Podniky nesedí se založenýma rukama a nepřemýšlejí, zda by měly riskovat migraci aplikací a dat do cloudu. Už to dělají, ale bezpečnost tohoto prostředí zůstává nadále vážným problémem.
Při minimalizaci rizika v cloudu je prvním krokem zjištění nejvážnějších bezpečnostních hrozeb. Na nedávné konferenci RSA skupina CSA (Cloud Security Alliance) představila „Treacherous 12“, tedy dvanáct nejzávažnějších hrozeb cloud computingu, kterým organizace čelí v letošním roce. Tady jsou její postřehy, které vám mohou pomoci vhodně zaměřit své obranné úsilí.
Povaha cloud computingu, která zahrnuje aspekty sdílení a využívání podle potřeby, přináší možnost nových způsobů narušení bezpečnosti, které mohou eliminovat veškeré výhody získané přechodem na cloudovou technologii, varuje CSA.
Už předchozí zprávy CSA upozorňovaly, že cloudové služby umožňují ze své podstaty uživatelům obejít celopodnikové bezpečnostní zásady a vytvořit si vlastní účty ve službách, a mít tak stínové IT projekty. Je tedy nutné zavést nová opatření.
„Zpráva ‚Největší hrozby roku 2016 (The 2016 Top Threats)‘ odráží přesun důsledků špatných rozhodnutí o cloud computingu k vyšším manažerským pozicím,“ uvádí J. R. Santos, výkonný viceprezident výzkumu skupiny CSA.
Hrozba č. 1: Úniky dat
Cloudová prostředí čelí mnoha stejným hrozbám jako tradiční podnikové sítě, ale vzhledem k obrovskému množství dat uložených na cloudových serverech se stali poskytovatelé cloudu atraktivním cílem.
Závažnost případných škod závisí na citlivosti exponovaných dat. Ve zprávách se dostává pozornosti únikům osobních finančních informací, ale úniky zdravotních informací, obchodních tajemství a duševního vlastnictví mohou být ještě ničivější.
Když dojde k úniku dat, mohou společnosti čelit pokutám a dalším finančním kompenzacím a také soudním sporům a obviněním z trestných činů. Vyšetřování úniku a oznámení zákazníkům může navíc vyvolat značné náklady.
Nepřímé dopady, jako jsou poškození značky a ztráta obchodu, pak mohou poškodit organizace na celá léta.
Poskytovatelé cloudu obvykle zavádějí bezpečnostní opatření pro ochranu svých prostředí, ale nakonec jsou to organizace, kdo nese odpovědnost za ochranu svých vlastních dat v cloudu. Skupina CSA organizacím doporučuje využívat pro ochranu před úniky dat vícefaktorovou autentizaci a šifrování.
Hrozba č. 2: Kompromitované přihlašovací údaje a nefunkční autentizace
Úniky dat a další útoky jsou často důsledkem nedbalé autentizace, slabých hesel a špatné správy klíčů nebo certifikátů. Organizace často zápasí se správou identit, když se snaží přidělit oprávnění odpovídající pracovní roli uživatele.
Ještě důležitější ale je, že někdy zapomínají odstranit přístup uživatele při změně pracovního zařazení nebo při úplném ukončení jeho pracovního poměru.
Systémy vícefaktorové autentizace, jako jsou jednorázová hesla, autentizace přes mobilní telefon a čipové karty, chrání cloudové služby, protože útočníkům stěžují přihlášení pomocí ukradených hesel.
Únik dat ze společnosti Anthem, který zpřístupnil více než 80 milionů zákaznických záznamů, byl důsledkem odcizených přihlašovacích údajů uživatele. Anthem nezavedl vícefaktorovou autentizaci, takže jakmile útočníci získali přihlašovací údaje, nastal doslova konec.
Mnoho vývojářů dělá tu chybu, že přihlašovací údaje a kryptografické klíče vkládají do zdrojového kódu a ponechávají je ve veřejně dostupných repozitářích, jako je GitHub.
Klíče je potřeba odpovídajícím způsobem chránit a je také nutná dobře zabezpečená infrastruktura veřejných klíčů, upozorňuje CSA. Je také nezbytné je periodicky měnit, aby bylo pro útočníky těžší použít klíče získané bez příslušné autorizace.
Organizace plánující sdružit identity s poskytovatelem cloudu musejí chápat bezpečnostní opatření používaná poskytovatelem k ochraně platformy identit.
