Father
Professional
- Messages
- 2,602
- Reaction score
- 760
- Points
- 113
Облачные решения стали более популярными - и, следовательно, более доступными – чем когда-либо прежде.
Только в 2023 году ошеломляющие 82% утечек данных были совершены в общедоступных, частных или гибридных облачных средах. Более того, почти 40% утечек были совершены в нескольких облачных средах. Средняя стоимость взлома в облаке была выше общего среднего показателя и составила 4,75 миллиона долларов. В то время, когда облако стало стандартом де–факто - 65% лиц, принимающих решения в области ИТ, подтверждают, что облачные сервисы являются их первым выбором при обновлении или покупке новых решений, - несмотря на огромную популярность облачной безопасности, она по-прежнему сталкивается с множеством проблем.
Более того, когда в облачных развертываниях задействовано несколько команд – разработка, эксплуатация, безопасность - четкое владение и подотчетность за облачную безопасность могут быть размыты. Такое отсутствие координации может привести к ситуациям, когда лучшие методы обеспечения безопасности игнорируются или обходятся стороной. Кроме того, многие атаки перемещаются из облака в готовые среды и наоборот, что может подвергнуть риску обе среды.
Все эти проблемы подчеркивают настоятельную потребность в надежных решениях облачной безопасности, обеспечивающих всестороннюю прозрачность, стандартизированное управление разрешениями и четкое распределение ответственности. Тем не менее, ресурсы безопасности ограничены даже в самых подготовленных группах, и ожидается, что группы облачной безопасности будут исследовать и устранять тысячи уязвимостей, которые могут не все оказывать одинаковое влияние на критически важные ресурсы. Это приводит к неопределенности в отношении того, что нужно исправить в первую очередь и как на самом деле устранить все выявленные уязвимости, оставляя облачные среды уязвимыми для кибератак.
Сосредоточив внимание на областях с высоким уровнем риска, команды облачной безопасности могут разрабатывать целевые планы исправления, которые предотвращают крупные атаки, оптимизируют рабочие процессы и точно сообщают о реальных угрозах в нескольких облачных средах. Ключом к достижению этой цели является непрерывное управление выявлением угроз (CTEM), упреждающая и непрерывная пятиэтапная программа или фреймворк, который снижает подверженность кибератакам. Впервые представленная Gartner в 2022 году, CTEM доказала свою важность для предотвращения масштабных атак, повышения эффективности устранения неполадок и информирования о реальных рисках.
CTEM был представлен для решения проблемы бесконечных списков уязвимостей во всех операционных средах. Невозможность выделить и устранить наиболее критичные уязвимости вынуждает группы безопасности устранять CVE, которые могут быть использованы или неэффективны в их конкретной среде, а могут и не быть. В многооблачных средах списки уязвимостей могут быть короче, но вместе с неправильными настройками и высокопривилегированным доступом они составляют длинный список уязвимостей, которые злоумышленники могут использовать для взлома многооблачной среды и которые должны устранить службы безопасности. Единственный способ блокировать атаки - это идентифицировать и устранить уязвимости, оказывающие наибольшее влияние на ваш бизнес. Для этого требуется внедрение платформы CTEM в облачной среде.
Например, учет точки зрения злоумышленника позволяет определить наиболее уязвимые места. Уязвимые места - это критические слабые места в вашей облачной защите, где несколько путей атаки сходятся в одном месте. Они могут быть легко взломаны злоумышленниками, которые затем могут получить доступ к обширной сети ресурсов – базам данных, компьютерам, средствам контроля идентификационных данных и многому другому. Уделяя приоритетное внимание этим областям с высокой отдачей, группы безопасности сосредотачиваются на наиболее привлекательных целях для злоумышленников, максимизируя отдачу от своих усилий по обеспечению безопасности. Распространенные проблемы включают системы, подключенные к Интернету, и неиспользуемые учетные записи доступа. Их устранение значительно сокращает поверхность атаки, эффективно укрепляя всю вашу облачную среду.
