Kan du huske de våte dagene i videospillarkadene? Dette vil sannsynligvis date meg, men jeg har gode minner fra å gå inn i den magiske verdenen til en spillehall mens jeg gikk første året på universitetet. Når den merkelige forelesningen om kontrollsystemer eller prinsipper for elektrisitet tidlig om morgenen ikke hørtes for overbevisende ut, hoppet jeg over timen og dro til den lokale arkaden med vennene mine for en time eller to med Defender, Tempest, Frogger, Space Invaders eller Pac -Mann.
Jeg ble kort minnet om arkadespillverdenen da jeg kom over en nylig publikasjon fra Cloud Security Alliance (CSA): Topptrusler mot Cloud Computing – Pandemic Eleven. Artikkelen diskuterer skysikkerhetstemaer og vurderer en rekke skyrelaterte trusler for utøvere og de som planlegger migrering til skyen. Som du kan se fra forsideillustrasjonen ovenfor, har de designet kunstverket inspirert av Pac-Man-labyrintens brukergrensesnitt med de 11 truslene som erstatter de tradisjonelle Pac-Man-spøkelsene.
De 11 problemene er basert på tilbakemeldinger fra 700 bransjeeksperter som identifiserte disse, oppført i prioritet som de viktigste problemene i deres skymiljøer. Hvert av de 11 temaene diskuteres kort før man vurderer forretningseffekten, og tilbyr viktige takeaways og deretter anekdoter og virkelige eksempler på utnyttelser og eksfiltrasjoner for å illustrere hva som har og kan skje hvis du ikke beskytter deg mot disse truslene. Hver trussel er også kryssreferert til andre CSA-ressurser som deres sikkerhetsveiledningsdokument og Cloud Controls Matrix (CCM) malregneark. Nyttig for alle skyutøvere som ønsker å stramme opp skymiljøet sitt.
De 11 truslene som er skissert i rapporten er som følger:
| Trussel | Konsekvens | |
| 1 | Utilstrekkelig identitet, legitimasjon, tilgang og nøkkeladministrasjon | Understreker risikoen for privilegerte kontoer og behovet for minst privilegert tilgang. |
| 2 | Usikre grensesnitt og APIer | Understreker behovet for at APIer og mikrotjenester skal sjekkes for sårbarheter på grunn av feilkonfigurasjon, dårlig kodingspraksis, mangel på autentisering og upassende autorisasjon. |
| 3 | Feilkonfigurasjon og utilstrekkelig endringskontroll | Å erkjenne at både ondsinnede og utilsiktede feil kan ha en skadelig innvirkning på en organisasjons applikasjoner og infrastruktur som resulterer i driftsstans. |
| 4 | Mangel på skysikkerhetsarkitektur og -strategi | Understreker at “strategi bør gå foran og diktere design” samtidig som man anerkjenner den smidige, inkrementelle tilnærmingen til planlegging. |
| 5 | Usikker programvareutvikling | Trusselaktører kan utnytte kompleksiteten til programvare for å utføre utnyttelser i skyen. Log4j får en omtale her. |
| 6 | Usikrede tredjepartsressurser | Understreker viktigheten av å verifisere opprinnelsen og integriteten til forsyningskjeden din. |
| 7 | Systemsårbarheter | Vurderer systemsårbarheter som nulldagssårbarheter, manglende sikkerhetsoppdateringer, konfigurasjonsbaserte sårbarheter og svak legitimasjon. |
| 8 | Utilsiktet dataavsløring i skyen | Fremhever utfordringene organisasjoner står overfor ved å jobbe i miljøer med flere skyer – gjør feilkonfigurasjoner og fingerproblemer som fører til utilsiktede datalekkasjer. |
| 9 | Feilkonfigurering og utnyttelse av serverløse og containerarbeidsbelastninger | I opp- og nedrivningsmiljøer for VM-er og containerkonfigurasjoner er det en stor angrepsflate som må herdes på riktig måte. |
| 10 | Organisert kriminalitet/hackere/Avanserte vedvarende trusler | Ransomware, SolarWinds, et al. Trusselen er reell, og alle organisasjoner er i omfang for slike angrep. |
| 11 | Cloud Storage Data Exfiltration | Vanlig skade på omdømmet, bøter og økonomisk ramme for en organisasjon. |
Ting har gått videre siden 1980-tallet da Pac-Man var allestedsnærværende, og angrepsvektorene var de hurtiggående spøkelsesgjengkarakterene. Blinky var en av dem. Kanskje du kan huske de andre? Internett-søkemotoren rapporterer at Pinky, Inky og Clyde var de andre spøkelsene i Pac-Man-gjengen. Full karakter hvis du har navngitt alle fire! Å lese CSA-publikasjonen minnet meg på hvordan utfordringer har utviklet seg fra det lokale miljøet der truslene var kjent, datasenteret var i umiddelbar nærhet, og prosessene og prosedyrene ble dokumentert og praktisert. I skyen har vi delt ansvar, og de dynamiske så vel som trusselmodellene/angrepsvektorene har endret seg. Ja, skyen tilbyr strengheten og sikkerheten til de store skytjenesteleverandørene, men behovet for nøye allokering av systemadministratorer , setting minste privilegium, miljøharding, due diligence og etterlevelse har ikke gått bort.
Entrust CloudControl tilbyr en compliance-sentrisk, enterprise-grade løsning for virtualiserte og containeriserte miljøer. Det sikrer at DevSecOps og sikkerhetsadministratorer kan etablere, administrere og opprettholde en robust sikkerhetsstilling på tvers av flere skyer og lokale miljøer. Dette forhindrer utilsiktede eller ondsinnede feilkonfigurasjoner som fører til mislykkede revisjoner, tjenesteavbrudd eller brudd på sikkerheten.
For de organisasjonene som migrerer til multi-sky- og hybrid-distribusjoner, tilbyr Entrust en komplett pakke med sikkerhetsløsninger som tilbyr de riktige verktøyene for å beskytte mot de viktigste cloud computing-truslene skissert av rapporten. Entrust tilbyr løsninger som leverer på tvers av kategorier og gjør det mulig for bedrifter å oppnå sine multi-sky sikkerhet strategi gjennom én enkelt leverandør, sikring av arbeidsmengden, skape tillit til miljøet den kjører i, og sikre overholdelse av definerte retningslinjer administrert og vedlikeholdt på tvers av alle artefakter og på tvers av alle distribusjonsmiljøer.
Posten Å ta en helhetlig tilnærming til å takle de største truslene mot Cloud Computing i en verden med flere skyer dukket opp først Betro bloggen.
*** Dette er en Security Bloggers Network-syndikert blogg fra Betro bloggen forfattet av Iain Beveridge. Les originalinnlegget på: https://www.entrust.com/blog/2022/09/taking-a-holistic-approach-to-tackling-the-top-threats-to-cloud-computing-in-a-multi-cloud-world/