Zahraničné, ale aj slovenské organizácie pokračujú s presunom svojich IT systémov a dát do cloudového prostredia. Prechod do cloudu však nie je len o migrácii dát, ale aj o zmene prístupu správcov, a to mnohokrát prináša nové výzvy a konfiguračné postupy. Potom sa jednoducho môže stať, že sa pri migrácii niečo zabudne ošetriť, nastaviť či všeobecne nakonfigurovať podľa „best practice“. Tak vznikajú tzv. miskonfigurácie a vďaka nim firmy následne zbytočne čelia väčšiemu počtu útokov, než tomu bolo skôr a nedokážu sa im adekvátne brániť.
Ako cloudové, tak on-premise riešenia ponúkajú jasné výhody a riešia konkrétne výzvy a potreby organizácií. Vziať a presunúť kompletne lokálnu IT infraštruktúru bez potrebných zmien do cloudu (tzv. Lift & Shift prístup) je však častou chybou, ktorej sa dopúšťajú. Oba typy prostredí – či už on-premise alebo cloudové – prinášajú výhody aj nevýhody, a preto je možné sa u zákazníkov často stretnúť s hybridnými prostrediami. Dôvodom pre toto riešenie býva, buď legislatívna požiadavka (z pohľadu citlivosti dát a toho, kde sa takéto dáta môžu či nemôžu nachádzať), alebo architektúra a komplexita legacy aplikácií, ktoré sa nedajú v cloude prevádzkovať vôbec, či s nutnou, avšak neprimeranou investíciou a vypätím síl.
Migrácia do cloudu môže organizáciám pomôcť znížiť náklady na IT (v prípade správneho využívania cloudových prostriedkov), získať kedykoľvek vyšší, a hlavne škálovateľnejší výkon, zvýšiť flexibilitu úložiska, zjednodušiť a zrýchliť nasadenie systémov a aplikácií a zároveň získať prístup k dátam a systémom odkiaľkoľvek, kedykoľvek, a to 365 dní v roku.
Nasadenie cloudu z kybernetického hľadiska však môže zvýšiť pravdepodobnosť napadnutia organizácií. Pokiaľ padne rozhodnutie „poďme do cloudu“, musí sa k nemu pristupovať zodpovedne. V prvom rade je potrebné si uvedomiť, že cloud, ako taký, je zdieľaná zodpovednosť medzi poskytovateľom cloudových služieb a zákazníkom. Cloud teda nie je nikdy samospasný. Môžeme sa samozrejme baviť o výbere správneho modelu (IaaS/PaaS/SaaS), ale pokiaľ chceme uľaviť internému IT/SEC tímu, správnou cestou by mal byť model PaaS a SaaS, kde väčšina zodpovednosti spadá práve na poskytovateľa cloudových služieb. Príležitosť prechodu do cloudu sa musí vnímať ako šanca na prechod k modernému a bezpečnému riešeniu firemnej infraštruktúry. Zároveň sa nesmie zabudnúť zapojiť bezpečnostné oddelenie, ktoré by malo byť fundamentálnou a integrálnou súčasťou každého podobného projektu.
Bohužiaľ väčšina cloudových migrácií mnohokrát znamená len ohýbanie a presun existujúceho stavu. Z toho vyplýva, že je potrebné začať využívať ideálne natívne cloudové prostriedky, čo v mnohých ohľadoch znamená premenu existujúcich monolitických aplikácií. V opačnom prípade, obyčajným presunom systémov a dát spoločnosti nič nezískajú a s najväčšou pravdepodobnosťou ich to bude stáť viac finančných prostriedkov než pôvodné riešenie v on-premise.
