了解云中的第三方風險的6個技巧
如今,大多數現代組織都依賴第三方來幫助經營和發展自身的業務。然而,構成供應鏈的供應商、合作伙伴和提供商也是云環境攻擊面的重要組成部分。
雖然組織不能(也不應該)完全切斷與第三方的聯系,但可以(也應該)在向他們提供進入組織的單云和多云環境的權限時,實施最小特權原則。閱讀下文,了解如何實現這個基本的現代安全實踐以及入門技巧。
為什么第三方嚴重危害組織云環境安全?
第三方,包括承包商、供應商、合作伙伴,甚至云服務提供商,都是組織業務生態系統的基本組成部分。他們可以幫助組織實現業務增長的方方面面,從工程和IT到營銷和業務發展,以及法律和戰略。許多這些第三方也都有其他第三方來幫助他們運營自己的業務等等。這種自然的業務現實創造了以各種方式相互聯系的組織和網絡的供應鏈。
但所有這些幫助都有其陰暗面:第三方和供應鏈在組織的云環境中制造了相當大的安全漏洞。根據IBM的《2022年數據泄露成本報告》顯示,19%的數據泄露是由供應鏈泄露引起的。第三方入侵的平均總成本為446萬美元,比同類入侵的平均成本高出2.5%。此外,與全球其他類型的入侵相比,識別和遏制第三方入侵的平均時間要長26天。
第三方的脆弱性來自于不同的安全衛生實踐,并且控制著組織生態系統中的每個業務。在許多情況下,它們的標準沒有組織的標準嚴格,從而導致不一致性,并增加了與其相關的安全漏洞。
2021年5月,美國總統喬·拜登(Joe Biden)在其里程碑式的網絡安全行政命令中專門用了一整節來強調供應鏈風險以及降低供應商攻擊的必要性。該命令指出,“商業軟件的開發往往缺乏透明度,對軟件抵御攻擊的能力缺乏足夠的關注,以及對防止惡意行為者篡改缺乏足夠的控制。”該行政命令表示,由于攻擊者更容易攻破第三方軟件,因此第三方軟件更容易被利用。
不過,值得注意的是,第三方漏洞不僅僅與軟件相關。不同的、不匹配的和/或低于組織自身安全標準的安全實踐也會產生漏洞。例如,在SolarWinds攻擊的情況下,一些第三方可能沒有遵守密碼衛生實踐。在其他情況下,它們可能會重用憑據或意外地錯誤配置環境。
一旦他們獲得了對供應商的訪問權限,攻擊者就會發現訪問組織的環境變得更容易了。與組織嚴防戒備的惡意攻擊者不同,組織傾向于將第三方視為可信任的實體。因此,第三方有權訪問和控制敏感資源。有時,他們需要這種訪問權限來執行工作。但是,由于手動錯誤、疏忽或不了解情況,權限通常會有意或無意地過度特權。因此,訪問組織供應商的攻擊者也可以利用這種信任關系并破壞組織的環境。過度的授權將使組織的關鍵系統和數據處于危險之中,并可能破壞組織對法規的遵從性。
云中的第三方:為什么風險不同于本地環境
在云中,對第三方和供應鏈參與者的過度信任比本地環境更具風險,這不僅是因為人們放松了警惕,還因為云架構的性質以及它與本地環境的不同。
本地服務器和組件可以劃分網絡邊界,并實現安全控制措施(如防火墻)來保護這些邊界。但在云中,基礎設施是分布式的,并駐留在公共基礎設施上,因此不可能對其進行安全控制。這意味著以前使用的安全策略和解決方案,如第三方特權訪問管理(PAM),無法再發揮作用。
此外,云的分布式特性,以及員工對基于云的資源(例如SaaS應用程序)的工作依賴,已經改變了連接需求。經歷云化的企業現在依賴身份和憑據作為訪問公司資源的主要手段,使得身份成為新的安全邊界。
不僅僅是人類用戶需要身份才能訪問。云已經將許多架構從整體轉換為微服務,以支持更多的開發敏捷性。這些云服務現在也需要數字身份作為訪問資源的主要手段。在某些情況下,甚至您的云提供商也可能是可以訪問組織環境,且經過授權的第三方。不過,維護云服務提供商(CSP)管理的帳戶列表可能是一項艱巨的任務。
身份:復雜的安全事項
在云中,IT、DevOps、安全和DevSecOps現在正管理著數千個新的數字組織身份,每個身份都有一個復雜的權限子集,這些權限決定了他們可以訪問哪些資源,以及他們可以對這些資源采取哪些操作。在最近由獨立組織身份定義安全聯盟(IDSA)進行的《2022年安全數字身份趨勢調查》中,52%的身份和安全專業人士認為“云采用是組織身份增長的驅動力”。
管理和監控這些身份及其權限是極其復雜的任務。大量的身份及其權限的復雜性使得避免疏忽和手動錯誤幾乎是不可能的。