Пример облачной контрольной точки, показывающий пути входящих и исходящих атак
Другой пример воздействия с высокой отдачей связан с предопределенным доступом с высокими привилегиями. Учетные записи с высокими привилегиями, как и предопределенные администраторы, считаются активами "game-over". В случае взлома злоумышленники могут нанести ущерб. Комплексный подход к CTEM помогает идентифицировать эти учетные записи и выявлять слабые места, которые могут сделать их уязвимыми. Это включает в себя обнаружение доступа администратора без многофакторной аутентификации (MFA) или неиспользуемых учетных записей служб - по сути, слабых мест, которыми злоумышленники хотели бы воспользоваться.
Для обеспечения устранения критических воздействий передовые решения по управлению воздействием предоставляют рекомендации по устранению неполадок и альтернативные варианты. Чаще всего нельзя ограничить доступ к учетным записям с высокими привилегиями или ресурсам, работающим в Интернете, но анализ пути атаки, который ведет к ним, позволяет найти решение, которое снижает возможность их использования и, следовательно, уровень риска.
Пример пути гибридной атаки в MS Active Directory и AWS
Примечание: Эта статья написана Зуром Ульяницки, вице-президентом по исследованиям в области безопасности в XM Cyber.
Только в 2023 году ошеломляющие 82% утечек данных были совершены в общедоступных, частных или гибридных облачных средах. Более того, почти 40% утечек были совершены в нескольких облачных средах. Средняя стоимость взлома в облаке была выше общего среднего показателя и составила 4,75 миллиона долларов. В то время, когда облако стало стандартом де–факто - 65% лиц, принимающих решения в области ИТ, подтверждают, что облачные сервисы являются их первым выбором при обновлении или покупке новых решений, - несмотря на огромную популярность облачной безопасности, она по-прежнему сталкивается с множеством проблем.
Проблемы безопасности в облаке
Одним из основных препятствий является недостаточная видимость. В отличие от физических серверов, которые вы можете видеть и трогать, облачные ресурсы часто распределены по обширным сетям, что затрудняет мониторинг подозрительной активности и оставляет незамеченными уязвимости. Еще одной проблемой является несогласованность систем управления разрешениями поставщиков облачных услуг. Разные поставщики по-разному контролируют, кто может получать доступ к данным и изменять их. Это несоответствие создает сложности и увеличивает риск случайных неправильных настроек, которые являются основной причиной взломов.Более того, когда в облачных развертываниях задействовано несколько команд – разработка, эксплуатация, безопасность - четкое владение и подотчетность за облачную безопасность могут быть размыты. Такое отсутствие координации может привести к ситуациям, когда лучшие методы обеспечения безопасности игнорируются или обходятся стороной. Кроме того, многие атаки перемещаются из облака в готовые среды и наоборот, что может подвергнуть риску обе среды.
Все эти проблемы подчеркивают настоятельную потребность в надежных решениях облачной безопасности, обеспечивающих всестороннюю прозрачность, стандартизированное управление разрешениями и четкое распределение ответственности. Тем не менее, ресурсы безопасности ограничены даже в самых подготовленных группах, и ожидается, что группы облачной безопасности будут исследовать и устранять тысячи уязвимостей, которые могут не все оказывать одинаковое влияние на критически важные ресурсы. Это приводит к неопределенности в отношении того, что нужно исправить в первую очередь и как на самом деле устранить все выявленные уязвимости, оставляя облачные среды уязвимыми для кибератак.
Важно постоянное управление экспозицией
Вместо поиска бесчисленных уязвимостей группам безопасности необходимо уделять приоритетное внимание наиболее важным. Это означает возможность быстро определять наиболее опасные пути атаки и предпринимать упреждающие действия против передовых методов атаки в облаке.Сосредоточив внимание на областях с высоким уровнем риска, команды облачной безопасности могут разрабатывать целевые планы исправления, которые предотвращают крупные атаки, оптимизируют рабочие процессы и точно сообщают о реальных угрозах в нескольких облачных средах. Ключом к достижению этой цели является непрерывное управление выявлением угроз (CTEM), упреждающая и непрерывная пятиэтапная программа или фреймворк, который снижает подверженность кибератакам. Впервые представленная Gartner в 2022 году, CTEM доказала свою важность для предотвращения масштабных атак, повышения эффективности устранения неполадок и информирования о реальных рисках.
