Администрация Байдена может следить за тем, чтобы CSP повышали безопасность, но настоящий предостерегающий покупатель? Обеспечьте себя

Администрация Байдена может следить за тем, чтобы CSP повышали безопасность, но настоящий предостерегающий покупатель? Обеспечьте себя

17 марта 2023 г.
Хотя администрация может попытаться усилить защиту от кибератак для облачных провайдеров, таких как Amazon, Microsoft и Google, эксперты говорят, что ответственность лежит на клиенте.

Администрация президента Джо Байдена в рамках своей недавно опубликованной Национальной стратегии кибербезопасности заявила, что критически важные сектора, такие как телекоммуникации, энергетика и здравоохранение, полагаются на кибербезопасность и устойчивость поставщиков облачных услуг.

Тем не менее, недавние отчеты свидетельствуют о том, что у администрации есть опасения, что крупные поставщики облачных услуг представляют собой огромную поверхность угроз, через которую злоумышленник может нарушить публичную и частную инфраструктуру и услуги.

С этим опасением трудно спорить, учитывая монолитный характер сектора. Исследовательская фирма Gartner в своем последнем обзоре доли мирового рынка облачной инфраструктуры как услуги поставила Amazon на первое место с доходом в 35,4 миллиарда долларов в 2021 году, а остальная доля рынка распределяется следующим образом:

    Амазонка: 38,9% Майкрософт: 21,1% Алибаба: 9,5% Гугл: 7,1% Хуавей: 4,6%

Synergy Group сообщила, что вместе на Amazon, Microsoft и Google приходилось две трети доходов от облачной инфраструктуры за три месяца, закончившихся 30 сентября 2022 года, при этом восемь крупнейших провайдеров контролируют более 80% рынка, что составляет три четверти. веб-доходов.

Перейти к:

    Акцент на поставщиков облачных услуг? Облачные провайдеры уже предлагают достаточно Клиентам облачных сервисов необходимо обеспечить безопасность Клиенты должны защищаться от основных облачных угроз Основные угрозы для ваших облачных операций Этический взлом может защитить операции в облаке и локально

Акцент на поставщиков облачных услуг?

В отчете администрации отмечается, что субъекты угроз используют облако, регистраторов доменов, хостинг-провайдеров и почтовых провайдеров, а также другие сервисы для проведения эксплойтов, координации операций и шпионажа. Кроме того, он выступал за нормативные акты, способствующие принятию принципов обеспечения безопасности при разработке, и за то, чтобы нормативные акты определяли «минимально ожидаемые методы или результаты кибербезопасности».

Кроме того, он «выявит пробелы в органах власти для улучшения практики кибербезопасности в индустрии облачных вычислений и для других важных сторонних сервисов и будет работать с отраслью, конгрессом и регулирующими органами для их устранения», — говорится в отчете администрации.

Если администрация общается с операторами связи, контролирующими трафик через обширные участки глобальной сети, с целью регулирования их методов обеспечения безопасности, это может быть спорным, поскольку у операторов связи уже есть надежные протоколы безопасности, отметил Крис Уинклесс, старший аналитик Gartner.

«Судя по всему, поставщики облачных услуг очень безопасны в том, что они делают, но отсутствие прозрачности в отношении того, как они это делают, вызывает беспокойство», — сказал Уинклесс.

См.: Облачная безопасность, которой препятствует распространение инструментов, имеет проблему «леса за деревья» (TechRepublic).

Тем не менее, Уинклесс также сказал, что существуют пределы устойчивости, и в конечном итоге ответственность ложится на стол клиента.

«Использование облака небезопасно ни со стороны отдельных арендаторов, которые плохо настраивают или не обеспечивают отказоустойчивость, либо со стороны преступников/государственных субъектов, которые могут воспользоваться динамизмом и платой за гибкость модели. ," добавил он.

Облачные провайдеры уже предлагают достаточно

Крис Доман, главный технический директор компании Cado Security, занимающейся реагированием на облачные инциденты, сказал, что крупные поставщики облачных услуг уже являются лучшими в управлении и защите облачной инфраструктуры.

«Сомневаться в их способностях и делать вывод о том, что правительство США «знает лучше» с точки зрения регулирования и безопасности, было бы заблуждением», — сказал Доман.

По его словам, навязывание требований «знай своего клиента» поставщикам облачных услуг может быть сделано из лучших побуждений, но это может подтолкнуть злоумышленников к использованию услуг, которые находятся вне досягаемости правоохранительных органов.

По словам Домана, самой большой угрозой для облачной инфраструктуры является физическая катастрофа, а не технологические сбои.

«Индустрия финансовых услуг — отличный пример того, как сектор диверсифицирует деятельность между несколькими поставщиками облачных услуг, чтобы избежать точек отказа», — сказал Доман. «Объекты критической инфраструктуры, модернизирующиеся в сторону облака, должны подумать о планах аварийного восстановления. Большинство критически важных объектов инфраструктуры не в состоянии полностью перейти на мультиоблачную среду, что ограничивает точки воздействия».

Клиентам облачных сервисов необходимо обеспечить безопасность

Хотя администрация Байдена заявила, что будет работать с поставщиками облачной и интернет-инфраструктуры, чтобы выявлять «злонамеренное использование инфраструктуры США, передавать отчеты о злонамеренном использовании правительству» и «облегчать жертвам возможность сообщать о злоупотреблениях этими системами и… злоумышленникам получить доступ к этим ресурсам в первую очередь», это может создать проблемы.

