を含める必要があります。
同様に、ランダムな従業員が外出して自分のクラウドサービスアカウントを設定しないように、ある程度のコーポレートガバナンスが必要です。 これには、個人のクレジットカードでのクラウドサービスの料金の経費報告書バウチャーの視聴が含まれます。 しかし、それはまた、クラウドサービスの可用性に対処する方法に関するトレーニングを提供する必要があることも意味します。
特権ユーザーの虐待への対処
一部のベンダーは幅広い権利でアクセスを要求するため、特権ユーザーの悪用に対処することも難しい場合があります。 ネットワークをセグメント化することで、管理されているサービスのみにアクセスできるようにすることで、これに対処できます。 たとえば、HVACコントローラーが独自のセグメント上にあるようにセグメント化し、ベンダーがそのシステムの保守を担当するベンダーは、ネットワークのその部分のみにアクセスできます。 これを達成するのに役立つもう1つの手段は、アカウントをよりよく追跡するだけでなく、アカウントとそのアクセス権を持つユーザーを追跡する、堅牢なID管理(IDM)システムを展開することです。 これらのシステムでは、アクセスをより迅速に一時停止し、アカウントアクティビティの監査証跡を提供することもできます。 そして、1つに大金を費やすことができますが、Microsoft Active Directory(AD)ツリーが有効になっているWindows Serverショップの場合は、すでに1つを実行しているかもしれません。
- 2019年のベストセキュリティスイート2019年のベストセキュリティスイート
- 2019年のベストビジネスクラウドストレージおよびファイル共有プロバイダー2019年のベストビジネスクラウドストレージおよびファイル共有プロバイダー
- 2019年のビジネス向けベストクラウドバックアップサービス2019年のビジネス向けベストクラウドバックアップサービス
また、ベンダーが管理しているソフトウェアまたはアプライアンスにのみ権利を付与し、他には何も与えないように、ベンダーが最小限の特権でアクセスできることを確認する必要がある場合があります。 他の何かに一時的にアクセスするように依頼することができます。
これらは、セキュリティ上の問題のかなり長いリストの上位数項目にすぎず、SANSセキュリティ調査レポート全体を読む価値があります。 そのリストは、セキュリティの脆弱性にアプローチするための方法のロードマップを提供し、より多くのステップを実行できるようにするのに役立ちます。 しかし、肝心なのは、SANSによって報告された問題について何もしなければ、クラウドセキュリティは悪臭を放ち、クラウドが完全に排水されて循環するので、障害の渦に巻き込まれる可能性があります違反。
