1. HOME
  2. Blog
  3. Blog
  4. 収益化の間違い:クラウドの設定ミスに対処する方法

Info.

お知らせ

Blog

収益化の間違い:クラウドの設定ミスに対処する方法

2019年8月29日フィル・マンカスター

企業がDevOpsを活用したイノベーションとITの俊敏性を促進するために列を成すにつれて、クラウドコンピューティングが繁栄しています。2017年に英国のクラウド導入がほぼ90%に達すると、西ヨーロッパのパブリッククラウドの市場は今年430億ドルに達する可能性があります。しかし、これらの利点に加えてセキュリティの障壁もあり、このリストの一番上にあるのは設定ミスの課題です。

セキュリティ研究者は何年もの間それについて警告してきた。しかし、現在、ハッカーはこれらのミスをターゲットとする努力を自動化しているため、構成ミスのエラーを軽減するための探求が新たな緊急性にかかっています。

どうしたの?

クラウドの構成ミスは新しいものではありません。あるベンダーは、過去4年間に数千もの組織を文書化しており、Amazon S3の導入で重大なミスを犯しました-プロセス中の機密IPと顧客データを公開しています。これらには以下が含まれます。

Amazon S3だけではありません。同様のプライバシースナフスがMongoDBElasticsearchおよびその他のプラットフォームで発見されています。現在の違いは、攻撃者がこれらの間違いを武器にして自分たちの目的をさらに進めていることです。

  • これを行う最も一般的な方法の1つは、公開されたデータストア(簡単なShodan検索で実行できるもの)をインターネットで自動的にスキャンすることです。データをコピーし、オリジナルを削除して、身代金メモを残します。これらの攻撃は特に新しいものではありませんが、最近数週間で戦術が復活しました。
    • Choice Hotels国際的なホテルチェーンは公開されたMongoDBインスタンスを残しました。
    • Libreria Porrua人気のメキシコの書店は、MongoDBデータベースで200万件を超える顧客レコードをオンラインで公開しました。パブリック構成により、ハッカーは完全な管理者権限でシステム全体を管理し、データを盗んで身代金メモを残すことができました
  • クラウドの設定ミスを悪用する別の攻撃手法には、Magecartとして知られる悪名高いデジタルスキミングコードの使用が含まれます。コードを使用して組織の顧客からカードデータを盗むグループが、JavaScriptを含む公開されたS3バケットのスキャン自動化を発見しました。その後、誤って設定された書き込み権限を利用して、悪意のあるMagecart JavaScriptをコードに追加します。その結果、世界トップクラスのWebサイトを含む17,000ものドメインが侵害される可能性があります。

基本的なエラー

多くの場合、誤って設定されたクラウド設定に関するニュースが出されると、サードパーティのプロバイダーまたは請負業者によって問題が引き起こされています。Choice Hotelsの場合、ベンダーはホスピタリティジャイアントに新しいツールを提供するためにデータを操作していました。ライブデータを使用することさえないはずでした。実際、侵害された560万件のレコードのほとんどは、実在の人物とは関係していませんでした。

言うまでもなく、組織はこれらの予防可能なミスを厳しく取り締まる必要があります。まだ調査していない場合、このような事件がGDPR規制当局の注目をすぐに集めることは鋳鉄製の確実性です。ビジネスへの潜在的な影響について不明な企業の場合、BAは先月、Magecartのハッカーによる顧客データの侵害につながるミスについて記録的な1億 8,300 万ポンドの罰金を科されました

データを公開する設定ミスは、AWS S3のようなクラウドプラットフォームを超えて広がります。昨年のある分析では、SMB(可視ファイルの33%)、rsync(28%)、およびFTPサーバー(26%)が、1回のスキャンでオンラインで見つけた15億の機密ファイルの大部分を露出したと主張しました。S3はわずか7%を占めました。

規制順守への影響

GDPR規制当局は、組織の運用手順とインフラストラクチャのベストプラクティスの両方を考慮することを覚えておくことが重要です。言い換えれば、これらの間違いがどれほど悪意のないものであったとしても、侵害をもたらす設定ミスは、重大な規制上の結果をもたらします。罰金は世界の年間売上高の4%に達する可能性があり、規制当局は最近、多額の金額を徴収する意思があり、それを超えることができることを示しています。

したがって、ITレベルでの構成ミスは、組織を非準拠とみなす可能性があるため、それらを事前に管理することが非常に重要なタスクになります。

何をすべきか

また昨年、IBMの分析により、クラウドシステムの構成ミスに起因するデータリークの424%の増加が明らかになり、侵害されたレコードの70%を占めています。ITリーダーは、これらのリスクの軽減についてより積極的に取り組む必要があることは明らかです。クラウドセキュリティは共有の責任であり、顧客が環境を設定するための100%の責任を負っていることを覚えておくことが重要です。

初心者向けの適切なチェックリストには、次のものを含める必要があります。

  • 最小特権の原則に従ってクラウド管理へのアクセスを制限する
  • 2018年11月に導入されたAWS改善を活用して、設定ミスの可能性を減らします
  • MongoDB 3.5.7以降を使用していることを確認して、管理者が明示的に設定しない限り、データベースへのネットワーク接続がすべて拒否されるというセキュリティ強化を活用します。
  • クラウドセキュリティポスチャ管理(CSPM)ソリューション(サードパーティソリューションはネイティブソリューションよりも自動化されています)を使用して、構成の誤りを継続的にスキャンし、修正します。
  • ロギングをオンにして変更を追跡し、設定ミスを特定します
  • これらのポリシーとプロセスをサードパーティのサプライヤーに適用する

オンプレミス環境の保護のようなクラウドセキュリティには、上記をはるかに超える多層的なアプローチが必要です。しかし、誤って設定されたアカウントのような基本的なミスを防ぐことに失敗した企業は、最初のハードルで落ちています。控えめな果物を探しているハッカーにとって、これらは夢の実現です。

バラクーダネットワークスはパブリッククラウドを簡単、安全、そして手頃な価格にします

原文はこちら:

Monetising mistakes: how to tackle cloud misconfiguration

August 29, 2019 Phil Muncaster

https://blog.barracuda.com/2019/08/29/monetising-mistakes-how-to-tackle-cloud-misconfiguration/

Related posts