Közös Cloud sebezhetőségek és biztonsági kockázatok magyarázata

Cloud sebezhetőségek olyan biztonsági vakfoltok vagy belépési pontok, amelyeket rosszindulatú szereplők kihasználhatnak.

A hagyományos környezetekkel ellentétben, ahol a sebezhetőségek leggyakrabban a peremszinten (például a tűzfalakon) találhatók, a felhőben a sebezhetőségek több területről is származhatnak, például a rossz konfigurációkból, a hozzáférés-szabályozásból, a nem meghatározott megosztott felelősségi modellből, az árnyék-IT-ből stb.

A felhőkörnyezet természeténél fogva több felhasználóval, partnerrel, alkalmazással és szállítóval van összekapcsolva.

Ez a széles támadási felület azt jelenti, hogy a felhőeszközök ki vannak téve a fiókeltérítésekből, rosszindulatú bennfentesekből, fiókeltérítésekből, a rossz személyazonosság- és hitelesítő adatok kezeléséből és a nem biztonságos API-kból származó fenyegetéseknek.

A fenyegetések és a sebezhetőségek közötti nyilvánvaló különbség a sürgősségükben rejlik.

Ha a sebezhetőség egy olyan gyengeséget jelent, amely a bizonytalanságban létezik, és arra vár, hogy kihasználják, akkor a fenyegetés egy rosszindulatú vagy negatív esemény, amely általában a jelen pillanatban történik, és sürgős beavatkozást igényel.

Ezután a sebezhetőség az, ami először tette ki a szervezetet a felhőbiztonsági fenyegetéseknek.

Például a felhő rossz konfigurációi sebezhetőséget jelentenek, ami gyenge hozzáférés-ellenőrzést eredményezhet, ami végül kibertámadás veszélyéhez vezethet.

Röviden: a sebezhetőség egy gyengeség, a fenyegetés pedig az a lehetséges cselekvés vagy esemény, amely kihasználhatja ezt a gyengeséget. Ha a felhő egy zárt ajtó lenne, akkor a sebezhetőség egy gyenge ponton lévő zár lenne, a fenyegetés pedig az, hogy valaki kinyitja azt.

A felhőinfrastruktúrák alapvetően különböző rétegekre és összetevőkre épülnek; a sebezhetőségek minden rétegben létezhetnek.

A helytelen vagy túlságosan megengedő beállítások közvetlen következménye, hogy a hibás konfigurációk a rendszer kevésbé biztonságos, mint amilyennek lennie kellene. Ezek előfordulhatnak felhőalapú konténerekben (például rosszul konfigurált S3 vödrökben), tűzfalakban vagy javítatlan virtuális gépekben.

A hibás konfigurációkra példa a nyilvános olvasási és írási hozzáférés, amikor annak privátnak kellene lennie, az elavult vagy nem javított engedélyek, vagy akár a titkosítási beállítások hiánya.

A hibás konfigurációk emberi hiba, ismerethiány vagy rosszul megírt automatizálási szkriptek miatt történhetnek, és adatvesztéshez vagy -szivárgáshoz, támadás esetén hírnévkárosodáshoz, valamint a szabályozási előírásoknak való megfelelés elmulasztásához vezethetnek.

Ilyen volt a CapitalOne esete 2019-ben, amikor egy rosszul konfigurált webes alkalmazás tűzfal lehetővé tette a több mint 100 millió ügyfél érzékeny adatait (beleértve a társadalombiztosítási számokat is) tartalmazó S3 vödörhöz való jogosulatlan hozzáférést. A CapitalOne-nak 80 millió dolláros büntetést kellett fizetnie a jogsértés miatt.

A felhőkörnyezetek definíciójuknál fogva gyorsan változó, decentralizáltak, és gyakran a biztonsági csapatok nem ellenőrzik őket teljes mértékben, így bizonyos fokú kilátástalanság tapasztalható.

Ez vagy azért fordulhat elő, mert a szolgáltatók csak alapvető eszközöket kínálnak a láthatósághoz, a mélyebb felügyelet pedig pluszköltséggel jár, vagy azért, mert a szervezeten belüli csapatok túlterheltek, és nem rendelkeznek az infrastruktúra valódi felügyeletéhez szükséges felhő-specifikus készségekkel.

A szervezetek hajlamossága arra, hogy a gyorsaságot a biztonsággal szemben előtérbe helyezzék, szintén hozzájárult ehhez.

