Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek dla www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Kto jest odpowiedzialny za wycieki danych w chmurze?

ghost666 19 Lut 2020 16:07 1257 1
  • Kto jest odpowiedzialny za wycieki danych w chmurze?
    Ponieważ obecnie przetwarzanie danych, ich przechowywanie, zarządzanie nimi i ich analiza w przypadku systemów Internetu Rzeczy (IoT) itp. jest przenoszona do chmury, to potrzeba szerszego udostępniania ich większej licznie użytkowników narasta. Powoduje to jednak spore problemy z zakresu cyberbezpieczeństwa, które jest szczególnie istotne w zakresie usług świadczonych w chmurze.

    Zapewnienie bezpieczeństwa urządzeń Internetu Rzeczy, a zwłaszcza przemysłowych sieci IoT (IIoT), to problem, który nie zniknie. Im więcej urządzeń się ze sobą łączy, tym więcej z nich zostaje zhakowanych i zaatakowanych. Ale tutaj nie chodzi tylko o same urządzenia - to głównie ich dane są tutaj zagrożone. A dane są udostępniane i przechowywane w chmurze, tam więc kierować trzeba starania o zwiększenie poziomu bezpieczeństwa. W związku z przenoszeniem usług do chmury, potrzeba dostępu do nich wielu różnych typów użytkowników wzrosła. Oznacza to ogromny wzrost potrzeby zabezpieczenia zarówno samych urządzeń, jak i ich danych, ponieważ naruszenia bezpieczeństwa danych, związanych z chmurą występują cały czas.

    Jednym z ostatnich przykładów jest ujawnienie danych osobowych tysięcy brytyjskich biznesmenów z źle skonfigurowanego serwera na Amazon Web Services (AWS). Wiele innych wrażliwych danych osobowych obejmuje zeszłoroczny wyciek danych z chmury Capital One, który powstał z powodu źle skonfigurowanej zapory sieciowej w systemie AWS. Jednakże wycieki to nie tylko AWS. Microsoft wydał w ostatnim czasie aktualizacje dla dwóch poważnych błędów bezpieczeństwa w swoim oprogramowaniu chmurowym Azure, które narażały serwery na ataki. I oczywiście te serwery również przechowują czyjeś poufne informacje - może nawet Twoje. Co gorsza, dziury te zostały również równolegle odkryte przez zewnętrznych badaczy.

    Inżynierowie mogą zapytać, jaki jest sens całego poświęconego czasu i kłopotów, potrzebnych do zbudowania dobrego systemu bezpieczeństwa w ukłądzie wbudowanym w urządzeniach końcowych IIoT, jeśli dane są chronione przez nieodpowiednie zabezpieczenia w chmurze? Z jednej strony mówi się, że przenoszenie przetwarzania danych IIoT do chmury jest bezpieczniejsze niż posiadanie własnego centrum danych, ponieważ centra danych dostawców usług w chmurze (CSP), takich jak Amazon, Microsoft lub Google, mają lepsze zabezpieczenia.

    Z drugiej strony jednak, gdy dojdzie do naruszenia, niezależnie od tego, czy jest ono spowodowane przez CSP, czy błędne kroki samej klienta, miliony bardzo wrażliwych danych osobowych lub biznesowych mogą wyciec na cały świat. Może to ciągnąć za sobą długotrwałe konsekwencje. To co jest zatem prawdą, to fakt, że przenoszenie danych klientów i innych zastrzeżonych informacji z lokalnego sprzętu do chmury znacznie zwiększa potencjalną powierzchnię ataku dostępną teraz dla hakerów, jak i dotkliwość konsekwencji tego rodzaju ataku.

    Z powodu błędnego konfigurowania przez klienta wykorzystywanych usług wystąpiło dotychczasowo wiele naruszeń bezpieczeństwa. W raporcie Verizon, dotyczącym dochodzeń w sprawie wycieków danych z 2019 roku stwierdzono, że błędne konfiguracje i błędy publikowania danych były największymi przyczynami ujawnienia danych. Ponad jedna trzecia wycieków danych, związanych z błędami, była spowodowana błędnymi konfiguracjami baz danych, często tych znajdujących się w chmurze.

    Według McAfee w raporcie z 2019 roku na temat wdrażania i ryzyka systemów IaaS (infrastruktura jako usługa), 99% przypadków powstania błędnych konfiguracji pozostaje niewykrytych. "Przedsiębiorstwa, z którymi rozmawialiśmy, poinformowały nas, że są świadome wystąpienia średnio 37 incydentów związanych z błędną konfiguracją miesięcznie" czytamy w raporcie. "Jednak nasze rzeczywiste dane pokazują, że firmy doświadczają bliżej nawet 3500 takich incydentów na miesiąc”.

