Сигурност

7 основни грешки в сигурността при мигриране в облака

CIO Media

Дейвид Стром, CSO, САЩ

Когато организациите преместват ключови приложения в облака, за да подпомогнат работещите от разстояние, те често създават възможности за хакерите

С настъпването на пандемията много компании преминаха към повече приложения в облака, тъй като голяма част от нас продължават да работят от разстояние. В проучване, проведено от Menlo Security сред 200 ИТ ръководители, 40% от запитаните отбелязват, че поради тази тенденция са изправени пред нарастващ брой заплахи от атаки срещу облачните приложения и Интернет на нещата.
Има добри и лоши начини, по които да се извърши тази миграция към облака. Много от клопките по пътя всъщност не са нови. На среща на Gartner от 2019 г. например двама ИТ ръководители потвърждават, че техните инсталации на Office 365 са в застой поради необходимостта от надграждане на старото оборудване. Сега начинът, по който използваме и споделяме домашните си компютри, се променя. Нашите устройства вече не са лични. Същият този компютър може да поддържа виртуалното училище на детето ви и приложенията на съпруга/съпругата ви. Проучване на CyberArk от лятото установи, че повече от половината от анкетираните запазват паролите си в браузърите на своите корпоративни компютри. Това определено не предвещава нищо добро за която и да било политика за сигурност.
Ето кои са седемте най-често срещани грешки, които се отразяват негативно върху сигурността, и някои съвети как да ги избегнете:

1. Използване на VPN за отдалечен достъп
С всички тези работещи от разстояние служители VPN може да не е най-доброто решение за отдалечен достъп. Припомнете си какво се случи през декември 2020 г. с хакерската атака FireEye. Компрометиран VPN профил очевидно беше входната точка на хакера. В миналото VPN-ите бяха начинът за защита на работещите от разстояние служители. Сега е далеч по-добре те да се заменят с мрежи с нулево доверие, където идентичността е контролният панел и предоставя контекст за достъп. Освен това трябва да се уверите, че имате политики за информационна сигурност у дома, които да са написани след появата на пандемията, така че да вземат предвид настоящата ситуация (като домашен компютър с няколко потребители).

2. Създаване на грешно портфолио в облака
В тази връзка трябва да се разглеждат няколко фактора. Имате ли нужда от частни облаци, където да държите важните за бизнеса ви данни отделно от останалите? Имате ли в наличност правилните подверсии на операционните системи, които да изпълняват конкретни приложения, зависещи от определени конфигурации на Windows и Linux? Имате ли правилните видове конектори и защити за удостоверяване, които да използвате със своите приложения в инсталациите и оборудването, което няма да мигрирате? Ако имате легаси приложение за мейнфрейм, вероятно искате първо да го изпълните в частен облак и след това да опитате да намерите правилната среда, която е най-близо до съществуващата конфигурация.

3. Състоянието на сигурността не е подходящо за облака
Често срещаните грешки при сигурността включват незащитени контейнери за съхранение, неправилно зададени права за достъп и параметри за удостоверяване, както и множество отворени портове. Искате да поддържате устойчиво състояние на сигурността, независимо дали сте в офисите на компанията, или се свързвате от Тимбукту. Искате също така да включите сигурността от самото начало, преди да мигрирате и едно приложение в облака. Johnson & Johnson направиха това преди няколко години, когато преместиха по-голямата част от работното натоварване в облака и централизираха своя модел на сигурност. В тази връзка можете да се възползвате от наскоро пуснатия отNetflix инструмент с отворен код ConsoleMe, който може да управлява няколко акаунта за Amazon Web Services (AWS) само в една сесия на браузъра.

4. Не се тестват плановете за възстановяване от бедствия
Кога за последно тествахте плана си за възстановяване от бедствия? Вероятно твърде отдавна, особено ако сте били заети да се справяте с ежедневните трудности по поддръжката на служителите, работещи от домовете си. Само защото приложенията ви са в облака, не означава, че те не зависят от конкретен уеб сървър и сървър на бази данни, както и от други инфраструктурни елементи. Във всеки добър план за възстановяване от бедствия трябва да се документират тези зависимости и да се води дневник, който описва най-критичните работни процеси.
Друга голяма част от всеки план за възстановяване от бедствия е необходимостта да се извършва постоянно тестване за частични неизправности в облака. Има голяма вероятност да се сблъскате с прекъсвания, като дори това се случва от време на време с облачните услуги на Amazon, Google и Microsoft. Netflix бяха едни от първите, които направиха популярно цялостното инженерство на хаоса преди няколко години с инструмент, наречен Chaos Monkey. Той е предназначен да тества AWS инфраструктурата на компанията чрез постоянно и на случаен принцип спиране на различни производствени сървъри.
Използвайте тези уроци и инструменти, за да разработите свои собствени тестове за проблеми, породени от хаоса - особено чрез свързани със сигурността тестове, които разкриват слабости във вашата облачна конфигурация. Ключовият елемент е да правите това автоматично и постоянно, за да разкриете слабите места и инфраструктурните недостатъци. Освен използването на инструменти с отворен код на Netflix съществуват платени продукти като Security Validation на Verodin/Mandiant, Breach and Attack Simulation на SafeBreach, инструменти за симулация на Cymulate и Security Optimization Platform на AttackIQ.

5. Не се оптимизира удостоверяването
Може би разполагате с управление на идентичността и достъпа, SIEM, CASB или инструмент за влизане с едни и същи идентификационни данни, които сте закупили в ерата на работа в офиса. Сега обаче това не са най-подходящите за вашите нужди решения за удостоверяване в един свят, където се работи предимно в облак и предимно от разстояние. Непременно огледайте добре тези инструменти, за да се уверите, че те могат да покрият този вид облачна среда и цялото ви портфолио от приложения и че могат да защитят вашите системи подобаващо.Например CASB решенията са отлични при управление на достъпа до приложения в облака, но вие може да се нуждаете от такова, което да работи с ваше конкретно приложение на собствения ви сървър, да работи с базирано на риска удостоверяване или да ви защитава срещу по-усъвършенствани и замаскирани заплахи.

6. Неактуална Active Directory
"Идентичността вече е новият периметър и данните текат навсякъде", отбелязват Дейвид Махди и Стиви Райли от Gartner в презентация. "Вие трябва да дадете на правилните хора правилния достъп до правилните ресурси в правилното време за правилната причина." Това със сигурност са много неща, които трябва да са правилни. Това означава, че вашата Active Directory може да не отразява реалността както по отношение на настоящите и одобрени потребители, така на настоящите и одобрени приложения и сървъри. Време е да извадите ножиците за кастрене. Миграцията към облака ще премине по-гладко, ако преместите най-точната информация.

7. Не се търси съдействие
Много доставчици на управлявани услуги за сигурност (MSSPs) се специализират в тези видове миграции и вие не трябва да се притеснявате да ги помолите за съдействие. Може да сте твърде заети да отделите цялото си внимание на миграцията и неволно да пропуснете някои важни аспекти. Освен това има вероятност в бързината да преместите всичко в облака, оставяйки отворени някои задни вратички или създавайки уязвимости.

Превод и редакция Мариана Апостолова





X