Ha azonban a láthatóságot költségnek, nem pedig értéknövelő tényezőnek érezzük, a támadók behatolhatnak a felhőinfrastruktúrába, és hosszabb ideig észrevétlenek maradhatnak.

A sok eszköz, műszerfal és napló egy felhőhálózaton belül nehéz korrelálni és használható betekintést nyerni a történésekbe.

A hozzáférés-kezelés határozza meg, hogy melyik felhasználó vagy alkalmazás férhet hozzá egy felhőeszközhöz.

Ez magában foglalja a digitális identitások kezelését és a felhőszolgáltatásokhoz, alkalmazásokhoz és adatokhoz való hozzáférés ellenőrzését.

Bizonyos korlátozásokra és korlátozásokra van szükség, hogy az érzékeny információk ne kerülhessenek illetéktelen kezekbe. Egy olyan világban, ahol csak az Egyesült Államokban több mint 77 millió embert érint a fiókok átvétele, néhány gyakorlat kiemelkedő jelentőségűvé válik:

• MFA (többfaktoros hitelesítés) bevezetése
• A legkisebb jogosultságú hozzáférés elvének érvényesítése (csak akkor adjon hozzáférést, ha az a feladathoz szükséges).
• Szerepkör-alapú hozzáférés-szabályozás a munkakörökön alapuló hozzáférés kezeléséhez

Ellenkező esetben a szervezetek az adatok megsértését, a szabályoknak való meg nem felelést és működési zavarokat kockáztatnak.

A támadók egy eltérített fiókon keresztül behatolhatnak egy rendszerbe, és kihasználhatják a rossz hozzáférési irányelveket, magasabb szintű erőforrásokra vagy rendszerekre léphetnek; a cél az, hogy nagyobb ellenőrzést szerezzenek a rendszer felett, és potenciálisan jelentős kárt okozzanak.

A felhőinfrastruktúrán belül az API lehetővé teheti, hogy különböző rendszerek, szolgáltatások vagy alkalmazások kölcsönhatásba lépjenek a felhőkörnyezettel.

Ami azt jelenti, hogy az API-k szabályozhatják az adatokhoz, az infrastruktúrához és a funkciókhoz való hozzáférést.

Egy nem biztonságos API azt jelentheti, hogy nem igényel érvényes felhasználót vagy tokent a hozzáféréshez, hogy a szükségesnél több hozzáférést biztosít, vagy hogy érzékeny adatokat naplóz.

Ha az API-kat rosszul konfigurálják vagy felfedik, a támadók teljes hitelesítő adatok nélkül is hozzáférhetnek az adatokhoz (felhasználói adatok, pénzügyi adatok, egészségügyi nyilvántartások).

Ilyen volt a helyzet 2021-ben, amikor a Peloton API lévő sebezhetőséglehetővé tette, hogy bárki hozzáférjen a felhasználói fiókok adataihoz, még a privát profilok esetében is. A Pen Test Partners által felfedezett hiba lehetővé tette a nem hitelesített kérések átjutását, és olyan adatokat tett közzé, mint a kor, a nem, a tartózkodási hely, a súly, az edzési statisztikák és a születésnapok.

Egy ilyen összetett adatbázishoz való hozzáférés tovább fokozódhatott volna doxxing, személyazonosság-lopás vagy social engineering támadások formájában.

Az árnyék-IT a szoftverek, hardverek vagy más IT-rendszerek szervezeten belüli, az IT- vagy biztonsági osztály tudta, jóváhagyása vagy ellenőrzése nélküli használatára utal.

Akár kényelmi okokból, akár rosszindulatból az alkalmazottak más eszközöket kereshetnek, mint amiket hivatalosan biztosítanak, és ezzel jelentős kiberbiztonsági kockázatokat vezetnek be a szervezetbe.

Az árnyék IT a gyakorlatban így nézhet ki:

• Egy alkalmazott érzékeny mérnöki dokumentumokat tölt fel személyes felhőalapú tárhelyre.
• Valaki, aki jogosulatlan távoli hozzáférési eszközöket (például AnyDesk) használ ipari rendszerek hibaelhárítására vagy SCADA-környezetekhez való hozzáférésre a kritikus infrastruktúrákban.
• Videohívások lebonyolítása nem tesztelt platformokon (például a WhatsApp-on) a vállalati szabvány helyett.

A kritikus infrastruktúrákban vagy a magas biztonsági szintű környezetekben az árnyék-IT veszélyes vakfoltokat hozhat létre - utat nyitva az adatszivárgás, a rosszindulatú szoftverek bevezetése vagy a jogszabályi előírások be nem tartása előtt.

