了解云中的第三方风险的6个技巧
2023-1-28 12:4:47 Author: 嘶吼专业版(查看原文) 阅读量:16 收藏

如今,大多数现代组织都依赖第三方来帮助经营和发展自身的业务。然而,构成供应链的供应商、合作伙伴和提供商也是云环境攻击面的重要组成部分。

虽然组织不能(也不应该)完全切断与第三方的联系,但可以(也应该)在向他们提供进入组织的单云和多云环境的权限时,实施最小特权原则。阅读下文,了解如何实现这个基本的现代安全实践以及入门技巧。

第三方,包括承包商、供应商、合作伙伴,甚至云服务提供商,都是组织业务生态系统的基本组成部分。他们可以帮助组织实现业务增长的方方面面,从工程和IT到营销和业务发展,以及法律和战略。许多这些第三方也都有其他第三方来帮助他们运营自己的业务等等。这种自然的业务现实创造了以各种方式相互联系的组织和网络的供应链。

但所有这些帮助都有其阴暗面:第三方和供应链在组织的云环境中制造了相当大的安全漏洞。根据IBM的《2022年数据泄露成本报告》显示,19%的数据泄露是由供应链泄露引起的。第三方入侵的平均总成本为446万美元,比同类入侵的平均成本高出2.5%。此外,与全球其他类型的入侵相比,识别和遏制第三方入侵的平均时间要长26天。

第三方的脆弱性来自于不同的安全卫生实践,并且控制着组织生态系统中的每个业务。在许多情况下,它们的标准没有组织的标准严格,从而导致不一致性,并增加了与其相关的安全漏洞。

2021年5月,美国总统乔·拜登(Joe Biden)在其里程碑式的网络安全行政命令中专门用了一整节来强调供应链风险以及降低供应商攻击的必要性。该命令指出,“商业软件的开发往往缺乏透明度,对软件抵御攻击的能力缺乏足够的关注,以及对防止恶意行为者篡改缺乏足够的控制。”该行政命令表示,由于攻击者更容易攻破第三方软件,因此第三方软件更容易被利用。

不过,值得注意的是,第三方漏洞不仅仅与软件相关。不同的、不匹配的和/或低于组织自身安全标准的安全实践也会产生漏洞。例如,在SolarWinds攻击的情况下,一些第三方可能没有遵守密码卫生实践。在其他情况下,它们可能会重用凭据或意外地错误配置环境。

一旦他们获得了对供应商的访问权限,攻击者就会发现访问组织的环境变得更容易了。与组织严防戒备的恶意攻击者不同,组织倾向于将第三方视为可信任的实体。因此,第三方有权访问和控制敏感资源。有时,他们需要这种访问权限来执行工作。但是,由于手动错误、疏忽或不了解情况,权限通常会有意或无意地过度特权。因此,访问组织供应商的攻击者也可以利用这种信任关系并破坏组织的环境。过度的授权将使组织的关键系统和数据处于危险之中,并可能破坏组织对法规的遵从性。

在云中,对第三方和供应链参与者的过度信任比本地环境更具风险,这不仅是因为人们放松了警惕,还因为云架构的性质以及它与本地环境的不同。

本地服务器和组件可以划分网络边界,并实现安全控制措施(如防火墙)来保护这些边界。但在云中,基础设施是分布式的,并驻留在公共基础设施上,因此不可能对其进行安全控制。这意味着以前使用的安全策略和解决方案,如第三方特权访问管理(PAM),无法再发挥作用。

此外,云的分布式特性,以及员工对基于云的资源(例如SaaS应用程序)的工作依赖,已经改变了连接需求。经历云化的企业现在依赖身份和凭据作为访问公司资源的主要手段,使得身份成为新的安全边界。

不仅仅是人类用户需要身份才能访问。云已经将许多架构从整体转换为微服务,以支持更多的开发敏捷性。这些云服务现在也需要数字身份作为访问资源的主要手段。在某些情况下,甚至您的云提供商也可能是可以访问组织环境,且经过授权的第三方。不过,维护云服务提供商(CSP)管理的帐户列表可能是一项艰巨的任务。

在云中,IT、DevOps、安全和DevSecOps现在正管理着数千个新的数字组织身份,每个身份都有一个复杂的权限子集,这些权限决定了他们可以访问哪些资源,以及他们可以对这些资源采取哪些操作。在最近由独立组织身份定义安全联盟(IDSA)进行的《2022年安全数字身份趋势调查》中,52%的身份和安全专业人士认为“云采用是组织身份增长的驱动力”。

管理和监控这些身份及其权限是极其复杂的任务。大量的身份及其权限的复杂性使得避免疏忽和手动错误几乎是不可能的。

这种避免权限错误的极端困难具有危险的安全隐患。Verizon发布的《2022年数据泄露调查报告(DBIR)》发现,凭据是组织安全的头号缺陷。对于第三方,同样的研究发现,使用被盗凭据和勒索软件是导致安全事件的头两大“行动类型”。根据Ermetic勒索软件研究发现,勒索软件的驱动因素在于错误配置的身份、公开暴露的设备、危险的第三方身份以及危险的访问密钥。

换句话说,第三方凭据是攻击组织和破坏其数据的焦点。保护第三方凭据需要成为每个组织安全策略的一部分。

在传统安全思维模式下运营的企业往往会阻止任何风险或威胁。但是现代安全策略要求安全团队扮演业务推动者的角色。这意味着需要在不降低业务生产力和性能的情况下维护安全性。克服第三方业务与安全的困境是极具挑战性的,因为虽然供应链是一种固有的风险,但它也是企业成功的关键。关闭第三方运营等同于关闭企业运营。

但风险也不言自明:云中的第三方访问需要专用的安全方法来进行权限管理。幸运的是,特权最小原则是现代安全实践,可以解决云中身份管理的复杂性(包括第三方的复杂性)。通过将用户和服务权限最小化,只允许那些被认为是业务操作所必需的权限,组织可以在攻击时减小爆炸半径和攻击面。

当涉及到第三方时,最小特权原则(包括通过Just in Time特权访问等工具实现的原则)使得仅向第三方提供业务所需的访问权限,同时将这些实体构成的风险降至最低。

以下是确保自动化机制能够以最少的特权保护组织免受第三方风险的六个技巧:

技巧#1:监控过多的第三方权限

正如我们所知,云中的权限本质上是复杂的。自动化的多云监控机制将检查第三方凭据是否有过多的权限或有害的组合,并通过提供不必要的访问敏感数据和修改基础设施的能力,来确定这些权限是否违反了最小权限原则。这些信息将根据其风险严重性进行可视化,并将突出显示任何攻击者侦察能力。对严重性的评估将考虑其他策略定义所涵盖的风险抵消,包括与权限链相关的网络。

技巧#2:谨慎监控

现代安全策略是业务推动者和增长爱好者。因此,需要以上下文的方式应用安全控制。与其阻止任何潜在的易受攻击的活动,不如智能地实施行动。对于权限,必须提供权限范围的上下文。并非所有第三方功能对业务都是危险的。过度的权限,即那些超出最小特权原则的权限,是应该减少的权限。自动安全控制提供了将帐户和服务标记为受信任的机制,从而减少了错误警报。

技巧#3:自动修复第三方漏洞

工程、IT和安全团队都很忙,都有警惕疲劳。一个有用的自动化解决方案不仅能突出问题,还能帮助解决问题。不要给团队的工作量增加更多的任务,而是要注意选择一种解决方案,它可以提供推荐的替代策略并自动修复到组织的工作流中,甚至可以将优化的策略通过基础设施作为代码“左移”,同时将更高级的问题留给人类判断。

技巧#4:设置权限护栏

护栏限制了一个身份可以执行的操作。这有助于通过限制用户或主体可以做的事情来最小化爆炸半径。对于第三方来说,确定自动化护栏尤其重要,因为IT团队通常更容易为他们提供过多的访问权限或接受云供应商的默认配置,而非弄清楚如何将权限限制在他们实际需要的资源上。

技巧5:确保易用性

自动化应该能够支持组织运营,而非增加组织日常流程的复杂性和困难度。一个有用的自动化解决方案将与安全和工程团队的工作流程集成。这可以通过易于理解的仪表板、清晰的指示、集成到CI/CD循环中以及与Slack或PagerDuty等工具集成来实现。

技巧#6:交付JIT访问

JIT(Just-in-Time)访问是一种安全原则,它在有限的时间内为用户提供访问,然后撤销它。当用户需要许可权限来完成某个任务时,例如开发人员需要修复生产中的错误时,JIT非常有用。

一个安全的自动化解决方案也将支持第三方的JIT访问。这样,如果您的供应商需要访问敏感环境以解决与工作相关的重要问题,您可以为他们提供这样的访问权限,而不会给攻击者留下一个进行侦察的永久机会窗口。

从业务的角度来看,第三方和任何内部部门一样都是业务的一部分。但从安全角度来看,需要有意地、谨慎地接触这些实体。第三方承担着巨大的风险,因为他们的安全实践超出了组织的控制范围。

管理这些漏洞的答案是通过一个自动化的安全解决方案来实现最少的特权和JIT访问。自动化的权限管理和监控通过仅为第三方(包括开发人员)分配他们所需的访问权限来降低访问风险。这是平衡和确保云中业务连续性和安全性的最佳方法。

参考及来源:https://cloudsecurityalliance.org/blog/2023/01/11/6-tips-for-understanding-3rd-party-risk-in-the-cloud/


文章来源: http://mp.weixin.qq.com/s?__biz=MzI0MDY1MDU4MQ==&mid=2247556798&idx=1&sn=655c863682e887fdc33d942f080d041b&chksm=e915ce84de62479243ea01d17a6497f5ece32c869dca3bda1d15b9f6c56dd7123dffee7dd786#rd
如有侵权请联系:admin#unsafe.sh