Chmura stała się ostatnio bardziej skomplikowana i ważniejsza niż kiedykolwiek; ale najlepsze zostawię na koniec. Jedną z głównych obaw związanych z bezpieczeństwem korzystania z chmury, choć przyznaję, że jest ich kilka, są błędnymi konfiguracjami. Prowadzi to do naruszeń danych lub, w przypadku haktywizmu, błędnej konfiguracji umożliwia ataki typu „odmowa usługi”.
Nawet jeśli organizacji uda się skonfigurować i zabezpieczyć obwód, wiele osób korzysta z chmury ze względu na jej zdolność do przechowywania ogromnych ilości danych. Segregacja danych, prawa dostępu, uprawnienia, klasyfikacje danych itd. są zbyt często źle wdrażane lub celowo ignorowane, aby zapewnić szybszy i wygodniejszy dostęp do wszystkich tych danych. Oznacza to, że w przypadku uzyskania nieautoryzowanego dostępu ogromne ilości danych zostaną wydobyte i umieszczone w celu pobrania w witrynach hostujących oprogramowanie ransomware i kradzieży danych.
Tradycyjnie ludzie kierują skaner podatności mniej więcej w stronę swoich usług. Niektóre przeprowadzą testy penetracyjne, testy konfiguracji, usługi ukrywania, a najbardziej dojrzałe zostaną uruchomione Zarządzanie zewnętrzną powierzchnią ataku (EASM). Ci, którzy korzystają z EASM, prawdopodobnie uniknęli wielu kul. Dojrzałe programy EASM będą albo prowadzone przez wewnętrzne zespoły testujące, albo Informacje o zagrożeniach cybernetycznych (CTI) lub zewnętrzni dostawcy CTI. Celem jest ciągłe przyglądanie się obwodowi i poza nim, nie tylko sprawdzanie tego, co działa, wersji, usług i portów, kontroli bezpieczeństwa i błędnych konfiguracji, ale także nowych usług ukrytych, zwykle przypadkowo konfigurowanych przez nielegalnych programistów, inżynierów lub architektów. To właśnie prowadzi do incydentów związanych z bezpieczeństwem i naruszeń danych.
W idealnym przypadku programy EASM będą informowane o zagrożeniach. tj. zespoły CTI stale przyglądają się działaniom podmiotów pod względem operacji, targetowania i TTP oraz dostosowują je do świadczonych przez siebie usług w chmurze, aby zapewnić odpowiednie kontrole. Dzięki wdrożeniom w chmurze EASM nigdy nie był tak ważny. W czasie Covid-19, kiedy szybko wdrożono nowe usługi w chmurze, aby umożliwić pracę zdalną i nowe sposoby interakcji z klientami, EASM szybko stał się niezbędny.
Regularnie prowadzę Testy penetracyjne pod kątem zagrożeń (TLPT), które stanowią część ram regulacyjnych, takich jak CBEST i GBEST w Wielkiej Brytanii oraz TIBER w Europie. Kluczowym elementem analizy zagrożeń w tych testach jest tzw. „inteligencja ukierunkowana”. Zasadniczo jest to wrogi rozpoznanie podmiotu, które obejmuje wiele rzeczy, ale co ważniejsze, rozpoznanie obwodu i usług w chmurze podmiotu w poszukiwaniu słabych punktów, które można wykorzystać do zdobycia przyczółka. Chociaż techniczne wykorzystanie usługi obwodowej przez czerwony zespół jest rzadkie w przypadku dojrzałych podmiotów, takich jak banki, odkrycie usług cienia, zakresów adresów IP i domen, o których podmiot nie był świadomy, z pewnością nie jest rzadkie.
Istnieje bezpośrednia korelacja pomiędzy podmiotami, które doświadczyły naruszenia w swojej infrastrukturze chmurowej, a tymi, które nie mają stale działających programów EASM.
Dzięki dobrym programom zarządzania podatnościami, EASM i regularnym testom penetracyjnym należy złagodzić zdecydowaną większość zagrożeń i ryzyka. Dlaczego więc wspomniałem na początku tego artykułu, że ostatnio stało się to bardziej skomplikowane i ważniejsze? Dlaczego jestem ostrożny i dlaczego sytuacja się pogorszy, zanim się poprawi? Zgadłeś, sztuczna inteligencja (AI). Proszę, nie wzdychaj, to nie jest szerzenie zagłady ale realnie rozwijające się zagrożenie. Jest to zagrożenie znacznie bliższe rzeczywistości niż wiele obaw związanych ze sztuczną inteligencją.
Pisząc to, przeglądam artykuł na temat bliskiego czasu wykorzystania sztucznej inteligencji przez podmioty zagrażające i zauważam dwa istotne wydarzenia, które zobaczymy w perspektywie krótko- i średnioterminowej. Po pierwsze, organizacje będą wdrażać nowe usługi AI, które prawdopodobnie będą oparte na chmurze ze względu na potrzebną im moc i miejsce do przechowywania danych. Doprowadzi to do zwiększonej powierzchni ataku dla każdego podmiotu, który będą musiały zabezpieczyć, ale rozwiązania AI są nowe i prawdopodobnie będą mniej przetestowane i bardziej podatne na ataki. Regularne testy penetracyjne będą niezbędne.
Po drugie, jest to wykorzystanie sztucznej inteligencji przez podmioty zagrażające w ich własnych narzędziach rozpoznania i namierzania. Narzędzia wzmocnione sztuczną inteligencją zostaną stworzone zarówno dla dobra, jak i zła. Dzięki temu atakujący nawet o średnich możliwościach będą mogli na żywo poznać obszar ataku dużych części Internetu i natychmiastowo, bezzwłocznie, zareagować na błędne konfiguracje i luki w zabezpieczeniach.
Obrońcy nie będą już mieli kilku dni lub tygodni na wykrycie rzeczy, zostaną one wykorzystane znacznie szybciej, w sposób zautomatyzowany. Jestem pewien, że dostawca wkrótce zaoferuje „organiczne narzędzie głębokiej technologii nowej generacji do ciemnego rozpoznania nowej generacji”, ale w perspektywie krótkoterminowej zainwestuj zasoby w swój EASM, zainwestuj w programy do zarządzania lukami w zabezpieczeniach i poprawkami oraz współpracuj ze swoimi zespołami IT dzięki czemu rozumieją, że część Twojego środowiska w chmurze będzie ważniejsza niż kiedykolwiek.