A rosszindulatú, hanyag vagy kompromittált bennfenteseket nehezebb lehet felderíteni az érintett felhasználó vagy rendszer megbízható jellege miatt.

Az ezekből az emberekből származó potenciális károk adatszegésekhez, szolgáltatási zavarokhoz, szabályozási jogsértésekhez és pénzügyi veszteségekhez vezethetnek.

A nulladik napi sebezhetőség olyan, korábban ismeretlen biztonsági hiba, amely a felfedezés időpontjában nem áll rendelkezésre javítás, és kihasználható, mielőtt a gyártó tudomást szerezne róla.

A felhőkörnyezetekben ez magában foglalja a felhőplatformok API-iban, a konténer-orchestrációs rendszerekben, a SaaS-alkalmazásokban vagy a felhőben tárolt munkaterhelésekben található sebezhetőségeket.

A felhő dinamikus, összekapcsolt és több bérlőre kiterjedő jellege lehetővé teszi, hogy a hibák gyorsan terjedjenek és számos erőforrást érintsenek, miközben a felhasználók nem látják át az infrastruktúrát a gyors észleléshez szükséges mértékben.

Emellett a felhőalapú rendszerek foltozása időigényes lehet, ami növeli a zéró napoknak való kitettséget.

A jelentés szerint 2023-tól kezdve a felhő hibás konfigurációjának megelőzése a vállalatok több mint felének elsődleges szempontja, bemutatva a lehetséges következmények súlyosságát.

A felhőalapú sebezhetőségek egyik legkárosabb következménye az érzékeny adatok kiszolgáltatottsága vagy elvesztése.

A szervezetek gyakran támaszkodnak a felhőalapú tárolási megoldásokra, ha ügyfélnyilvántartásaikat, védett információikat vagy működési adataikat szeretnék tárolni.

Így a jogsértés jelentheti személyes személyazonosságok, pénzügyi információk, szellemi tulajdon vagy akár üzleti titkok ellopását is.

Az azonnali hatásokon túl az ilyen incidensek hosszú távú reputációs károkat és az ügyfelek bizalmának megromlását is eredményezhetik.

Az érintettek elhagyhatják a szolgáltatásokat, a partnerek pedig átgondolhatják az üzleti kapcsolatokat.

Még ha a jogsértést gyorsan sikerül is megfékezni, a vizsgálat, a helyreállítás, az ügyfelek értesítése és az esetleges perek költségei több millió dollárra rúghatnak, nem számítva a termelékenységveszteség és a márka erodálódása miatti alternatív költségeket.

A legtöbb iparágat szigorú megfelelési keretrendszerek szabályozzák - például a GDPR, a HIPAA, a PCI DSS vagy a CCPA -, amelyek meghatározzák, hogy az adatokat hogyan kell tárolni, elérni és védeni.

Ha a sebezhetőségek jogosulatlan hozzáféréshez vagy az érzékeny adatok nem megfelelő ellenőrzéséhez vezetnek, a vállalatok azt kockáztatják, hogy megsértik ezeket a törvényeket. A szabályozó hatóságok jelentős bírságokat szabhatnak ki, bírósági eljárást kezdeményezhetnek, vagy működési korlátozásokat kényszeríthetnek ki.

Például az olyan joghatóságokban, mint az Európai Unió, a GDPR szerinti büntetések elérhetik az éves globális bevétel 4%-át, így akár egyetlen incidens is nagy tétet jelenthet.

A Cloud sebezhetőségek már elég régóta léteznek ahhoz, hogy a szervezetek teljes módszertanokat dolgozhassanak ki a sebezhetőségi kockázatok csökkentésére.

A Cloud rendkívül dinamikusak, mivel rendszeresen új szolgáltatásokat telepítenek és integrációkat adnak hozzá.

Mindegyik ilyen változás magában hordozza a félrekonfigurálás vagy a veszélyeztetettség lehetőségét, így a sebezhetőség értékelése folyamatos feladat.

Még ha a szervezetek azonosítják is a sebezhetőségeket és elkezdik a javításokat, előfordulhat, hogy egyes rendszerek nem működnek megfelelően a frissített verziókkal.

Ilyen esetekben bizonyos sebezhetőségeknek fenn kell maradniuk a működés folyamatossága érdekében, ami miatt a kezelés elengedhetetlen.