Майк Бекли, основатель и технический директор компании Appian по автоматизации процессов, сказал, что правительство справедливо бьет тревогу по поводу уязвимости государственных систем.

«Но у него есть более серьезная проблема, заключающаяся в том, что большая часть его программного обеспечения не принадлежит нам, Microsoft, Salesforce или Palantir, если уж на то пошло», — сказал Бекли. «Он написан покупателем с низкими затратами в индивидуальных контрактах и, следовательно, не соответствует большинству правил и ограничений, с которыми мы работаем как коммерческие поставщики.

«Что бы правительство ни думало о покупке, оно меняется каждый день в зависимости от наименьшего опыта, наименее квалифицированных или даже самых злонамеренных подрядчиков, у которых есть права и разрешения на загрузку новых библиотек и кодов. Каждый из этих конвейеров пользовательского кода должен создаваться для каждого проекта, и поэтому он хорош настолько, насколько хороша команда, которая этим занимается».

Клиенты должны защищаться от основных облачных угроз

По словам Майка Бриттона (Mike Britton), директора по информационной безопасности Abnormal Security, поиск злоумышленников является серьезной задачей для таких операторов связи, как Amazon, Google и Microsoft.

«В конечном счете, облако — это просто еще одно модное слово для внешних серверов, а это цифровое пространство теперь является товаром — я могу хранить петабайты за копейки на доллар», — сказал Бриттон. «Сейчас мы живем в мире, где все основано на API и Интернете, поэтому нет барьеров, которые были в старые времена.

SEE: 10 основных рисков безопасности и операционных рисков с открытым исходным кодом (TechRepublic)

«Существует матрица общей ответственности, в которой поставщик облачных услуг решает такие вопросы, как исправления аппаратной операционной системы, но ответственность за знание того, что является общедоступным, и согласие или отказ лежит на клиенте. Я действительно думаю, что было бы хорошо, если бы был эквивалент отказоустойчивости «нет», который спрашивал бы что-то вроде «Вы хотели это сделать?», когда дело доходит до таких действий, как открытие сегментов хранилища общедоступными.

«Поместить свои 50 терабайт в хранилище S3 и случайно сделать их общедоступными — значит выстрелить себе в ногу. Таким образом, решения по управлению состоянием облачной безопасности полезны. А потребителям облачных сервисов нужно иметь в порядке хорошие процессы».

Основные угрозы для ваших облачных операций

В отчете Check Point Security за 2022 год об облачной безопасности перечислены основные угрозы облачной безопасности.

Неправильные конфигурации

Основной причиной утечек облачных данных являются стратегии управления состоянием облачной безопасности организаций, которые неадекватны для защиты их облачной инфраструктуры от неправильных конфигураций.

Не авторизованный доступ

Облачные развертывания за пределами периметра сети и прямой доступ из общедоступного Интернета упрощают несанкционированный доступ.

Небезопасные интерфейсы и API

По данным Check Point, CSP часто предоставляют ряд интерфейсов и интерфейсов прикладного программирования для своих клиентов, но безопасность зависит от того, защитил ли клиент интерфейсы для своих облачных инфраструктур.

Взлом аккаунтов

Неудивительно, что безопасность паролей является слабым звеном и часто включает такие неправильные методы, как повторное использование паролей и использование плохих паролей. Эта проблема усугубляет последствия фишинговых атак и утечки данных, поскольку позволяет использовать один украденный пароль для нескольких разных учетных записей.

Отсутствие видимости

Облачные ресурсы организации расположены за пределами корпоративной сети и работают на инфраструктуре, которой компания не владеет.

«В результате многие традиционные инструменты для обеспечения видимости сети неэффективны для облачных сред», — отмечает Check Point. «А некоторым организациям не хватает облачных инструментов безопасности. Это может ограничить способность организации контролировать свои облачные ресурсы и защищать их от атак».

Внешнее совместное использование данных

Облако упрощает обмен данными, будь то приглашение по электронной почте для соавтора или общая ссылка. Эта простота обмена данными представляет угрозу безопасности.

Злонамеренные инсайдеры

Хотя это и парадоксально, поскольку инсайдеры находятся внутри периметра, кто-то с плохими намерениями может получить авторизованный доступ к сети организации и некоторым содержащимся в ней конфиденциальным ресурсам.

«В облаке обнаружить злонамеренного инсайдера еще сложнее», — говорится в отчете CheckPoint. «При облачном развертывании компании теряют контроль над своей базовой инфраструктурой, что делает многие традиционные решения для обеспечения безопасности менее эффективными».

Кибератаки как большой бизнес

Цели киберпреступности в основном основаны на прибыльности. Облачная инфраструктура, общедоступная из Интернета, может быть ненадлежащим образом защищена и содержать конфиденциальные и ценные данные.

Атаки отказа в обслуживании

Облако необходимо многим организациям для ведения бизнеса. Они используют облако для хранения важных для бизнеса данных и запуска важных внутренних и клиентских приложений.

Этический взлом может защитить операции в облаке и локально

Для организаций важно защищать свои периметры и проводить регулярные тесты на внутренние и внешние уязвимости.

Если вы хотите отточить свои навыки этического взлома для веб-тестирования пера и многого другого, ознакомьтесь с этим комплексным набором курсов этического взлома Академии TechRepublic.

Читать далее: Как минимизировать риски безопасности: следуйте этим рекомендациям для достижения успеха (TechRepublic)


Оригинал
PREVIOUS ARTICLE
NEXT ARTICLE