CTEM был представлен для решения проблемы бесконечных списков уязвимостей во всех операционных средах. Невозможность выделить и устранить наиболее критичные уязвимости вынуждает группы безопасности устранять CVE, которые могут быть использованы или неэффективны в их конкретной среде, а могут и не быть. В многооблачных средах списки уязвимостей могут быть короче, но вместе с неправильными настройками и высокопривилегированным доступом они составляют длинный список уязвимостей, которые злоумышленники могут использовать для взлома многооблачной среды и которые должны устранить службы безопасности. Единственный способ блокировать атаки - это идентифицировать и устранить уязвимости, оказывающие наибольшее влияние на ваш бизнес. Для этого требуется внедрение платформы CTEM в облачной среде.
Исправьте то, что важно в мультиоблачных системах
Чтобы помочь командам облачной безопасности устранять проблемы и блокировать эффективные атаки в средах с несколькими облаками, комплексная программа CTEM выделит наиболее эффективные объекты, которые могут скомпрометировать облачные ресурсы. Эти решения определяют облачные ресурсы, которые могут быть скомпрометированы, и обнаруживают все уязвимости, которые злоумышленники могут использовать для их компрометации. Отображение путей атак, которые могут быть использованы злоумышленниками, помогает определить приоритетность и подтвердить наиболее эффективные уязвимости, которые можно использовать в многооблачной среде, чтобы устранить их в первую очередь.Например, учет точки зрения злоумышленника позволяет определить наиболее уязвимые места. Уязвимые места - это критические слабые места в вашей облачной защите, где несколько путей атаки сходятся в одном месте. Они могут быть легко взломаны злоумышленниками, которые затем могут получить доступ к обширной сети ресурсов – базам данных, компьютерам, средствам контроля идентификационных данных и многому другому. Уделяя приоритетное внимание этим областям с высокой отдачей, группы безопасности сосредотачиваются на наиболее привлекательных целях для злоумышленников, максимизируя отдачу от своих усилий по обеспечению безопасности. Распространенные проблемы включают системы, подключенные к Интернету, и неиспользуемые учетные записи доступа. Их устранение значительно сокращает поверхность атаки, эффективно укрепляя всю вашу облачную среду.
Пример облачной контрольной точки, показывающий пути входящих и исходящих атак
Другой пример воздействия с высокой отдачей связан с предопределенным доступом с высокими привилегиями. Учетные записи с высокими привилегиями, как и предопределенные администраторы, считаются активами "game-over". В случае взлома злоумышленники могут нанести ущерб. Комплексный подход к CTEM помогает идентифицировать эти учетные записи и выявлять слабые места, которые могут сделать их уязвимыми. Это включает в себя обнаружение доступа администратора без многофакторной аутентификации (MFA) или неиспользуемых учетных записей служб - по сути, слабых мест, которыми злоумышленники хотели бы воспользоваться.
Для обеспечения устранения критических воздействий передовые решения по управлению воздействием предоставляют рекомендации по устранению неполадок и альтернативные варианты. Чаще всего нельзя ограничить доступ к учетным записям с высокими привилегиями или ресурсам, работающим в Интернете, но анализ пути атаки, который ведет к ним, позволяет найти решение, которое снижает возможность их использования и, следовательно, уровень риска.
Предотвращение атак из гибридной среды
Злоумышленники не ограничены гибридными средами, и защитники должны убедиться, что они тоже не ограничены. Решения, которые анализируют пути гибридных атак в локальных и мультиоблачных средах, позволяют службам безопасности быть на шаг впереди атак, точно понимая, где они подвержены киберугрозам. Эти инструменты предоставляют полную информацию о потенциальных точках взлома, методах атаки, использовании разрешений и альтернативах исправления, чтобы помочь клиентам устранить эти риски и заблокировать наиболее критичные пути атаки.
Пример пути гибридной атаки в MS Active Directory и AWS
Краткое описание
В то время как традиционная облачная безопасность борется с объемом постоянно существующих угроз, CTEM предлагает действенный план исправления, сосредоточив внимание на наиболее важных в конкретной среде. Правильный подход к CTEM распространяется на локальные и мультиоблачные системы, охватывая весь ваш ИТ-ландшафт. Такой целостный подход устраняет слепые зоны и позволяет организациям перейти от реактивной защиты к упреждающей. Внедряя CTEM, организации могут обеспечить свой успех в будущем, основанном на облачных технологиях.Примечание: Эта статья написана Зуром Ульяницки, вице-президентом по исследованиям в области безопасности в XM Cyber.
