כיצד להתמודד עם נגע התצורות השגויות בענן ISMS.online

כיצד להתמודד עם הנגע של תצורות שגויות בענן

מאת ניקולס פירן • 26 במרץ 2024

מאגר נתונים בענן שנחשף המכיל את המידע האישי של שחקני נבחרת אוסטרליה בכדורגל מדגיש את האיום הגובר שמציבות תצורות שגויות בענן. לדברי IBM, הן היו הגורם לגישה ראשונית ב-11% מדליפות הנתונים בשנה שעברה. אך על ידי יישום שיטות עבודה מומלצות כמו ביקורות אבטחה תקופתיות, בקרות גישה מחמירות יותר והצפנה, והיצמדות לתקני תעשייה כמו ISO 27001, ניתן למתן סיכון מסוג זה.

מה קרה בפוטבול אוסטרליה?

בפברואר, חוקרים ב- Cybernews מאושר הם חשפו דליפת נתונים בגוף המנהל של אוסטרליה לכדורגל. התקרית נגרמה ממפתחות שגויים של שירותי Amazon Web Services (AWS) ונחשפו 127 דליים של נתונים רגישים.

באופן מדאיג, לאחת מהמכולות הללו היו אפס אמצעי הגנה והכיל מידע אישי מזהה (PII) כגון חוזים ודרכונים של שחקנים בנבחרת הכדורגל הלאומית של אוסטרליה. נתונים אחרים שנחשפו כללו פרטי מעריצים שקנו כרטיסים למשחקים, קוד מקור ותסריטים של תשתית דיגיטלית ומידע אחר המפרט את התשתית של הארגון. פוטבול אוסטרליה טוענת כי סגרה את פער האבטחה לאחר שקיבלה התראה מהחוקרים.

תצורה שגויה של ענן היא מגיפה

זה יכול להיות קשה לצוותי IT מצומצמים או שעובדים יתר על המידה לעמוד בקצב המהיר של חדשנות בענן, ולהבטיח שהשירותים שהחברות שלהם משתמשות בהן מוגדרים כראוי.

"תצורות שגויות בענן הפכו אנדמיות מסיבות מובנות. הקצב הפורץ של חדשנות בענן הגדיל במהירות את המורכבות", אומרת אנליסטית האבטחה של Increditools, Kelly Indah, ל-ISMS.online. "AWS לבדה מציעה למעלה מ-200 שירותים, כל אחד עם אפשרויות תצורה מרובות. ארגונים רבים נאבקו לשמור על הכישורים הפנימיים שלהם עדכניים בתוך הצונאמי הטכנולוגי הזה".

Indah גם מתאר את השאננות של חלק מאנשי ה-IT כגורם עיקרי לתצורה שגויה של הענן, ומזהיר: "הקלות החלקה של הענן הובילה חלק לזלזל בזהירות הנדרשת בנעילה נכונה של סביבות".

בנוסף, מומחי IT מאמינים לפעמים בטעות שספק הענן אחראי לכל ענייני אבטחת הסייבר, לדברי שון רייט, ראש אבטחת יישומים ב-Featurespace.

עם זאת, המציאות היא שלספקים ולמשתמשים יש "אחריות משותפת" עבורם אבטחת ענן תַשׁתִית. רייט אומר ל-ISMS.online שספקי ענן מטפלים בדרך כלל בבעיות תשתית כמו חומרה, רשת ותוכנה, בעוד שהמשתמש אחראי על ניהול חשבונות ענן והבטחת התצורות מאובטחות.

כאשר אנשים ללא הכשרה מתאימה משתמשים בפלטפורמות ענן, בעיות כמו הגדרות שגויות יתעוררו בהכרח.

"עם כל כך הרבה שירותים זמינים, קל לטעות בדברים", טוען רייט.

ואנס טראן, מייסד שותף של Pointer Clicker, אומר שחדשנות מהירה בענן הביאה לכך שספקים משחררים תכונות חדשות "מהר ממה שחברות יכולות לעדכן מדיניות ולהכשיר את הצוות".

"בנוסף, ארגונים מפזרים אחריות על פני בעלי עניין רבים ללא פיקוח מספק, מה שהופך את הפיקוח והאחריות לניהול תצורת אבטחה למאתגרים", הוא אומר ל-ISMS.online.

סוגים שונים של תצורה שגויה

כשזה מגיע להתמודדות עם האתגר הזה, צוותי IT ואבטחת סייבר צריכים להיות מודעים למספר תצורות שגויות נפוצות בענן. אלה כוללים מפתחות ואישורים חשופים - בהתאם לפוטבול אוסטרליה - בקרות גישה שהוגדרו בצורה לא נכונה, חוקי יציאה פתוחים וחומת אש ונתונים רגישים לא מוצפנים בזמן מנוחה ובמעבר, אומר Tran של Pointer Clicker.

מגוון בעיות אבטחה יכולות להתעורר כאשר צוותי IT מאפשרים ליותר מדי אנשים לגשת לשירותי ענן, או אם הם משתמשים ביציאות מיושנות כגון FTP במארחי הענן שלהם, טוען סטיבן פטיט, מנהל המכירות של M247. לדבריו, בעיות כאלה הופכות את חייהם של אנשי IT ל"קשים עוד יותר".

הפיכת נתונים רגישים בטעות לנגישים לכל אחד היא תצורת ענן שגויה שחוזרת על עצמה, לדברי מאט מידלטון-ליל, מנהל EMEA North ב-Qualys.

"לדוגמה, 31% מהדליים של AWS S3 נגישים לציבור, מה שחושף אותם לפרצות אבטחה והתקפות פוטנציאליות", הוא אומר ל-ISMS.online. "דלי S3 ציבוריים חושפים גם שירותים אחרים - לדוגמה, מופעי EC2 ומסדי נתונים של RDS עלולים להיפגע אם מפתחות הגישה, האישורים או קבצי הגיבוי שלהם מאוחסנים בדלי S3 לא מאובטח."

Indah של Increditools מוסיף כי בעיות נפוצות כגון דלי אחסון בענן נגישים לציבור ואי אכיפת בקרות גישה מחמירות יותר, "מציעות הזמנה פתוחה לפושעי סייבר".

שיטות עבודה מומלצות יכולות לעזור

רייט של Featurespace מייעץ לארגונים להבטיח שרק אנשי מקצוע בעלי הכשרה מספקת רשאים להשתמש בפלטפורמות ושירותי ענן. אם נכשל בכך, הוא מייעץ להקים צוות מומחים שיוכל להבטיח שהטמעת ענן מאובטחת.

ה-Tran של Pointer Clicker מוסיף שמודלי אבטחה אפס אמון ופילוח רשת יכולים להפחית סיכונים רבים של תצורה שגויה בענן. ביקורת קבועה של שירותי ענן לאיתור הגדרות שגויות ושימוש בכלי אבטחה אוטומטיים כמו Amazon GuardDuty יסייעו גם לצוותי אבטחה לזהות נקודות תורפה במהירות, הוא מוסיף.

הבטחת צוותים חוצי תפקודיים מבינים מודלים של אבטחה משותפים היא צעד חשוב נוסף.

"הענן הופך את האבטחה לעבודה של כולם", טוען טראן. "עם התרבות והתהליכים הנכונים, אפילו ארגונים קטנים יכולים להישאר בטופ של נוף שמשתנה ללא הרף."

אימוץ מסגרת תעשייה מוכרת בעולם כמו ISO 27001 יכול גם להפחית את הסבירות לתצורות שגויות בענן, לדברי רוב וורקאפ, שותף ב-Leading Edge Cyber. הוא אומר ל-ISMS.online: "ISO 27001 הוא מסגרת נהדרת להבטיח שכל הבסיסים מכוסים, כולל סעיף '6.2 מודעות לאבטחת מידע, חינוך והדרכה', וסעיף 5.1 מדיניות לאבטחת מידע."

נקיטת צעדים יזומים כמו ביקורת רגילה, סימולציות תקיפה, הדרכה למודעות אבטחה, בקרות גישה קפדניות והצפנת נתונים יאפשרו לארגונים לעצור תצורות שגויות בענן מלהתרחש, לפי Indah מ- Increditools.

"עם ערנות ומחויבות מתמשכת לשיטות עבודה מומלצות לאבטחת ענן, ארגונים יכולים להימנע מלהשאיר את הדלתות פתוחות לרווחה לגניבת נתונים", היא טוענת. "הדק את תצורות הענן שלך לפני שתהפוך לסיפור האזהרה הבא."

כפי ש-Football Australia גילתה לאחרונה, לתצורות שגויות בענן יכולות להיות השלכות חמורות. בדיקות סדירות לאיתור פערי אבטחה ועמידה בתקני אבטחה מוכרים בתעשייה כמו ISO 27001 אמורות לעזור לארגונים לנהל טוב יותר סיכונים בחלק זה הצומח במהירות של משטח ההתקפה הארגוני שלהם.

ניקולס פירן

ניקולס פירן הוא עיתונאי עצמאי מהעמקים הוולשיים. הוא כתב עבור כלי תקשורת גדולים כמו הפייננשל טיימס, האינדיפנדנט, הטלגרף, Evening Standard, iNews, HuffPost ו-Insider, כמו גם פרסומי B2B כמו Computer Weekly, Computing ו-IT Pro. כשניק לא כותב על הגאדג'טים והטרנדים הטכנולוגיים האחרונים, הוא כנראה מקשיב לכל הדיסקוגרפיה של מריה קארי.