علی رغم نگرانی های امنیتی ، استفاده از ابر در بالاترین حد خود قرار دارد. آسیب پذیری هفته گذشته ChaosDB نشان می دهد که شرکت ها باید استراتژی های امنیتی خود را تطبیق داده و به سمت مدل اعتماد صفر و احراز هویت مبتنی بر هویت حرکت کنند.
تفکر استاندارد در مورد امنیت ابر به شرح زیر است:
وقتی بر روی ابر حرکت می کنیم ، کنترل زیرساخت ها را کنار می گذاریم ، اما ارائه دهندگان خدمات ، به طور متوسط ، کار خود را به خوبی انجام می دهند یا بهتر از آن چیزی است که می توانیم در محل کار مدیریت کنیم.
ارائه دهندگان ابر هیچ کاری جز ابر انجام نمی دهند و می توانند بیشتر از یک شرکت معمولی در فناوری و پرسنل امنیتی سرمایه گذاری کنند.
بنابراین ما به ارائه دهندگان ابر اجازه می دهیم تا زیرساخت ها را اداره کنند و نگران مواردی که مسئولیت ماست ، مانند تنظیمات پیکربندی ابر و امنیت برنامه ها ، باشیم.
اما وقتی یک ارائه دهنده اصلی ابر امنیت زیرساخت های اساسی را به هم می زند ، آیا متخصصان مرکز داده و فناوری اطلاعات باید شانه های خود را بالا انداخته ، کلیدهای امنیتی را تنظیم کرده و به کار خود ادامه دهند؟ پس از همه ، مایکروسافت آسیب پذیری ChaosDB را ظرف دو روز پس از اطلاع از آن خاموش کرد.
و حتی اگر محقق کشف کننده ، مدیر فناوری Wiz ، Ami Luttwak ، به رویترز گفت که این “بدترین آسیب پذیری ابری است که می توانید تصور کنید” ، اما هنوز گزارشی از نقض های تایید شده به دلیل ChaosDB ندیده ایم. این با وجود به گفته شرکت امنیتی ابر Wiz ، “بهره برداری از آن بی اهمیت بود”.
ChaosDB به مهاجمان این امکان را می دهد که قابلیت چندگانه بودن را از بین ببرند و از نقصی در ابزار تجسم داده Jupyter Notebook مایکروسافت برای ورود به پایگاه های داده Cosmos DB مشتریان دیگر استفاده کنند. Cosmos DB هزاران مشتری دارد ، از جمله غول های شرکتی مانند Coca-Cola ، ExxonMobil ، Kohler ، Bentley و Liberty Mutual.
خطرات امنیت ابری
شرکت ها از خطرات ابری بسیار آگاه هستند.
طبق گزارش امنیتی ابر Fortinet ، که تابستان امسال منتشر شد ، 73 درصد از شرکت ها “بسیار یا بسیار نگران” امنیت ابر هستند.
در حال حاضر ، 97 enterprises از شرکت ها از رایانش ابری استفاده می کنند.
اما استفاده از ابر حتی بیشتر خواهد شد.
به این دلیل ، به گفته گارتنر ، تنها 20 درصد حجم کار از زیرساخت های ابری و خدمات پلتفرم استفاده می کنند. این درصد تا سال 2023 به 40 درصد خواهد رسید.
گارتنر ماه گذشته در گزارشی اعلام کرد هزینه عمومی ابر تنها 17 درصد از هزینه های فناوری اطلاعات شرکت ها را تشکیل می دهد.
این رقم تا سال 2026 به بیش از 45 درصد می رسد.
با توجه به این سونامی آتی ، شرکت ها باید در مورد استراتژی های امنیتی خود تجدید نظر کنند تا از احراز هویت بدون اعتماد و هویت استفاده کنند.
هر دوی این استراتژی ها راهکارهایی هستند که کارشناسان برای مقابله با خطرات مانند خطرات ناشی از آسیب پذیری ChaosDB توصیه می کنند. و آنها به آماده سازی شرکت ها برای مشکلات مشابه در آینده ، که در آن بسیاری از معماری و فرایندهای اساسی خارج از کنترل آنها است ، کمک خواهند کرد.
