Chỉ cần một danh tính đặc quyền để gây thiệt hại lớn cho đám mây
An toàn thông tin - Ngày đăng : 16:11, 25/03/2023
Chỉ cần một danh tính đặc quyền để gây thiệt hại lớn cho đám mây
Chỉ cần một danh tính quá đặc quyền đã có thể gây hiệt hại lớn cho đám mây và hầu hết các tổ chức có thể có hàng trăm, nếu không muốn nói là hàng nghìn danh tính trong số đó. Do vậy, các CISO nên suy nghĩ lại về tầm quan trọng và rủi ro của danh tính trong đám mây của họ.
Mặc dù việc chuyển sang đám mây giúp tăng hiệu quả và sự linh hoạt trong kinh doanh, nhưng các chiến lược bảo mật vẫn chưa được điều chỉnh cho phù hợp với sự thay đổi này, trong khi phương pháp bảo mật truyền thống còn nhiều hạn chế trong việc quản lý rủi ro liên quan. Điều này khiến các CISO phải đối mặt với những thách thức về bảo mật đám mây. Do vậy, nếu các CISO không để tâm tới những vấn đề này thì sẽ đặt công ty cũng như thương hiệu và công việc của họ vào sự nguy hiểm.
Phơi bày các mối đe dọa
Theo phân tích toàn bộ cơ sở khách hàng vào năm ngoái, khoảng 60% tổ chức đã thất bại trong việc mật cơ bản nhất cho tài sản đám mây của họ. Và trong số 40% đã đạt được điều này thì chưa đến 10% đạt được mức độ bảo mật cấp trung bình. Hầu hết các tổ chức đều không ưu tiên hoặc đang thất bại trong các nỗ lực bảo mật đám mây của mình.
Năm mối quan tâm chính trong bảo mật đám mây gồm:
1. Những rủi ro ít được xử lý nhất được giám sát là 31%, ít đặc quyền nhất là 30% và bảo mật 24%. Khi xem xét cả thông tin đăng nhập và đặc quyền tối thiểu đều liên quan đến việc bảo mật danh tính trên đám mây. Vấn đề về danh tính lại ít có khả năng được giải quyết nhất trong một tổ chức.
Những kẻ tấn công sẽ xâm phạm danh tính để chuyển qua đám mây của tổ chức và nâng cấp các đặc quyền nhằm truy cập dữ liệu và gây thiệt hại cho doanh nghiệp. 81% vi phạm liên quan đến xâm phạm danh tính.
2. Thực tế là an ninh giám sát nằm trong 3 mức thấp nhất. Các biện pháp kiểm soát bảo mật cần đảm bảo rằng đám mây của tổ chức được kích hoạt kiểm tra và ghi nhật ký cần thiết. Hầu hết các tổ chức đang thiếu những kết quả kiểm tra và nhật ký quan trọng.
Cấu hình sai cơ bản này có liên quan đến nhiều vụ vi phạm dữ liệu đám mây ngày nay vì các tổ chức không biết rằng môi trường của họ đã bị xâm phạm. Thậm chí, ngay cả khi các tổ chức này xác định được kho lưu trữ dữ liệu bị lộ, nhưng nếu không có nhật ký kiểm tra phù hợp thì họ cũng không thể xác định ai hoặc cái gì đã truy cập kho dữ liệu và họ có thể đã làm gì với dữ liệu đó.
3. Có quá nhiều tổ chức phải đối mặt với những rủi ro tiềm ẩn.
Không có gì ngạc nhiên khi chúng ta thấy các tiêu đề về vi phạm dữ liệu dựa trên đám mây mới cứ liên tục được đưa tin. Và tất cả các cuộc thảo luận về cách đưa đám mây đến trạng thái zerotrust hoặc một mức độ phục hồi nhất định nghe sẽ rất thiếu thực tế khi rất ít tổ chức đạt mức bảo mật cơ bản.
4. Rất nhiều rủi ro không được giải quyết.
Nghiên cứu cho thấy chỉ có 43% rủi ro đã phát hiện đang được giải quyết. Điều đó có nghĩa là trên đám mây, trung bình, gần 60% tất cả rủi ro không được quản lý.
Ngoài ra, mức rủi ro tổng thể trong các lĩnh vực chính như quản lý vị thế bảo mật đám mây (CSPM), quản lý quyền cơ sở hạ tầng đám mây (CIEM), nền tảng bảo vệ khối lượng công việc đám mây (CWPP) và dữ liệu được coi là ở mức cao trong khi một số tổ chức chỉ ở mức ở mức trung bình ở một số khu vực. Ngoài ra không có khu vực nào ở mức rủi ro thấp.
5. Về mặt tích cực: CSPM có nguy cơ đứng đầu danh sách những thứ được xử lý thường xuyên nhất. Trong số 43% rủi ro được giải quyết có ba rủi ro hàng đầu là mã hóa (64%), bảo vệ dữ liệu (50%) và mạng (48%).
Tuy nhiên, điều đáng chú ý là chỉ hơn một nửa số rủi ro trong ba danh mục hàng đầu này đang được giải quyết (54%). Mối lo ngại tăng lên khi kết quả cho thấy cả ba rủi ro đều bắt nguồn từ CSPM. Không có lĩnh vực nào khác, kể cả CIEM, CWPP và dữ liệu được giải quyết một cách hiệu quả. Nói cách khác, các rủi ro liên quan đến danh tính, dữ liệu và khối lượng công việc vẫn chưa được tập trung xử lý.
Thực tế trong những năm gần đây cũng cho thấy hầu hết các nhà lãnh đạo bảo mật chưa nhận thức được mức độ nghiêm trọng của các rủi ro trong đám mây của họ. Điều này bao gồm cả tình huống thông tin rất nhạy cảm của công ty lưu trữ trong các kho dữ liệu được hiển thị công khai, có thể truy cập trái phép mà công ty hoàn toàn không hay biết như: Các bí mật đường truyền và truy cập VPN được tiết lộ cho tất cả mọi người trong một tổ chức lớn; Truy cập trái phép trên đám mây và kích hoạt kiểm tra; Nhiều máy ảo dễ bị xâm nhập, tiếp xúc với internet, với danh tính có quyền truy cập vào dữ liệu nhạy cảm cao và nguy cơ thao túng, đòi tiền chuộc, đánh cắp và/hoặc xóa dữ liệu này.
Việc thiếu khả năng kiểm soát những vấn đề này là một trong những mối lo ngại lớn nhất và cấp bách nhất về bảo mật đám mây hiện nay. Làm sáng tỏ những thách thức này có nghĩa là khám phá, ưu tiên và giúp doanh nghiệp quản lý rủi ro ở mọi ngóc ngách của đám mây. Điều này sẽ chỉ xảy ra nếu CISO cam kết giáo dục, đào tạo các nhóm bảo mật và DevOps (là sự kết hợp của phát triển và vận hành) về kiến thức cơ bản của đám mây và cách bảo mật.
Khó khăn của các nhóm bảo mật đám mây
Trong nhiều tổ chức, bảo mật đám mây được thuê ngoài nhưng tính bảo mật còn rất kém. Các nhà phát triển đang xây dựng đám mây với cơ sở hạ tầng dưới dạng mã (IaC), nhưng các quy trình bảo mật lại chưa bắt kịp.
Công bằng mà nói, các nhóm DevOps đã được giao một trách nhiệm không phù hợp với những mục tiêu và tài nguyên của CISO. Họ không được khuyến khích ưu tiên bảo mật. Tuy nhiên, trong những tổ chức có bảo mật đám mây mạnh thì các nhóm DevOps thường đóng vai trò quan trọng trong thành công này.
Nhóm bảo mật thường chưa rõ ràng con đường hướng đến đám mây. Đào tạo và giáo dục cho các nhóm CNTT đang chuyển đổi từ trung tâm dữ liệu sang đám mây cũng như cho các nhóm DevOps và những người được giao nhiệm vụ bảo mật đám mây gặp phải tình trạng thiếu đầu tư không kiểm soát.
Các nhóm bảo mật còn khá mù mờ về khả năng hiển thị trên toàn bộ đám mây của họ cùng những rủi ro trong đó. Việc thiếu khả năng hiển thị này kết hợp với việc thiếu đào tạo dẫn đến các nhóm không hiểu đầy đủ về đám mây, các rủi ro tiềm ẩn và những việc cần làm đối với chúng. Đối với những rủi ro mà họ hiểu rõ thì họ lại thiếu chiến lược hoặc công cụ để phát hiện rủi ro một cách chính xác.
Khi các CISO không thể thấy hết được khả năng nhìn nhận đối với ai hoặc cái gì có thể truy cập dữ liệu của họ và họ có thể làm gì với dữ liệu đó. Các nhóm bảo mật và DevOps có thể cũng không hiểu tất cả những điều này có thể xảy ra như thế nào. Hầu hết các tổ chức đang chưa thực hiện tốt công việc quản lý rủi ro dữ liệu và nhận dạng đám mây của họ. Điều này vô cùng bất lợi cho tính bảo mật của đám mây của bất kỳ tổ chức nào.
Đám mây của bạn có thể bị xóa bất cứ lúc nào
Mọi thứ trong đám mây đều có liên quan với danh tính. Mặc dù các nhóm bảo mật truyền thống có thể đã quen thuộc với người dùng, nhưng để áp dụng kiến thức truyền thống này cho đám mây thì cũng còn khá nhiều khó khăn. Các nhóm quá tập trung vào việc giải quyết các vấn đề về danh tính nhằm làm cho bảo mật đám mây của họ phù hợp với các mô hình quản trị danh tính lỗi thời đến mức họ không hiểu được rủi ro lớn nhất nằm ở chỗ khác là các danh tính không phải chỉ là con người.
Các danh tính không phải người (NPI) bao gồm những thứ như AWS Roles, Azure Service Principles và GCP Service Accounts. Chúng có thể tồn tại độc lập hoặc được gán cho những tài nguyên như máy ảo và các chức năng không có máy chủ, trong đó mỗi chức năng này trở thành một dạng NPI riêng. Các tổ chức đang thất bại trong việc quản lý NPI của họ, từ việc hiểu cách chúng hoạt động, vị trí chúng tồn tại trong đám mây cho đến cách chúng được sử dụng. Đây là điều đáng báo động vì chính các NPI này đang khiến nhiều đám mây gặp rủi ro.
Tệ hơn nữa, NPI đang sinh sôi nảy nở nhanh hơn nhiều so với danh tính con người. Sự tăng trưởng này thật đáng sợ vì rủi ro nhận dạng lại nằm ở cuối danh sách các mối quan tâm được giải quyết, các nhóm đã không quản lý được 2/3 rủi ro phát sinh từ NPI.
Theo phân tích, khi đám mây của một tổ chức doanh nghiệp điển hình có khoảng 31.000 danh tính. Trên thực tế, khoảng 10% trong số các danh tính đó (3.100 danh tính) có đủ quyền để xóa toàn bộ đám mây của tổ chức đó. Họ không chỉ có thể xóa đám mây mà còn có thể làm bất cứ điều gì họ muốn với nó. Điều này có thể bao gồm việc tăng nguồn tài nguyên và dịch vụ, khiến chi phí tăng vọt.
Nó cũng có thể bao gồm khả năng truy cập tất cả dữ liệu của bạn để sửa đổi, làm gián đoạn, xóa hoặc đánh cắp dữ liệu đó. Phần đáng sợ nhất là hầu hết các công ty hoàn toàn không biết về thực tế này.
Rủi ro danh tính là mối đe dọa lớn nhất đối với đám mây của tổ chức. Đây không phải là vấn đề năng lực hay hiệu suất cá nhân, mà là vấn đề hệ thống lớn hơn. CISO có thể không đủ khả năng để kiểm soát tất cả các danh tính đó, hiểu các quyền thực sự từ đầu đến cuối của họ và biết các danh tính đó đang được sử dụng ở đâu, khi nào và như thế nào.
Chỉ cần một danh tính quá đặc quyền để gây thiệt hại lớn cho đám mây và hầu hết các tổ chức có thể có hàng trăm, nếu không muốn nói là hàng nghìn danh tính trong số đó. Do vậy, các CISO nên suy nghĩ lại về tầm quan trọng và rủi ro của danh tính trong đám mây của họ./.