Die Bresche
In den letzten Monaten gab es mehrere Datenschutzverletzungen bei Unternehmen im Einzelhandel, bei Börsenmaklern, Restaurantketten, FinTech-Unternehmen usw. in Indien. Diese Verletzungen haben die Namen, E-Mail-IDs, Geburtsdatum, PAN-Karte, Kreditkarte, Bankdaten und andere persönlich identifizierbare Informationen (PII) von mehreren Millionen von Kunden durchgesickert.
Dies ist höchst besorgniserregend, da diese Daten für lange Zeit im Dark Web liegen und für jeden, der sie missbrauchen möchte, zum Verkauf stehen werden. Sie sehen die Auswirkungen vielleicht nicht sofort - aber das sind Informationen, die böse Akteure nutzen können, um sich als Sie auszugeben und in Ihrem Namen betrügerische Dienste, Kredite, Kreditkarten usw. zu eröffnen.
Im Fall der Maklerfirma wird als Grund für die Verletzung eine kompromittierte AWS-Zugangsschlüssel (Wir konnten dies nicht verifizieren).
Was sind Access Keys in AWS und welche Sicherheitsbedrohungen gibt es?
Nehmen wir an, Ihr Zugangsschlüssel wurde geknackt - es gibt viele Möglichkeiten, wie dies geschehen kann; Ein typisches Beispiel sind Entwickler, die Code in ein öffentliches GIT-Repositorium (Public Code Repository) einchecken und böse Akteure, die diese Informationen ausnutzen.
Sobald Ihr Zugriffsschlüssel in den Händen eines bösen Akteurs ist, kann dieser schnell Schaden in Ihrer Cloud-Infrastruktur anrichten. Auch hier gilt: Das Ausmaß des angerichteten Schadens hängt von den Berechtigungen des Zugriffsschlüssels ab.
Nehmen wir an, die Maklerfirma hat alle diese Dateien in einem S3-Bucket in AWS gespeichert. S3-Buckets (öffentlicher Cloud-Speicher) in AWS waren Gegenstand vieler Sicherheitsverletzungen. Nehmen wir außerdem an, dass der Zugriffsschlüssel administrativen Zugriff auf dieses AWS-Konto hatte. dies geschieht in vielen Kundenumgebungen, die wir auditiert haben.
Der Hacker kann diese administrativen Berechtigungen nutzen, um herauszufinden, wo Ihre Kronjuwelen-Daten (PII-Daten) gespeichert sind, sie exfiltrieren und die administrativen Berechtigungen auch nutzen, um eine komplette Kontoübernahme durchzuführen.
PII = Persönlich identifizierbare Informationen
ABER, wenn das Prinzip des geringsten Privilegs angewendet wurde, während dem IAM-Benutzer (dem der Zugriffsschlüssel zugeordnet ist) Berechtigungen zugewiesen wurden, und sagen wir, der IAM-Benutzer hatte nur die Berechtigung, einige S3-Buckets (die Nicht-PII-Daten enthielten) anzuzeigen, hätte das Ihren Bedrohungsfaktor erheblich reduziert. Es gibt eine Vielzahl von Möglichkeiten, wie Sie das Prinzip der geringsten Privilegien anwenden können - viele davon sind anwendungsfallspezifisch.
Der zu beachtende Punkt ist - in fast 90% der von uns geprüften Cloud-Konten gab es viel zu viele IAM-Benutzer, die Administratorrechte hatten, die überhaupt nicht benötigt wurden. Identifizieren und beschneiden Sie diese Berechtigungen - sonst machen Sie sich angreifbar.
Abschließende Gedanken
Da immer mehr Unternehmen die Public Cloud nutzen, ist es von entscheidender Bedeutung, über die besten Praktiken zu informieren und aufzuklären, die bei der Konfiguration der Cloud und vor allem bei der Erstellung von Zugriffsschlüsseln und der Zuordnung von Berechtigungen zu den IAM-Benutzern der Cloud anzuwenden sind.
Befolgen Sie IMMER das Prinzip der geringsten Privilegien und wenden Sie es an. Sie können einen Einbruch vielleicht nicht verhindern, selbst wenn Sie alle neuesten Sicherheitsprodukte haben, aber Sie können definitiv clever sein und den Schaden minimieren und Ihr Fenster für die Erkennung von Bedrohungen verkleinern.
Denken Sie daran, dass die Cloud von Haus aus sicher ist. Dennoch müssen Cloud-Kunden die Best Practices befolgen und eine gute Sicherheitshygiene einbauen. weil SIE für die Sicherheit IHRER Cloud-Infrastruktur verantwortlich sind
Über C3M
- Vollständige Sichtbarkeit
- Vermeidung von Fehlkonfigurationen
- Sicherstellung der Compliance
- Reaktion auf Vorfälle
- Least-Privilege-Durchsetzung
- Identität und Berechtigungsverwaltung
- Quantifizierung der Risikoposition