A biztonsági csapatoknak strukturált megközelítésre van szükségük e kivételek dokumentálásához, a kapcsolódó kockázatok értékeléséhez és a megfelelő ellenőrzési stratégiák alkalmazásához, például a sebezhetőségnek a hálózattól való elszigeteléséhez.

A CSPM magában foglalja az infrastruktúra átvizsgálását a hibás konfigurációk, a házirendek megsértése és a túlságosan megengedő hozzáférés-szabályozás szempontjából.

A szoftverhibák helyett a CSPM az architektúrális és konfigurációs kockázatokkal foglalkozik (rosszul konfigurált S3 vödrök, titkosítatlan tárolás vagy IAM-átvitel), amelyek az adatok kiszolgáltatottságához vagy a megfelelőség hiányosságaihoz vezethetnek.

A CSPM valós idejű átláthatóságot biztosít a felhőkörnyezetekben, automatizált ellenőrzéseket végez a megfelelőségi keretrendszerek (például CIS, PCI vagy GDPR) alapján, és figyelmeztet a hibás konfigurációkra.

A CNAPP-platformok a felhőbiztonságot fokozzák, és a védelem több rétegét egyesítik, egyetlen keretrendszerben egyesítve a Cloud helyzetkezelés, Cloud munkaterhelés-védelmi platformok (CWPP) és a sebezhetőség-menedzsmentet.

Mélyebb betekintést nyújtanak az alkalmazás teljes életciklusába, az infrastruktúra konfigurációjától a munkaterhelés viselkedéséig és a futásidejű fenyegetésekig.

A CNAPP-k integrálhatók más biztonsági eszközökkel azáltal, hogy közvetlenül a virtuális gépekbe, konténerekbe és kiszolgáló nélküli környezetekbe ágyazzák be az állomásalapú észlelést, a viselkedéses megfigyelést és a sebezhetőségi vizsgálatot.

Helyi környezetben a sebezhetőségek leginkább a peremszinten jelennek meg; a szervezet belső, biztonságos hálózata és a külső, gyakran nem megbízható hálózat közötti határon.

A helyi biztonsági hiányosságok elavult szoftvereket, rosszul konfigurált szervereket, hardverhibákat és akár fizikai biztonsági rést is jelenthetnek.

A felhőkörnyezetekben azonban a tűzfalak és a hálózatok már nem alkotnak stabil határt, mivel a személyazonosság válik az első és legkritikusabb biztonsági határvonallá.

Még ha az alapvető biztonsági elvek továbbra is relevánsak maradnak is, a felhő új dinamikát hoz létre, különösen a felelősség, a láthatóság és az eszközök változékonysága terén.

Cloud többnyire dinamikus, API fenyegetéseknek vannak kitéve, szemben a helyhez kötött környezetekkel, ahol a veszélyt az olyan jól ismert kockázatok jelentik, mint az illetéktelen fizikai hozzáférés, a bennfentes támadások vagy a határok megsértése.

A legfontosabb különbségek közé tartozik a hibás konfigurációk elterjedtsége, mint a betörések vezető oka, a rövid életű erőforrások (konténerek, szerver nélküli funkciók) jelenléte, amelyek gyakran kikerülik a hagyományos keresőeszközöket, valamint a támadók által egyre gyakoribbá és kedvelté váló identitásalapú támadások.

A felhőben ráadásul a biztonsági felelősségi körök is eltolódnak, főként a korábban tárgyalt megosztott felelősségi modell miatt.

Ebben a keretrendszerben a szervezetek felelősek az adatok, alkalmazások, konfigurációk és identitások biztosításáért, beleértve a fájlkezelés körüli logikát is:

• A feltöltött fájlok hitelesítése és szanálása.
• Hozzáférési engedélyek beállítása objektum- vagy vödörszinten.
• Az adatok titkosítása szállítás közben és nyugalmi állapotban.
• Felhőalapú tárolási kölcsönhatások megfigyelésének és fenyegetésérzékelésének megvalósítása.

Végül, ahhoz, hogy lépést tudjanak tartani a felhő sebességével és összetettségével, a biztonsági vezetőknek érteniük kell mind a fenyegetések nyelvét, mind pedig azok változó természetét.

A DevOps, a biztonsági és a vezetői csapatok közös szókincse alapvető fontosságú az összehangolt védekezéshez, és a csapat minden tagjának összhangban kell lennie az olyan kulcsfontosságú iparági kifejezésekkel, mint például: