Ранее в этом месяце BMW стала еще одной жертвой опасных ошибок в конфигурации своего облачного хранилища, в результате которых были раскрыты закрытые ключи и конфиденциальные данные. Согласно недавней статье >, общедоступная корзина хранилища Azure содержит «файлы сценариев, которые включают информацию о доступе, секретные ключи для доступа к частным адресам корзины и подробную информацию о других облачных сервисах».
Честно говоря, BMW не одинока в этих проблемах: согласно отчету Check Point Cloud Security за 2023 год, неправильные конфигурации являются проблемой безопасности №1, с которой сегодня сталкиваются организации, использующие облачное хранилище. И почему так? Человеческая ошибка. Поскольку количество нового кода, приложений и экземпляров переносится в облако каждую секунду каждого дня, становится все труднее проводить надлежащие проверки безопасности перед началом производства.
Это не означает, что от облака следует отказаться: на самом деле скорость облака имеет решающее значение для того, чтобы организации могли идти в ногу с сегодняшней бизнес-средой. Однако необходимо принять меры безопасности для мониторинга, оповещения и предотвращения угроз, чтобы защитить облачные среды и позволить таким предприятиям, как BMW, двигаться вперед.
Хорошей новостью является то, что это больше не несбыточная мечта. Решения, необходимые для решения этих проблем, существуют. И что еще лучше, вам не придется привлекать 7 разных поставщиков, чтобы решить все ваши проблемы.
CNAPP вошёл в чат.
Еще в 2021 году компания Gartner ввела термин Cloud Native Application Protection Platform (CNAPP). Эта технология была создана для совершенно конкретной цели. Из-за природы облака все является вектором атаки. Так как же обезопасить себя на всех углах атаки и увидеть свои неизбежно человеческие ошибки? КНАПП. Эти типы решений отличаются тем, что они являются платформами (это прямо в названии), а это означает, что вам не нужно разбрасывать точечные решения по всей вашей среде. Это также означает, что вместо того, чтобы использовать несколько разных инструментов, каждый из которых выдает вам разрозненные оповещения и не взаимодействует друг с другом, вы можете интегрировать все необходимые инструменты безопасности в единый интерфейс, при этом различные оповещения о рисках будут оцениваться контекстно. Как это выглядит на практике? Позволь мне показать тебе.
Неправильная (пере)конфигурация
Главной проблемой разоблачения BMW является то, что хранилище, содержащее конфиденциальные данные, оказалось общедоступным. Отсюда быстро растет потенциал эксплуатации. Какие данные были раскрыты? Ну и «информация о доступе к контейнеру» и «секретные ключи». Подобные проблемы сразу же доводятся до вашего сведения с помощью CNAPP.
На скриншоте выше показана панель управления рисками в нашем CloudGuard CNAPP. В выделенной области вы можете видеть, что именно этот тип воздействия был обозначен как критическая серьезность и перемещен в верхнюю часть вкладки «Проблемы безопасности». Это означает, что ваши команды увидят это предупреждение и начнут предпринимать шаги для расследования и устранения проблемы. Говоря о восстановлении, хороший CNAPP также поможет вам начать процесс. Ниже приводится подробная информация об оповещении об «публично доступном хранилище данных»…
Этот тип оповещений не возникает на пустом месте. За кулисами CNAPP изучает актив и обстоятельства, связанные с неправильной конфигурацией, и начинает присваивать оценку риска на основе таких факторов, как публичное освещение, конфиденциальность данных, известные уязвимости, бизнес-приоритет и многое другое.
Нужен еще один пример значения? Давайте посмотрим на Mercedes-Benz, представленный в начале этого года. Проблема в том, что токен аутентификации сотрудника был жестко запрограммирован в общедоступном репозитории GitHub. Этот токен обеспечивал «неограниченный доступ к исходному коду компании». Я не буду вас оскорблять, объясняя, почему это кошмарный сценарий. Вместо этого давайте посмотрим, как CNAPP с защитой кода может помочь предотвратить возникновение этих проблем.
Хороший инструмент безопасности кода позволит вам интегрировать все ваши среды разработки – будь то CI/CD, IDE и т. д. – в систему, чтобы у вас была полная видимость всех частей SDLC. Он также будет достаточно быстрым для сканирования вашей среды, не вызывая замедления работы самой системы или разработчиков, которые от них зависят. Наконец, он предупредит вас об обнаружении проблем и предложит пошаговые инструкции по их устранению.
Возвращаясь к примеру выше, он также работает с GitHub…
Здесь вы можете увидеть сканирование демонстрационного репозитория (с использованием модуля безопасности кода CloudGuard), а также типы оповещений, которые можно ожидать при обнаружении проблем.
ПРИМЕЧАНИЕ. Все это находится в том же интерфейсе, что и панель управления рисками, описанная ранее в статье.
В этом примере вы можете видеть, что пароль базы данных Azure найден в базе кода и требует исправления. Если мы углубимся в проблему дальше, мы получим руководство по решению этих типов проблем, а также выделенный взгляд на точную строку, в которой была обнаружена проблема. Позволяет быстро и легко устранить серьезную проблему.
Знай лучше, делай лучше
В конце концов, мы все люди. Мы все совершаем ошибки. Но правда в том, что в 2024 году подобных проблем можно довольно легко избежать с помощью правильной платформы безопасности. Если ваша компания ведет бизнес в облаке и использует или хранит данные клиентов, вы обязаны внедрить решение CNAPP ради себя и своих клиентов. Точечные решения раньше были достаточно хорошими, но с учетом взаимосвязи облака все, что нужно злоумышленнику, — это обнаружить одну из проблем, выделенных выше, чтобы связать воедино общедоступную базу данных с жестко закодированным секретом API или учетными данными, прежде чем вы в конечном итоге станете следующая большая история о взломе. Не ждите до тех пор.
2024-03-25 05:23:29
1711350400
#Облачное #хранилище #BMW #раскрывает #конфиденциальные #данные