    W opublikowanym w ubiegłym miesiącu przewodniku dotyczącym ograniczania luk w zabezpieczeniach w chmurze, jaki wydała Narodowa Agencja Bezpieczeństwa (NSA) w USA, luki dzielone są na cztery rodzaje:

    * błędna konfiguracja,
    * niedostateczna kontrola dostępu,
    * luki związane z najmem
    * luki wynikające z łańcucha dostaw.

    W przewodniku czytamy: "błędna konfiguracja zasobów pozostaje najbardziej rozpowszechnioną podatnością występującą w chmurze". Klienci wykorzystujący usługi świadczone w chmurze mają większą kontrolę nad pierwszymi dwoma typami luk, ale mogą także podejmować działania w celu ochrony zasobów przed dwoma ostatnimi. Przewodnik NSA mówi, że zarówno usługodawcy, jak i ich klienci ponoszą, w większym lub mniejszym stopniu, odpowiedzialność za występowanie każdej z tych .

    Kto jest odpowiedzialny za wycieki danych w chmurze?
    Model wspólnej odpowiedzialności NSA Cloud (za: amerykańską Agencją Bezpieczeństwa Narodowego).
    Model wspólnej odpowiedzialności w chmurze jest często cytowany w celu wyjaśnienia, kto jest uważany za odpowiedzialnego za które zadania bezpieczeństwa. Jak mówi przewodnik NSA, w ramach tego modelu „dostawcy usług internetowych i klienci w chmurze współdzielą ze sobą wyjątkowe i nakładające się obowiązki, aby zapewnić bezpieczeństwo usług i wrażliwych danych przechowywanych w chmurze. Dostawcy CSP są odpowiedzialni za zabezpieczenie infrastruktury swojej chmury, a także za wdrażanie mechanizmów kontrolnych w celu zabezpieczenia danych klientów. Administratorzy organizacji są zwykle odpowiedzialni za konfigurację zabezpieczeń na poziomie aplikacji (np. kontroli dostępu do danych). Wielu dostawców usług internetowych zapewnia narzędzia do konfiguracji zabezpieczeń w chmurze i dedykowane systemy monitorowania, ale to klienci są odpowiedzialni za konfigurację usługi, zgodnie z wymaganiami bezpieczeństwa swojej organizacji".

    Firmy nadal będą przenosić zadania związane z obsługą i przechowywaniem danych do chmury. Ma to swoje wyraźne zalety w postaci redukcji kosztów i poprawy wydajności systemów. Hakerzy i inni gracze, zarówno zewnętrzni, jak i wewnętrzni, będą nadal atakować te zespoły i magazyny danych w każdy możliwy sposób. Czasami odniosą sukces w tych próbach. Dostawcy usług w chmurze muszą nadal ulepszać swoje produkty cyberbezpieczeństwa wykorzystywane w systemach pracujących w chmurze.

    Źródło: https://www.eetimes.com/whos-responsible-for-data-breaches-in-the-cloud/

    Fajne! Ranking DIY
    Potrafisz napisać podobny artykuł? Wyślij do mnie a otrzymasz kartę SD 64GB.
    O autorze
    ghost666
    Tłumacz Redaktor
    Offline 
    Fizyk z wykształcenia. Po zrobieniu doktoratu i dwóch latach pracy na uczelni, przeszedł do sektora prywatnego, gdzie zajmuje się projektowaniem urządzeń elektronicznych i programowaniem. Od 2003 roku na forum Elektroda.pl, od 2008 roku członek zespołu redakcyjnego.
    ghost666 napisał 9651 postów o ocenie 7744, pomógł 157 razy. Mieszka w mieście Warszawa. Jest z nami od 2003 roku.
  • #2
    Sam Sung
    Poziom 31  
    Czyli salomonowy wyrok - odpowiedzialni są po trochu wszyscy, czyli nikt konkretny. Przy okazji dobrze wiedzieć, że w tej branży wciąż działa stara sztuczka z przerzucaniem odpowiedzialności na klienta poprzez zalanie go opcjami konfiguracyjnymi. Decyzje o działaniu systemu podejmuje wtedy klient na własne ryzyko, i - jak widać - nikt się nie czepia producenta, że głupio zaprojektował system. W aplikacjach dla użytkowników końcowych ten "proceder" chyba się już skończył, bo nikt takich apek nie chce używać. W chmurach najwidoczniej jest za mała konkurencja. Za duży próg wejścia w biznes?