دان پترو ، محقق ارشد در شرکت آزمایش امنیت Bishop Fox ، می گوید: “ارائه دهنده ابر می تواند تنها نقطه شکست باشد.”
وی به Data Center Knowledge می گوید و با پیشروی صنعت به سمت زیرساخت های بدون سرور ، آسیب پذیری هایی مانند ChaosDB احتمالاً از نظر وقوع و شدت افزایش می یابد.
مارک اورلاندو ، بنیانگذار و مدیر عامل شرکت Bionic Cyber می گوید: “هر زمان که این ضعف های بسیار مشهود و برجسته را داشته باشیم ، مهاجمان متوجه این امر خواهند شد و این باعث الهام بخش حملات مشابه ، تحقیقات تهاجمی مشابه خواهد شد.” مدرس عملیات امنیتی در موسسه SANS ؛ و مدیر سابق تیم امنیتی در پنتاگون ، کاخ سفید و وزارت انرژی.
وی به Data Center Knowledge گفت: و یک آسیب پذیری مانند ChaosDB می تواند با هر ارائه دهنده خدمات ایجاد شود.
به مدل Zero-Trust بروید
یکی از استراتژی های کلیدی این است که به سراغ رویکردی بدون اعتماد و مبتنی بر هویت در احراز هویت و امنیت برویم.
با آسیب پذیری ChaosDB ، مهاجمان توانستند به کلیدهای امنیتی دسترسی پیدا کنند.
امروزه بسیاری از سیستم ها برای احراز هویت به کلیدها یا اعتبارنامه ها متکی هستند که می توان آنها را به راحتی سرقت کرد.
در واقع ، بر اساس آخرین گزارش تحقیقات نقض داده های Verizon ، اطلاعات از دست رفته یا سرقت شده در 61 درصد نقض ها دخیل بوده است.
با وجود آسیب پذیری ChaosDB ، حتی اگر مایکروسافت نقص امنیتی را فوراً برطرف کرد ، شرکت ها در صورت تکیه بر کلیدهای امنیتی مشترک هنوز آسیب پذیر بودند.
مایکروسافت با آن شرکت ها تماس گرفت و به آنها دستور داد کلیدهای خود را تغییر دهند. مایکروسافت نتوانست آن کلیدهای خصوصی را برای آنها تنظیم مجدد کند.
الیور پینسون-روکسبورگ ، مدیر عامل شرکت TargetDefense ، یک شرکت امنیت سایبری ، از شرکت های بزرگ خواست تا این کار را انجام دهند. “و آیا مایکروسافت در صورت تغییر کلید کلیدها را کنترل خواهد کرد؟”
او به Data Center Knowledge گفت که اغلب شرکت ها در تأیید امنیت ، حتی بسیار ساده ، دیر عمل می کنند. “در داده های آزمایش نفوذ ما ، نشان می دهد که بیش از 79 درصد از مسائل برای رفع آنها تلاش کمی است ، به این معنی که مشاغل ، حتی کسانی که برای امنیت هزینه می کنند ، هنوز میوه های کم پشت را ترمیم نمی کنند.”
اعتماد صفر ، تقسیم بندی و کنترل های دسترسی مبتنی بر نقش برخی از استراتژی هایی هستند که می توان برای به حداقل رساندن این خطرات استفاده کرد.
اورلاندو گفت: با چنین تکنیک هایی ، “حتی اگر اعتبارنامه ها و کلیدها به خطر بیفتد ، آسیب محدود است.” “این یک مسئله جهانی نیست.”
به عنوان مثال ، Avi Nutkis ، مهندس امنیت در Oak9 ، یک شرکت امنیت ابری ، می گوید ، اگر آسیب پذیری ChaosDB وجود داشته باشد ، اگر شرکت ها ارتباطات محدودی با IP های خاص یا نقاط پایانی خصوصی داشته باشند و از کنترل های دسترسی مبتنی بر نقش استفاده کنند ، از آنها محافظت می شد.
در مدل امنیتی قدیمی قلعه و خندق ، به ترافیک داخلی به طور خودکار اعتماد می شد. اما با ChaosDB ، مهاجمان قبلاً در خانه بوده اند.
Nutkis به Data Center Knowledge گفت: “ما نباید تصور کنیم که هرگونه ترافیکی از داخل شبکه قابل اعتماد است.” “معماری های صفر اعتماد ، مستلزم آن است که تا زمانی که خلاف آن ثابت نشود ، تمام ترافیک غیرقابل اعتماد تلقی شود.”
شرکت ها به طور فزاینده ای از مزایای مدل اعتماد صفر آگاه هستند و در حال برنامه ریزی برای اتخاذ آن هستند.
بر اساس یک نظرسنجی که مایکروسافت در ماه جولای منتشر کرد ، 96 درصد از تصمیم گیرندگان امنیتی اظهار می کنند که اعتماد صفر برای موفقیت سازمان آنها حیاتی است و 76 درصد می گویند که آنها در مرحله پیاده سازی آن هستند. اما تنها 35 درصد آن را به طور کامل اجرا کرده اند ، و حتی آنهایی که اجرای اعتماد صفر را در تمام مناطق و اجزای خطرناک امنیتی به پایان نرسانده اند.
در ماه مه ، بایدن رئیس جمهور آمریکا فرمان اجرایی را امضا کرد که به دولت فدرال دستور می دهد تا اعتماد صفر را اتخاذ کند و از ارائه دهندگان خدمات ابری خارجی به اعتماد صفر نیاز داشته باشد.
با این حال ، بیش از 40 درصد از پاسخ دهندگان به نظرسنجی ماه جولای IBM از تصمیم گیرندگان دولت فناوری اطلاعات گفتند اتخاذ مدل اعتماد صفر سه سال دیگر به طول می انجامد.
یک کنترل امنیتی ساده که بخشی از چارچوب اعتماد صفر است ، احراز هویت چند عاملی ، همچنین بخشی از فرمان اجرایی بایدن است. این سالها یک توصیه برتر برای شرکت ها بوده است و به طور گسترده ای به عنوان یکی از موثرترین کنترل های امنیتی شناخته شده است.
اما طبق آخرین گزارش تهدید داده های تالس ، تنها 55 درصد از شرکت ها از هر نوع احراز هویت چند عاملی استفاده کرده اند.
امروزه شکاف بزرگی بین آنچه شرکتها می دانند باید انجام دهند و آنچه در زمین اتفاق می افتد وجود دارد.
آسیب پذیری هایی مانند ChaosDB و حملات اخیر علیه SolarWinds و Kaseya نشان می دهد که ما چقدر در برابر حملات به سرویس ها یا سیستم عامل های متداول آسیب پذیر هستیم.
رمزگذاری امنیت ابری
یک روش امنیتی اساسی دیگر وجود دارد که می تواند شرکت ها را در برابر ChaosDB و حملات مشابه محافظت کند: رمزگذاری جامع همه داده های مهم.
دبلیو کرتیس پرستون ، م evسس فنی ارشد شرکت درووا ، یک شرکت امنیتی ابری ، می گوید: “رمزگذاری جداگانه هر نهاد در پایگاه داده تنها راه جلوگیری از حملات است که اطلاعات را حذف می کند.” با وجود این اقدامات ، هکرها راهی برای رمزگشایی اطلاعات حساس ندارند ، حتی اگر بتوانند به پایگاه داده دسترسی پیدا کنند. “
اما ، به گفته تالس ، تنها 17 درصد از شرکت ها بیش از نیمی از داده های خود را در ابر رمزگذاری می کنند.
با توجه به اهمیت ابر برای شرکت های امروزی و اهمیت امنیت سایبری ، بسیاری از اقدامات احتیاطی اولیه امنیتی که انجام نمی شود ، شوکه کننده است. این اطمینان چندانی در اتخاذ سریع رویکردهای امنیتی پیچیده تر مانند اعتماد صفر ایجاد نمی کند.