這種避免權限錯誤的極端困難具有危險的安全隱患。Verizon發布的《2022年數據泄露調查報告(DBIR)》發現,憑據是組織安全的頭號缺陷。對于第三方,同樣的研究發現,使用被盜憑據和勒索軟件是導致安全事件的頭兩大“行動類型”。根據Ermetic勒索軟件研究發現,勒索軟件的驅動因素在于錯誤配置的身份、公開暴露的設備、危險的第三方身份以及危險的訪問密鑰。
換句話說,第三方憑據是攻擊組織和破壞其數據的焦點。保護第三方憑據需要成為每個組織安全策略的一部分。
第三方:全球性的需求和痛點
在傳統安全思維模式下運營的企業往往會阻止任何風險或威脅。但是現代安全策略要求安全團隊扮演業務推動者的角色。這意味著需要在不降低業務生產力和性能的情況下維護安全性。克服第三方業務與安全的困境是極具挑戰性的,因為雖然供應鏈是一種固有的風險,但它也是企業成功的關鍵。關閉第三方運營等同于關閉企業運營。
但風險也不言自明:云中的第三方訪問需要專用的安全方法來進行權限管理。幸運的是,特權最小原則是現代安全實踐,可以解決云中身份管理的復雜性(包括第三方的復雜性)。通過將用戶和服務權限最小化,只允許那些被認為是業務操作所必需的權限,組織可以在攻擊時減小爆炸半徑和攻擊面。
當涉及到第三方時,最小特權原則(包括通過Just in Time特權訪問等工具實現的原則)使得僅向第三方提供業務所需的訪問權限,同時將這些實體構成的風險降至最低。
了解云中的第三方風險的6個技巧
以下是確保自動化機制能夠以最少的特權保護組織免受第三方風險的六個技巧:
技巧1:監控過多的第三方權限
正如我們所知,云中的權限本質上是復雜的。自動化的多云監控機制將檢查第三方憑據是否有過多的權限或有害的組合,并通過提供不必要的訪問敏感數據和修改基礎設施的能力,來確定這些權限是否違反了最小權限原則。這些信息將根據其風險嚴重性進行可視化,并將突出顯示任何攻擊者偵察能力。對嚴重性的評估將考慮其他策略定義所涵蓋的風險抵消,包括與權限鏈相關的網絡。
技巧2:謹慎監控
現代安全策略是業務推動者和增長愛好者。因此,需要以上下文的方式應用安全控制。與其阻止任何潛在的易受攻擊的活動,不如智能地實施行動。對于權限,必須提供權限范圍的上下文。并非所有第三方功能對業務都是危險的。過度的權限,即那些超出最小特權原則的權限,是應該減少的權限。自動安全控制提供了將帳戶和服務標記為受信任的機制,從而減少了錯誤警報。
技巧3:自動修復第三方漏洞
工程、IT和安全團隊都很忙,都有警惕疲勞。一個有用的自動化解決方案不僅能突出問題,還能幫助解決問題。不要給團隊的工作量增加更多的任務,而是要注意選擇一種解決方案,它可以提供推薦的替代策略并自動修復到組織的工作流中,甚至可以將優化的策略通過基礎設施作為代碼“左移”,同時將更高級的問題留給人類判斷。
技巧4:設置權限護欄
護欄限制了一個身份可以執行的操作。這有助于通過限制用戶或主體可以做的事情來最小化爆炸半徑。對于第三方來說,確定自動化護欄尤其重要,因為IT團隊通常更容易為他們提供過多的訪問權限或接受云供應商的默認配置,而非弄清楚如何將權限限制在他們實際需要的資源上。
技巧5:確保易用性
自動化應該能夠支持組織運營,而非增加組織日常流程的復雜性和困難度。一個有用的自動化解決方案將與安全和工程團隊的工作流程集成。這可以通過易于理解的儀表板、清晰的指示、集成到CI/CD循環中以及與Slack或PagerDuty等工具集成來實現。
技巧#6:交付JIT訪問
JIT(Just-in-Time)訪問是一種安全原則,它在有限的時間內為用戶提供訪問,然后撤銷它。當用戶需要許可權限來完成某個任務時,例如開發人員需要修復生產中的錯誤時,JIT非常有用。
一個安全的自動化解決方案也將支持第三方的JIT訪問。這樣,如果您的供應商需要訪問敏感環境以解決與工作相關的重要問題,您可以為他們提供這樣的訪問權限,而不會給攻擊者留下一個進行偵察的永久機會窗口。
結語
從業務的角度來看,第三方和任何內部部門一樣都是業務的一部分。但從安全角度來看,需要有意地、謹慎地接觸這些實體。第三方承擔著巨大的風險,因為他們的安全實踐超出了組織的控制范圍。
管理這些漏洞的答案是通過一個自動化的安全解決方案來實現最少的特權和JIT訪問。自動化的權限管理和監控通過僅為第三方(包括開發人員)分配他們所需的訪問權限來降低訪問風險。這是平衡和確保云中業務連續性和安全性的最佳方法。
