Chung Cloud Giải thích về lỗ hổng và rủi ro bảo mật

Cloud lỗ hổng bảo mật là điểm mù hoặc điểm xâm nhập có thể bị kẻ xấu khai thác.

Ngược lại với môi trường truyền thống, nơi lỗ hổng thường được tìm thấy ở cấp độ chu vi (chẳng hạn như tường lửa), lỗ hổng đám mây có thể đến từ nhiều không gian; chẳng hạn như cấu hình sai, kiểm soát truy cập, mô hình trách nhiệm chia sẻ không xác định, CNTT ngầm, v.v.

Môi trường đám mây vốn có sự kết nối chặt chẽ với nhiều người dùng, đối tác, ứng dụng và nhà cung cấp.

Bề mặt tấn công rộng như vậy có nghĩa là tài sản đám mây dễ bị đe dọa từ việc chiếm đoạt tài khoản, kẻ xấu, chiếm đoạt tài khoản, quản lý danh tính và thông tin xác thực kém cũng như API không an toàn.

Sự khác biệt rõ ràng giữa mối đe dọa và lỗ hổng nằm ở tính cấp bách của chúng.

Nếu lỗ hổng bảo mật đại diện cho điểm yếu tồn tại trong trạng thái lấp lửng, chờ bị khai thác thì mối đe dọa là sự kiện ác ý hoặc tiêu cực thường xảy ra ở thời điểm hiện tại, đòi hỏi phải can thiệp khẩn cấp.

Tiếp theo, lỗ hổng bảo mật là yếu tố đầu tiên khiến tổ chức phải đối mặt với các mối đe dọa bảo mật đám mây .

Ví dụ, cấu hình đám mây không đúng có thể là một lỗ hổng, dẫn đến khả năng kiểm soát truy cập yếu, cuối cùng dẫn đến nguy cơ tấn công mạng.

Tóm lại, lỗ hổng là một điểm yếu, và mối đe dọa là hành động hoặc sự kiện tiềm ẩn có thể khai thác điểm yếu đó. Nếu đám mây là một cánh cửa bị khóa, lỗ hổng sẽ là một ổ khóa có điểm yếu, và mối đe dọa sẽ là ai đó cố tình mở nó.

Về bản chất, cơ sở hạ tầng đám mây được xây dựng trên nhiều lớp và thành phần khác nhau; lỗ hổng có thể tồn tại ở mọi lớp.

Là hậu quả trực tiếp của việc thiết lập không chính xác hoặc quá dễ dãi, việc cấu hình sai khiến hệ thống kém an toàn hơn mức cần thiết. Điều này có thể xảy ra trong các container dựa trên đám mây (chẳng hạn như các thùng S3 được cấu hình sai), tường lửa hoặc máy ảo chưa được vá lỗi.

Ví dụ về cấu hình sai bao gồm quyền đọc và ghi công khai khi lẽ ra phải là quyền riêng tư, quyền lỗi thời hoặc chưa được vá hoặc thậm chí thiếu cài đặt mã hóa.

Cấu hình sai có thể xảy ra do lỗi của con người, thiếu kiến thức hoặc các tập lệnh tự động hóa được viết kém và dẫn đến mất hoặc rò rỉ dữ liệu, tổn hại đến danh tiếng trong trường hợp bị tấn công và không tuân thủ các tiêu chuẩn quy định.

Đó là trường hợp của CapitalOne vào năm 2019, khi một tường lửa ứng dụng web được cấu hình sai đã cho phép truy cập trái phép vào một thùng S3 chứa dữ liệu nhạy cảm (bao gồm cả Số An sinh Xã hội) của hơn 100 triệu khách hàng. CapitalOne đã phải nộp phạt 80 triệu đô la vì vi phạm này.

Theo định nghĩa, môi trường đám mây có tốc độ phát triển nhanh, phi tập trung và thường không được nhóm bảo mật kiểm soát hoàn toàn, do đó sẽ xảy ra tình trạng thiếu khả năng hiển thị.

Điều này có thể xảy ra do nhà cung cấp chỉ cung cấp các công cụ cơ bản để hiển thị, giám sát sâu hơn với chi phí bổ sung hoặc do các nhóm trong tổ chức quá mỏng và không có các kỹ năng chuyên biệt về đám mây cần thiết để thực sự giám sát cơ sở hạ tầng.

Xu hướng chú trọng tốc độ hơn bảo mật của các tổ chức cũng là một yếu tố góp phần.

Tuy nhiên, khi khả năng hiển thị giống như một chi phí chứ không phải là động lực giá trị, kẻ tấn công có thể xâm nhập vào cơ sở hạ tầng đám mây và không bị phát hiện trong một thời gian dài hơn.

Với quá nhiều công cụ, bảng điều khiển và nhật ký bên trong mạng lưới đám mây, thật khó để so sánh và có được thông tin chi tiết hữu ích về những gì đang diễn ra.

Quản lý quyền truy cập xác định người dùng hoặc ứng dụng nào có thể truy cập vào tài sản đám mây.

Nó bao gồm việc quản lý danh tính kỹ thuật số và kiểm soát quyền truy cập vào các dịch vụ, ứng dụng và dữ liệu đám mây.

Cần phải đặt ra một số ranh giới và hạn chế để đảm bảo thông tin nhạy cảm không rơi vào tay những người có thẩm quyền. Trong một thế giới mà việc chiếm đoạt tài khoản đang ảnh hưởng đến hơn 77 triệu người chỉ riêng tại Hoa Kỳ, một số biện pháp sau đây trở nên tối quan trọng:

• Triển khai MFA (Xác thực đa yếu tố)
• Thực thi nguyên tắc truy cập đặc quyền tối thiểu (chỉ cấp quyền truy cập nếu nhiệm vụ yêu cầu)
• Sử dụng kiểm soát truy cập dựa trên vai trò để quản lý quyền truy cập dựa trên chức năng công việc

Nếu không, các tổ chức có nguy cơ bị vi phạm dữ liệu, không tuân thủ quy định và gián đoạn hoạt động.

Kẻ tấn công có thể xâm nhập hệ thống thông qua tài khoản bị chiếm đoạt và khai thác các chính sách truy cập kém, chúng có thể di chuyển đến các tài nguyên hoặc hệ thống cấp cao hơn; mục tiêu là giành quyền kiểm soát hệ thống nhiều hơn và có khả năng gây ra thiệt hại đáng kể.

Bên trong cơ sở hạ tầng đám mây, API có thể cho phép các hệ thống, dịch vụ hoặc ứng dụng khác nhau tương tác với môi trường đám mây.

Điều này có nghĩa là API có thể kiểm soát quyền truy cập vào dữ liệu, cơ sở hạ tầng và chức năng.

Một sự bất an API có thể có nghĩa là nó không yêu cầu người dùng hoặc mã thông báo hợp lệ để truy cập, rằng nó cấp nhiều quyền truy cập hơn mức cần thiết hoặc rằng nó ghi lại dữ liệu nhạy cảm.

Nếu API bị cấu hình sai hoặc bị lộ, kẻ tấn công sẽ truy cập dữ liệu (thông tin người dùng, thông tin tài chính, hồ sơ chăm sóc sức khỏe), ngay cả khi không có thông tin đăng nhập đầy đủ.

Đó là trường hợp xảy ra vào năm 2021, khi lỗ hổng bảo mật trong Peloton API cho phép bất kỳ ai truy cập dữ liệu tài khoản người dùng, ngay cả đối với hồ sơ cá nhân. Được Pen Test Partners phát hiện, lỗ hổng này cho phép các yêu cầu chưa được xác thực lọt qua, làm lộ thông tin chi tiết như tuổi, giới tính, vị trí, cân nặng, số liệu thống kê tập luyện và ngày sinh.

Việc truy cập vào cơ sở dữ liệu phức tạp như vậy có thể dẫn đến các hành vi doxxing, đánh cắp danh tính hoặc tấn công kỹ thuật xã hội.

CNTT ngầm là việc sử dụng phần mềm, phần cứng hoặc các hệ thống CNTT khác trong một tổ chức mà không có sự hiểu biết, chấp thuận hoặc kiểm soát của bộ phận CNTT hoặc bảo mật.

Vì sự tiện lợi hoặc vì ác ý, nhân viên có thể tìm kiếm các công cụ khác ngoài những công cụ được cung cấp chính thức, gây ra những rủi ro an ninh mạng đáng kể cho tổ chức.

Trên thực tế, CNTT ngầm có thể trông như sau:

• Một nhân viên đang tải các tài liệu kỹ thuật nhạy cảm lên bộ nhớ đám mây cá nhân.
• Một người nào đó sử dụng các công cụ truy cập từ xa trái phép (như AnyDesk) để khắc phục sự cố hệ thống công nghiệp hoặc truy cập vào môi trường SCADA trong cơ sở hạ tầng trọng yếu .
• Thực hiện cuộc gọi video thông qua các nền tảng chưa được kiểm duyệt (như WhatsApp) thay vì theo tiêu chuẩn doanh nghiệp.

TRONG cơ sở hạ tầng trọng yếu hoặc môi trường bảo mật cao, CNTT ngầm có thể tạo ra những điểm mù nguy hiểm—mở đường cho rò rỉ dữ liệu, xâm nhập phần mềm độc hại hoặc không tuân thủ quy định.

Những kẻ nội gián có ác ý, vô ý hoặc bị xâm phạm có thể khó phát hiện hơn do tính chất đáng tin cậy của người dùng hoặc hệ thống liên quan.

Thiệt hại tiềm ẩn từ những người này có thể dẫn đến vi phạm dữ liệu, gián đoạn dịch vụ, vi phạm quy định và tổn thất tài chính.

Lỗ hổng bảo mật zero-day là lỗ hổng bảo mật chưa từng được biết đến, không có bản sửa lỗi nào tại thời điểm phát hiện và có thể bị khai thác trước khi nhà cung cấp biết đến.

Trong môi trường đám mây, điều này bao gồm các lỗ hổng trong API của nền tảng đám mây, hệ thống điều phối vùng chứa, ứng dụng SaaS hoặc khối lượng công việc lưu trữ trên đám mây.

Bản chất năng động, kết nối và đa thuê bao của đám mây khiến các lỗ hổng lây lan nhanh chóng và ảnh hưởng đến nhiều tài nguyên, trong khi người dùng không có khả năng hiển thị cần thiết vào cơ sở hạ tầng để phát hiện nhanh chóng.

Ngoài ra, việc vá lỗi cho các hệ thống đám mây có thể mất thời gian, làm tăng nguy cơ xảy ra lỗ hổng Zero-Day.

Theo báo cáo này, bắt đầu từ năm 2023, việc ngăn chặn cấu hình sai đám mây đã trở thành mối quan tâm hàng đầu của hơn một nửa số công ty, cho thấy mức độ nghiêm trọng của những hậu quả có thể xảy ra.

Một trong những hậu quả tai hại nhất của lỗ hổng đám mây là việc lộ hoặc mất dữ liệu nhạy cảm.

Các tổ chức thường dựa vào giải pháp lưu trữ đám mây để lưu trữ hồ sơ khách hàng, thông tin độc quyền hoặc dữ liệu hoạt động.

Do đó, vi phạm có thể có nghĩa là đánh cắp danh tính cá nhân, thông tin tài chính, sở hữu trí tuệ hoặc thậm chí là bí mật thương mại.

Ngoài những tác động tức thời, những sự cố như vậy còn có thể dẫn đến tổn hại danh tiếng lâu dài và làm mất lòng tin của khách hàng.

Những cá nhân bị ảnh hưởng có thể ngừng sử dụng dịch vụ và các đối tác có thể xem xét lại mối quan hệ kinh doanh.

Ngay cả khi vi phạm được ngăn chặn nhanh chóng, chi phí điều tra, khắc phục, thông báo cho khách hàng và các vụ kiện tiềm ẩn có thể lên tới hàng triệu đô la, chưa bao gồm chi phí cơ hội do mất năng suất và xói mòn thương hiệu.

Hầu hết các ngành đều tuân thủ các khuôn khổ tuân thủ nghiêm ngặt—như GDPR, HIPAA, PCI DSS hoặc CCPA—quy định cách dữ liệu phải được lưu trữ, truy cập và bảo vệ.

Khi lỗ hổng bảo mật dẫn đến truy cập trái phép hoặc kiểm soát không đầy đủ dữ liệu nhạy cảm, các công ty có nguy cơ bị phát hiện vi phạm các luật này. Cơ quan quản lý có thể áp dụng các khoản tiền phạt đáng kể, khởi kiện hoặc áp dụng các hạn chế hoạt động.

Ví dụ, tại các khu vực pháp lý như Liên minh Châu Âu, hình phạt theo GDPR có thể lên tới 4% doanh thu toàn cầu hàng năm, khiến ngay cả một sự cố đơn lẻ cũng trở thành sự kiện có rủi ro cao.

Cloud Các lỗ hổng bảo mật đã tồn tại đủ lâu để các tổ chức có thể phát triển toàn bộ phương pháp được thiết kế nhằm giảm thiểu rủi ro về lỗ hổng bảo mật.

Cloud cơ sở hạ tầng rất năng động vì các dịch vụ mới được triển khai và tích hợp được bổ sung thường xuyên.

Mỗi thay đổi này đều có khả năng cấu hình sai hoặc lộ thông tin, khiến việc đánh giá lỗ hổng bảo mật trở thành một nhiệm vụ liên tục.

Ngay cả khi các tổ chức xác định được lỗ hổng và bắt đầu vá lỗi, một số hệ thống vẫn có thể không hoạt động bình thường với các phiên bản cập nhật.

Trong những trường hợp như vậy, một số lỗ hổng nhất định phải được duy trì để đảm bảo hoạt động liên tục, khiến việc quản lý trở nên cần thiết.

Các nhóm bảo mật cần có phương pháp tiếp cận có cấu trúc để ghi lại những ngoại lệ này, đánh giá các rủi ro liên quan và áp dụng các chiến lược kiểm soát phù hợp, chẳng hạn như cách ly lỗ hổng khỏi mạng.

CSPM bao gồm việc quét cơ sở hạ tầng để tìm lỗi cấu hình, vi phạm chính sách và kiểm soát truy cập quá mức.

Thay vì tập trung vào các lỗi phần mềm, CSPM giải quyết các rủi ro về kiến trúc và cấu hình (thùng S3 cấu hình sai, lưu trữ không được mã hóa hoặc chuyển giao IAM) có thể dẫn đến lộ dữ liệu hoặc lỗi tuân thủ.

CSPM cung cấp khả năng hiển thị theo thời gian thực vào môi trường đám mây, kiểm tra tự động theo các khuôn khổ tuân thủ (như CIS, PCI hoặc GDPR) và cảnh báo khi cấu hình sai.

Nền tảng CNAPP tăng cường bảo mật đám mây hợp nhất nhiều lớp bảo vệ, kết hợp Cloud Quản lý tư thế an ninh Cloud Nền tảng bảo vệ khối lượng công việc (CWPP) và quản lý lỗ hổng vào một khuôn khổ duy nhất.

Chúng cung cấp cái nhìn sâu sắc hơn về toàn bộ vòng đời ứng dụng, từ cấu hình cơ sở hạ tầng đến hành vi khối lượng công việc và các mối đe dọa thời gian chạy.

CNAPP có thể tích hợp với các công cụ bảo mật khác bằng cách nhúng tính năng phát hiện dựa trên máy chủ, giám sát hành vi và quét lỗ hổng trực tiếp vào máy ảo, vùng chứa và môi trường không có máy chủ.

Trong môi trường tại chỗ, lỗ hổng bảo mật có nhiều khả năng xuất hiện ở cấp độ chu vi; ranh giới giữa mạng nội bộ được bảo mật của tổ chức và mạng bên ngoài, thường không đáng tin cậy.

Lỗ hổng bảo mật tại chỗ có thể là phần mềm lỗi thời, máy chủ cấu hình sai, lỗi phần cứng và thậm chí là vi phạm bảo mật vật lý.

Tuy nhiên, trong môi trường đám mây, tường lửa và mạng không còn tạo thành ranh giới ổn định nữa vì danh tính trở thành ranh giới bảo mật đầu tiên và quan trọng nhất.

Ngay cả khi các nguyên tắc bảo mật cơ bản vẫn còn phù hợp, đám mây vẫn mang đến những động lực mới, đặc biệt là về trách nhiệm, khả năng hiển thị và tính biến động của tài sản.

Cloud môi trường chủ yếu tiếp xúc với động lực, API -các mối đe dọa, trái ngược với môi trường tại chỗ, nơi nguy cơ nằm ở những rủi ro dễ hiểu như truy cập vật lý trái phép, tấn công nội bộ hoặc vi phạm an ninh.

Những khác biệt chính bao gồm tình trạng cấu hình sai phổ biến là nguyên nhân chính gây ra vi phạm, sự hiện diện của các tài nguyên tồn tại trong thời gian ngắn (các thùng chứa, chức năng không có máy chủ) thường tránh được các công cụ quét truyền thống và các cuộc tấn công dựa trên danh tính ngày càng thường xuyên hơn và được kẻ tấn công ưa chuộng.

Hơn nữa, trách nhiệm bảo mật cũng thay đổi trên đám mây, chủ yếu là do mô hình trách nhiệm chia sẻ đã thảo luận trước đó.

Trong khuôn khổ này, các tổ chức có trách nhiệm bảo mật dữ liệu, ứng dụng, cấu hình và danh tính, bao gồm tất cả logic xung quanh việc xử lý tệp:

• Xác thực và vệ sinh các tập tin đã tải lên.
• Cấu hình quyền truy cập ở cấp độ đối tượng hoặc nhóm.
• Mã hóa dữ liệu khi truyền và khi lưu trữ .
• Triển khai giám sát và phát hiện mối đe dọa trên các tương tác lưu trữ đám mây.

Cuối cùng, để theo kịp tốc độ và sự phức tạp của đám mây, các nhà lãnh đạo an ninh phải hiểu cả ngôn ngữ và bản chất luôn thay đổi của các mối đe dọa.

Một vốn từ vựng chung giữa các nhóm DevOps, bảo mật và lãnh đạo là nền tảng cho việc phòng thủ phối hợp và tất cả các thành viên trong nhóm phải thống nhất xung quanh các thuật ngữ chính của ngành như: