היעלמותו של קוד, שירותי אחסון עבור מערכות מידע שנתוני הלקוחות שלהם נמחקו על ידי האקרים, הינם דוגמא להשלכות החמורות מאבטחת ענן לוקה בחסר.
האקרים הרסו את השירות, המנוהל על ידי ויין, שממוקם ב- ניו ג'רזי AbleBots לאחר שהשיגו שליטה על קודי מחשבי הבקרה המשמשים לניהול התשתיות שלה באמזון Elastic Compute Cloud (EC2).
עם כלי רב עוצמה זה ביד, ההאקרים מחקו את רוב הנתונים, הגיבויים, תצורות מחשב של השירות וגיבויים מחוץ לאתר. פרצת האבטחה ההרסנית, שאירעה השבוע, ואחרי הניסיון הכושל של התוקפים כדי לסחוט כסף.
פרטים טכניים על ההתקפה אינם ברורים, אך מומחים אומרים שהתקיפה היא תזכורת למה שיכול לקרות כאשר סביבות מבוססות ענן ונכסי מערכות מידע אינם מאובטחים כראוי.
אמצעי הגנה יכול לכלול גיבוי קפדני ותוכניות התאוששות מאסונות וכלי ניהול ובקרת גישה מוצקות, במיוחד כאלה שחלות עליהן הגבלות קשות במיוחד על גישה מועדפת, אומרים מומחים.
כמו כן, אתרי ענן אינם אמורים להנות מקלות ופשטות גישה שכזו ממחשב בקרה אחד.
"הם נהגו בתמימות רבה באשר לשימוש באמצעי האבטחה הבסיסים ושיטות עבודה מומלצות,", אמר אדריאן Sanabria, אנליסט אבטחה בכיר של 451 מחקרים.
"הם שמו את כל הביצים שלהם בסל אחד". אין סיכוי שהחברה תצליח להתאושש אי פעם, מאחר ואף אחד לא סומך עליהם עם הקוד שלהם שוב, אמר Sanabria.
"פשוטו כמשמעו, עם כמה קליקים, והחברה התנדפה".
בין כמה פעולות מסוימות ש- CSOs יכולה לנקוט על מנת להימנע מגורל דומה בעת שימוש בספקי שירותי ענן,
הראשונה הינה אכיפת אימות של שני גורמים לכניסות לתשתיות קריטיות, אמר טוד בירדסלי, מנהל הנדסת Metasploit בRapid7,. בנוסף, גישה מועדפת צריכה להיות מוגבלת רק לאותם אנשים שבאמת שצריכים את זה.
"יתרה מזה צריך שיהיה לך גיבוי בשליטה מקומית של כל קניין רוחני שאין לו תחליף והוא חובה, בנוסף צריכות להיות תכניות מגרה מוכנות להפסקות שירות," אמר בירדסלי.
ראיונות שנערכים ע"י Rapid7 אצל ארגוני ענן והם משמשים כדי לקבוע את נכונות תגובתיהם לנושאים הנדונים (אובדן מידע, השחתתו וכו') , אמר בירדסלי.
"בסופו של דבר, אתה חייב לסמוך על ספקי שירותי ענן אלה ובתגובותיהם, אבל אתה יכול לקבל תחושה של מוכנות האבטחה שלהם רק על ידי שיחות מולם", הוא אמר.
"אם ספק שירותי ענן הפוטנציאלי הוא מעורפל או מתחמק על איזה הגנות ואיזה נהלי התאוששות יש להם, זה הזמן שבו כדאי לחפש חלופות".
ל- Ruihai Fang, אנליסט בכיר לייעוץ ביטחוני IT ול- Bishop Fox היו כמה המלצות אחרות
ל- CSOs: אל תפיצו, תפזרו קודים, אישורים ומסמכים חשובים לכול ענן בכול אתר.
יש לאכוף שינוי מפתח בכל 90 ימים, וזה בדיוק מה שממליצים באמזון.
קחו את הזמן הנוסף כדי להגדיר כראוי את ניהול זהויות וגישת הרשאות (IAM) בחשבונות EC2 של אמזון ועל מקשי גישה. – "הימנענו משימוש ברשות IAM כברירת המחדל המסופקת על ידי אמזון", אומר ניב. יש לפתח מדיניות של סיסמא חזקה.
הגדרת ברירת המחדל עבור סיסמאות אלו צריכה להיות לפחות 10 תווים
m-challenge שירותי מחשוב לעסקים