Zatiaľ čo v prípade on-premise riešení sú dnešné spoločnosti pomerne dobre vybavené nástrojmi pre monitoring stavu a kontrolu zabezpečenia z pohľadu zabehnutých a overených štandardov, pre migráciu do cloudu to tak byť nemusí. Chybné konfigurácie cloudu predstavujú zraniteľné miesta, ktoré čakajú, až si ich útočníci všimnú. Ide o vstupné brány, prostredníctvom ktorých je možné infiltrovať nielen cloudovú infraštruktúru, ale vďaka prepojeniu a hybridnému režimu aj laterálne presunúť do existujúcej on-premise časti infraštruktúry, kde je potom možné exfiltrovať dáta, prístupové údaje, telemetrické dáta strojov v OT prostredí, zdravotné záznamy či osobné údaje, a to všetko napríklad zakončiť nasadením ransomwaru.
Podľa odborníkov má priemerný podnik každý rok stovky chybných konfigurácií, ale o prevažnej väčšine z nich ich IT oddelenia vôbec netušia. Všetky chybné konfigurácie sú pritom výsledkom ľudskej chyby a chýbajúcich nástrojov na kontrolu konfiguračného stavu cloudu (napr. tzv. CSPM – Cloud Security Posture Management).
Pri migrácii systémov dosť často dochádza aj k tomu, že vybrané služby, ktoré boli dostupné v rámci on-premise riešení len interne, sú po migrácii vystavené verejne na internete, bez filtrovania a blokovania externej sieťovej prevádzky. Touto chybou trpí veľa spoločností, a dokonca mnohé z nich spadajú pod kritickú infraštruktúru. Môže sa teda stať, že sa na internete objaví verejne dostupná konzola pre ovládanie priemyselných riadiacich systémov. Nedávno sme takto detekovali konzolu ICS systému pre ovládanie výrobnej a montážnej linky – bez nutnosti overenia. Bežným folklórom sú služby obsahujúce zneužiteľné zraniteľnosti bez dodatočného zabezpečenia, ktoré bolo nasadené v on-premise riešení, ale v cloude sa už alebo ešte neimplementovalo (napr. chýbajúci WAF – Web Application Firewall) a ďalej služby s predvolenými prístupovými údajmi a služby slúžiace ku vzdialenej správe interných systémov zákazníka alebo dokonca voľne prístupných dát citlivého charakteru.
Preto, pričom štatistiky nášho dohľadového centra to len potvrdzujú, následne dochádza k desiatkam až stovkám incidentov mesačne. Chybné bezpečnostné konfigurácie sa stávajú ľahkým cieľom útočníkov, ktorí dobre vedia, že ich má takmer každý podnik. Toto zanedbanie môže mať katastrofálne následky. Útočníkom pomáha v prieskume a infiltrácii do zákazníckeho prostredia vytvorenie permanentných väzieb pre vzdialený prístup, ovládnutie systémov, exfiltráciu dát, ale napríklad aj prihlasovacích údajov, ktoré sú následne zverejnené alebo predané a použité na ďalšie útoky. Prípadne otvára dvere postranným ransomware alebo cryptojacking útokom, pri ktorých sú zneužívané cloudové výpočtové zdroje k podpore kryptoťažobných aktivít.
Správa a sledovanie konfigurácie vyžaduje mnohostranný prístup. Organizácie by mali zaviesť osvedčené bezpečnostné postupy, ako je pravidelné hodnotenie stavu zabezpečenia cloudu (Cloud Security Posture Management), ktoré pomôžu odhaliť mnoho bezpečnostných prehreškov a miskonfigurácií. Je potrebné dodržiavať zásadu Least-Privilege a priebežne monitorovať a auditovať cloudové systémy.
Udržiavanie dostatočnej viditeľnosti cloudových aktív by malo byť prioritou, rovnako aj v rámci on-premise. Ďalej pomôže silný Identity & Access Management, ktorý umožní škálovať oprávnenia, aby bola zabezpečená správna úroveň prístupu ku cloudovým službám.
Identifikáciou rôznych chybných konfigurácií pri migrácii do cloudu a ich vyvarovanie podnikom pomôže odstrániť hlavné bezpečnostné problémy. S tým dokážu pomôcť špecializované firmy, ktoré organizáciu prevedú celým procesom a všetko správne nastavia.
We are in the process of finalizing. If you want to be redirected to our old version of web site, please click here.