Centralizace identity do jediného úložiště má svá rizika. Organizace by měly vyvážit kompromis pohodlí centralizace s rizikem vznikajícím v důsledku toho, že se takové úložiště stává extrémně cenným cílem pro útočníky.
Hrozba č. 3:Hacknutá rozhraní a rozhraní API
Prakticky každá cloudová služba a aplikace v současnosti nabízí rozhraní API. Týmy IT používají standardní rozhraní i API pro správu a komunikaci s cloudovými službami včetně těch, které pro cloud nabízejí provisioning, správu, orchestraci a monitoring.
Zabezpečení a dostupnost cloudových služeb – od autentizace a řízení přístupu až po šifrování a monitorování aktivit – záleží na bezpečnosti rozhraní API.
Jak organizace potřebují využívat více služeb a přihlašovacích údajů, zvyšuje se riziko zapojením třetích stran, které pracují s API a dále stavějí na těchto rozhraních, varuje CSA. Slabá rozhraní vystavují organizace bezpečnostním problémům souvisejícím s důvěrností, integritou, dostupností a odpovědností.
API i běžná rozhraní mají tendenci být nejexponovanějšími částmi systému, protože jsou obvykle dostupná z internetu. CSA doporučuje zavést adekvátní opatření jako „první linii obrany a detekce“.
Aplikace a systémy pro modelování hrozeb včetně toků dat, architektury a designu se stávají důležitými součástmi vývojového cyklu. CSA také doporučuje kontroly zaměřené na bezpečnost kódu a důkladné penetrační testy.
Hrozba č. 4: Zneužití zranitelností systému
Zranitelnosti systémů a zneužitelné chyby v programech nejsou novinkou, ale stávají se větším problémem s příchodem vícenásobného pronájmu ve sféře cloud computingu. Organizace sdílejí paměť, databáze a další zdroje ve vzájemné těsné blízkosti, což vytváří nový útočný prostor.
Naštěstí lze útoky na zranitelnosti systému zmírnit pomocí „základních IT procesů“, uvádí CSA. Osvědčené postupy zahrnují pravidelné skenování zranitelnosti, správu rychlých oprav a rychlou reakci na ohlášení hrozby pro systém.
Podle CSA jsou náklady na zmírnění zranitelností systémů „relativně malé ve srovnání s jinými výdaji z oblasti IT“. Výdaje na zavedení IT procesů pro odhalení a opravy zranitelností jsou ve srovnání s potenciálními škodami malé.
Regulovaná odvětví potřebují co nejrychlejší zajištění oprav, nejlépe jako součást automatizovaného a opakujícího se procesu, doporučuje CSA. Procesy řízení změn pro nouzové opravy zajišťují, aby byly sanační aktivity řádně zdokumentované a přezkoumané technickými týmy.
Hrozba č. 5: Únosy účtů
Phishing, podvody a softwarové exploity jsou stále úspěšné – a cloudové služby dávají těmto hrozbám nový rozměr, protože útočníci mohou odposlouchávat aktivity, manipulovat s transakcemi a upravovat data. Útočníci také mohou používat cloudovou aplikaci k zahájení dalších útoků.
Běžné strategie hloubkové obrany mohou zohledňovat škody vznikající narušením. Organizace by měly zakázat sdílení přihlašovacích údajů mezi uživateli a službami a také používat schémata vícefaktorové autentizace, kdekoli jsou k dispozici.
Účty – a zejména účty služeb – by se měly monitorovat tak, aby bylo možné vysledovat každou transakci ke konkrétnímu člověku. Klíčem k úspěchu je chránit přihlašovací údaje před odcizením, konstatuje CSA.
Hrozba č. 6: Zločiny lidí zevnitř
Hrozby od lidí zevnitř mají mnoho tváří: současný nebo bývalý zaměstnanec, správce systému, dodavatel nebo obchodní partner. Zločinná agenda sahá od krádeže dat až k pomstě.
Ve scénáři cloudu dokáže odhodlaný člověk zevnitř zničit celou infrastrukturu a manipulovat s daty. Systémy závisející výhradně na poskytovateli cloudových služeb v oblasti zabezpečení, například v oblasti šifrování, jsou vystavené největšímu riziku.
CSA doporučuje, aby organizace...
Tento příspěvek vyšel v Security Worldu 2/2016. Oproti této variantě je obsáhlejší a obsahuje řadu dalších rad, které můžete využít u sebe ve firmě.
Časopis (starší čísla i předplatné těch nadcházejících) si můžete objednat na adrese našeho vydavatelství.
PŘEDPLATNÉ
ČLÁNKY DO MAILU