不要让内部威胁降临您的云部署
云为组织提供了多种好处。但是,不要让利益使你无法承受内外的风险。图片来源:Getty对于组织来说,内部人员可能比外部攻击者更容易受到网络威胁,原因很明显 - 他们已经在内部了。无论是恶意还是简单无知或粗心,他们都可能构成更大的风险,因为他们不必违反外部安全障碍,只是出现不会引起任何危险信号 - 他们应该在那里。但显然这些威胁并不像某些组织那样明显 - 特别是涉及到云时。在最近的Threatbusters:Bitglass的2019年内部威胁报告中,云访问安全经纪人(CASB)公司发现,在接受调查的437名IT专业人员中,有68%认为他们的组织处于中度到极度容易受到内部威胁的影响。受访者来自Cybersecurity Insiders,这是一个由40万名信息安全专业人士组成的社区。
也许并不奇怪,鉴于这种脆弱程度,73%的受访者表示内部威胁变得越来越普遍。这与公司2017年报告中同名的56%相比显着上升。
另一个加剧内部威胁的因素是调查受访者报告称“只有50%的组织提供有关内部威胁的用户培训,而仅有31%的组织实施二级身份验证以防范内部威胁。”
另一个因素是将部分或全部应用程序,存储和工作负载迁移到云中的现实已经成为大多数组织的现实或近期目标。
这有很好的理由。云现在是一种成熟,可靠的技术,涉及大型企业 - 亚马逊,思科,微软和其他公司。它节省了资金 - 存储更容易,成本更低,可扩展而不会超出预算,它可以让企业以更少的停机时间,成本和损失完成更多工作,并减少基础架构开销。
除了经济激励之外,它还具有高可用性,允许远程员工访问和在线工作的能力。
但所有这些都伴随着风险。云环境与现有的几乎所有应用程序和相应的基础架构堆栈相连接。
“内部部署”和云环境共有的可能漏洞列表众所周知,但值得重复。它包括弱身份,凭证和访问管理;不安全的API;尽职调查不充分;缺乏加密;是的,恶意/无知的内部人士。
所有这些都应该成为组织改善其针对云和内部威胁的安全举措的另一个警告。
根据该调查,41%的受访者表示,如果组织没有监控“跨云覆盖的异常用户行为”的工具,云迁移会使内部攻击更难以检测和防御。
这种行为也不一定是恶意的。Synopsys的高级顾问Kinnaird McQuade表示,虽然恶意内部人员是一个合理的担忧,但员工更有可能无意中“做坏事或愚蠢的事情,这更有可能为其他攻击开辟道路”。
但是有一些方法可以减轻这些风险。当涉及到内部威胁时,组织应该遵循专家几十年来一直发布的建议 - 限制员工对他们工作所需的访问权限和权限 - “最小权限”原则。它称为身份和访问管理(IAM) ),这是一个安全基础。
“组织应该阻止用户拥有打开新的攻击面和访问沙箱环境的时间框的权限,”McQuade说。“例如,在AWS中从混合网络环境中打开NAT [网络地址转换]网关并不一定是坏事 - 事实上,在某些情况下这是必要的 - 但它引入了使用该NAT网关的服务器拉动的可能性来自任何远程资源的包或内容。用户不应该是唯一的责任承担者 - 组织应该采取预防措施。“
在这些预防措施中:
- 确保云平台配置正确:“增强配置管理和基础架构配置活动的自动化,可以显着减少与错误配置,管理不善,缺少补丁和错误相关的漏洞,”他说。
- 将“护栏”放置到位:默认的安全着陆区可以帮助防止新的攻击面在开发,升级和生产等新环境中打开,McQuade说,“通过防止对云提供商API的潜在危险调用。”
“登陆区在创建时提供足够的护栏以支持创新,但确保实施组织安全要求,例如网络架构和日志聚合。”
- 通过监控补充护栏:“让内部团队提供所有与云相关的风险的顶级视图,确定可见性和预防要求,并将这些要求转变为管理IAM的程序化策略,”McQuade说。
可视性需要适当的监控和警报,而预防要求包括“每个环境的策略的程序化定义,例如AWS中的服务控制策略,以及其他禁止潜在危险行为的控制”,他说。
- 不要忘记检测:即使是严格的IAM - 限制对所有便携式设备的访问和执行加密以及传输中的数据 - 也不会完全消除风险。因此,请准备好发现并减轻违规行为。
Synopsys产品营销经理Matan Scharf表示,早期检测策略应包括控制,如数据泄漏防护,监控黑暗网络的第三方供应商的威胁情报(Pastebin等),以及事件响应功能以及业务连续性和灾难恢复计划。
McQuade说,这不是一个简单的过程,并指出在将用户或操作提供给云环境之前,很难将所有这些控制措施放到位。在一个组织改革其方法后,在云计算之后总会有清理活动。“
但是,为了避免将云部署变成噩梦,非常值得花时间,精力和金钱。“如果你在没有安全故事的情况下扩展你的云功能,事情会很快失去控制,”McQuade说。
标签: