Externe gebruikers met beheerdersrechten (admin-rechten) vormen een groot beveiligingsrisico binnen publieke cloud-omgevingen. Bijna zeventig procent van de onderzochte organisaties heeft gastgebruikers die het beheer van de digitale infrastructuur over kunnen nemen. Vooral binnen Amazon Web Sevices (AWS) schiet de controle op configuratiegevaren tekort.
Dat concludeert aanbieder van beheertoepassingen Zscaler na onderzoek. Het bedrijf ziet verhoogde risico’s op data-exploitatie en misbruik van systemen door cybercriminelen doordat externen beschikken over beheerdersrechten van publieke cloud-omgevingen.
Dat speelt vooral bij gebruikers van AWS-diensten. Zscaler concludeert dat ruim driekwart van de organisaties die cloudiensten van die aanbieder gebruikt geen strikte toegangscontroles toepast. Bijvoorbeeld om de machtigingen en activiteiten te beperken voor externe gebruikers en het beheer van contractanten en integraties te controleren. Externe accounts hebben regelmatig zogenoemde admin-rechten en kunnen zo beheertaken uitvoeren.
‘Naarmate organisaties blijven migreren naar de cloud, neemt de afhankelijkheid van derde partijen, partners en integraties toe. Daarmee neemt ook het risico op compromitterende aanvallen in de softwareketen toe. Vooral cloud-ontwikkeltools vormen een risico. Via die tools kunnen kwaadwillenden systemen in de cloud binnendringen of aanpassen. Ook kunnen criminelen met beheerdersrechten snel kwetsbaarheden vinden in de cloudinfrastructuur en deze misbruiken, stelt het bedrijf.
Tips
In een rapportage over de kwetsbaarheden binnen publieke clouds door admin-rechten van externen deelt Zscaler een aantal tips om risico’s te verkleinen.
- Encryptie
Versleutel wat je kunt en inspecteer al het versleutelde verkeer. Versleuteling is een krachtige manier om gevoelig verkeer te beschermen, maar het is een even slinkse en uiterst gebruikelijke manier waarop bedreigingen systemen binnensluipen. Sterke coderings- en inspectiemogelijkheden beschermen in beide richtingen.
- Toegang
Registreer en bewaak toegang en verkeer. Naast het behouden van zichtbaarheid als onderdeel van een zero-trust-implementatie, vereisen incidentresponsactiviteiten uitgebreide logboekregistratie van alle bedrijfsmiddelen en diensten.
- Cloud en datacenter-audit
Bewaak en controleer (audit) configuraties voor alle clouds en datacenters. De meeste verkeerde configuraties komen voort uit gebruikersfouten en zijn de oorzaak van cloudkwetsbaarheden. Vertrouwen op automatisering in plaats van handmatig beheer is een effectieve manier om configuraties onder controle te houden.
- Maak een risicoprofiel
Voer regelmatig scans op kwetsbaarheden uit om zwakke punten te identificeren. Gebruik een geautomatiseerde oplossing die is gebouwd om kwetsbaarheden te sorteren op risicoprofiel. Op deze manier hoeven teams geen tijd te verspillen aan het oplossen van problemen die geen echt gevaar vormen.
- Beveiligingspatches
Pas beveiligingspatches zo snel mogelijk toe. De tijd tussen de release van een patch en uw update kan een kans zijn voor aanvallers. Naast het profiteren van verkeerde configuraties, kan de meeste malware aanslaan vanwege niet-gepatchte kwetsbaarheden. Door cloudservices te kiezen waarbij de gedeelde verantwoordelijkheid voor patching bij de aanbieder van de clouddienst ligt, wordt dit bedreigingsrisico in een clouddienst volledig geëlimineerd.
- Zero-trust
Dwing zero-trust-beveiliging af. De principes van zero trust, gebaseerd op toegang met de minst bevoorrechte toegang en sterke authenticatie, zijn kritieke bescherming in ons digitale tijdperk, waarin gegevens, applicaties en gebruikers overal en altijd kunnen zijn. Om de cloud nu en in de toekomst te beveiligen, is het absoluut noodzakelijk dat organisaties applicaties achter een proxy verbergen, bevoorrechte toegang beperken en een-op-een-verbindingen tussen gebruikers en applicaties tot stand brengen met zero trust-netwerktoegang.
- Reactieplan
Zorg voor een getest reactieplan. Dit biedt soelaas in het geval van een inbreuk. Door uw backup-opslag te scheiden van de oorspronkelijke gegevensbron, wordt bovendien een ‘single point of failure’ voorkomen en versnelt het herstel.
- Endpoints
Beveilig endpoints, inclusief mobiele en iot-apparaten. Cloud computing heeft de beveiliging van ondernemingen enorm veranderd, maar endpoints blijven de zwakste schakel in de keten. Nu mobiele en iot-gegevens zo kwetsbaar zijn, is het van cruciaal belang om de cloudgegevens die door en tussen deze eindpunten reizen te beschermen.
Dat allerlei externen beschikken over de beheerdersrechten van de publieke cloud-omgevingen is veelal het gevolg van uitbesteding. In de adviezen mis ik dan ook nog de onlosmakelijke koppeling tussen gecontracteerde externe aangaande rechten want deze blijken nog makkelijk overdraagbaar te zijn.
De slotenmaker die na onderzoek overal werk ziet.
Waarom eigenlijk ook alweer naar de cloud?
– ontzorgen, alleen nog maar zorg voor de eigen core business. Anderen doen de ict. Huh? waar ging die artikel over.
– veiligheid, laat anderen doen waar zij goed in zijn en dan worden ineens niet de hacker bedoeld
– gemak, alles makkelijk met apis, right.
– pay per use, alleen geen idee wat je used en waarom
Hoe was het vroeger?
Je had je eigen network, inloggen via iets zoals Citrix met AD authenticatie.
Daarnaast nog een paar externe toegang voor speciale toepassingen zoals bestandje dumpen of ophalen.
De local sysadmin wist er alles van. Vertrekt iemand, dan blokkeer je zijn AD credentials en toegang tot die paar losse toepassingen.
Gedeelde verantwoordelijkheid. Iedereen die beetje in organisaties werkt, weet hoe dat in de praktijk werkt.
Eerst het on prem werk uitbesteden, nu het cloud werk uitbsteden. Welk responsibility model nu weer ?
Alles zo ingewikkeld dat je moet uitbesteden want wie snapt er nog een reet van … en dan zero trust 😉
Ze verzinnen wat.
Zoveel sloten, zoveel slotenmakers bleek de slotgracht van Citrix zo’n 10 jaar geleden al een middeleeuwse oplossing want het anytime & anywhere werken wordt al heel wat jaren toegepast in het beheer als we kijken naar een verplaatsing van de arbeid. De cloud als een netwerk is nog wat anders dan de cloud computing van een workload plaatsing. En wat betreft het actueel houden van alle afspraken over informatiebeveiliging tussen de betrokken partijen en ervoor zorgen dat de juiste beveiligingsmaatregelen worden genomen lijkt Hof van Twente me een voorbeeld waarin de controle op configuratiegevaren tekort schoot.
“Vertrekt iemand, dan blokkeer je zijn AD credentials en toegang tot die paar losse toepassingen.”
Het is te hopen dat het account van vertrekkende beheerder niet gebruikt is voor gebruikelijke breiwerkjes van configuraties waarbij de speciale local sysadmin rechten niet zo goed gedocumenteerd zijn. Hoorde recentelijk voorbeelden van slecht configuratie management want wollig als altijd ben ik als reversed engineer altijd geïnteresseerd in de achterliggende techniek onder de motorkap. En door de deur naar binnen of via het raam is een cryptische opmerking want Microsoft had een lek met AD, duistere hocus-pocus van toegang via de service accounts met verhoogde rechten is relatief eenvoudig als je weet dat wachtwoorden hiervan niet zo snel wijzigen. Cryptische opmerking over eenvoudig overdraagbare rechten gaat niet om de persoon maar om de rol:
“Vertrekt iemand, dan wijzig je alle wachtwoorden van die paar losse toepassingen die via local sysadmin werken.”