AWS-ის CISO-ს თანახმად, უსაფრთხოების გუნდებმა ყურადღება უნდა გაამახვილონ 10 საკითხზე

  • Sep 05, 2023

Amazon Web Services (AWS) ინფორმაციული უსაფრთხოების მთავარი ოფიცერი და უსაფრთხოების ინჟინერიის პრეზიდენტი სტივენ შმიდტმა დეტალურად აღწერა 10 რამ, მისი აზრით, ყველა უსაფრთხოებისთვის ყველაზე მაღალი ღირებულება უნდა იყოს ჯგუფი.

1. ზუსტი ანგარიშის ინფორმაცია

შმიდტმა თქვა, რომ AWS მუდმივად აცნობებს მომხმარებლებს, როდესაც შეამჩნევს უსაფრთხოების პრობლემებს, მაგალითად, თუ ისინი თავს დაესხნენ ვინმეს გარედან ან თუ სადმე არასწორი კონფიგურაციაა.

ამის გასაკეთებლად, შმიდტმა თქვა, რომ AWS-ს უნდა შეეძლოს მათი ხელში ჩაგდება.

”ახლა მომხმარებელს, რომელსაც აქვს ჩვენთან საწარმოს კონტრაქტი, აქვს ძალიან კარგი მხარდაჭერის კონტაქტები, მათ აქვთ განსაზღვრული პიროვნება ან პირები, მათი საოპერაციო ცენტრები, ტელეფონის ნომრები, ელ. ფოსტის მისამართები და ა.შ., მაგრამ ბევრმა კლიენტმა შეიძლება მუდმივად არ უყუროს მათ ელფოსტას, ელ.ფოსტის მისამართს, რომელსაც ისინი იყენებენ ანგარიშის დასაყენებლად, შეიძლება ვინმემ არ აკონტროლოს. ” განაცხადა.

"ეს ტრივიალურად ჟღერს, მაგრამ რეალურად კრიტიკულად მნიშვნელოვანია ჩვენი უნარი ვუთხრათ მათ: "ჰეი, რაღაც ხდება, თქვენ უნდა მიაქციოთ ყურადღება და გაიღვიძოთ".

2. გამოიყენეთ MFA

მრავალფაქტორიანი ავთენტიფიკაციის (MFA) გამოყენება გადამწყვეტია ანგარიშების მთლიანობისთვის, თქვა შმიდტმა.

„იქნება ეს თქვენი სოციალური მედიის ანგარიში, თუ AWS ანგარიში, ახლა ნამდვილად არ არსებობს საბაბი, რომ არ გამოიყენოთ მრავალფაქტორიანი ავტორიზაცია, მარტივია, უმტკივნეულოა, ხშირ შემთხვევაში, თქვენ შეგიძლიათ მიიღოთ ეს ტექსტური შეტყობინების სახით თქვენს მოწყობილობაზე. ” განაცხადა.

”რა თქმა უნდა, არსებობს უსაფრთხოების გრადიენტები სხვადასხვა სახის მრავალფაქტორიანი ტექსტური შეტყობინებებით, ზოგიერთი არასასიამოვნო, მაგრამ შეგიძლიათ გამოიყენეთ რეალური, რთული მრავალფაქტორიანი თუ გინდათ, მათ შორის ჟეტონები, როგორიცაა FIDO გასაღები, რომელიც ლეპტოპიდან მაქვს ამოღებული. ახლა."

მან ხაზგასმით აღნიშნა, რომ საგარეო საქმეთა სამინისტრო ხელს უშლის მოწინააღმდეგე შეტევების მთელ კლასს.

3. არ არის მყარი კოდირების საიდუმლოებები

”მომხმარებლებმა არასოდეს უნდა დააკოპირონ მომხმარებლის სახელები, პაროლები ან გასაღებები თავიანთ პროგრამულ უზრუნველყოფაში,” - თქვა მან.

"რამდენჯერ გვინახავს ისტორიები იმ ადამიანების შესახებ, რომელთა წვდომის გასაღებები გამოქვეყნდა GitHub-ზე, აიღო მოწინააღმდეგემ და შემდეგ მოწინააღმდეგემ. გამოიყენეს თავიანთი რესურსები ბიტკოინის მოსაპოვებლად - რაც ყველაზე დიდია - ან მოიპარეს მათი მონაცემები, რადგან მათი გასაღებები იყო GitHub-ში ან სხვა ადგილმდებარეობა."

შმიდტის თქმით, არსებობს უამრავი სერვისი, რომელიც ეხმარება ორგანიზაციებს უსაფრთხოდ შექმნან პროგრამული უზრუნველყოფა მასში გასაღებების გარეშე.

4. შეზღუდეთ უსაფრთხოების ჯგუფები

”ეს არის ერთ-ერთი იმ რამ, რაც ნამდვილად მოსაწყენია”, - თქვა მან. "ბევრი თვალსაზრისით, ეს ეხება firewall-ის წესებს."

AWS re: გამოგონება

  • ახალი AWS სერვისი, რომ გახდეთ DevOps Guru
  • აღმასრულებელი დირექტორი ჯასი უპასუხებს ზრდის ტემპებს vs. კონკურენტები
  • AWS თვალს ადევნებს მონაცემთა ბაზის მეტ დატვირთვას
  • QuickSight Q გადახედვისას მიზნად ისახავს BI ბაზარს
  • რას ნიშნავს Mac EC2 ინსტანციები Apple-ისთვის, დეველოპერებისთვის
  • ჯასი საუბრობს AWS Outposts-ზე, ტალღის სიგრძეზე
  • Amazon აძლიერებს საკონტაქტო ცენტრის სერვისებს
  • ახალი გამოთვლითი შემთხვევები მოიცავს compute-heavy C6gn
  • Trainium გამოდის მანქანური სწავლის მოდელებისთვის
  • გადახედვა: პროტონის კონტეინერის მართვის სერვისი

მიუთითა AWS EC2-ზე, შმიდტმა თქვა, რომ ყველა EC2 ვირტუალურ მანქანას მოყვება ირგვლივ შეფუთული firewall, რომელიც ნაგულისხმევად დახურულია.

”ზოგჯერ კლიენტების დეველოპერები ეზარებათ და ხსნიან ამ ფაირვოლებს უფრო ფართოდ, ვიდრე უნდა. და როგორც ბიზნესის ნორმალური ტიპის ოპერაციების ციკლის ნაწილი, თქვენ მუდმივად უნდა აკონტროლოთ იხილეთ "აუცილებელია ეს ასე იყოს?" ან შეიძლება დაქვეითებული იყოს ჩემი რესურსების გაზრდის მიზნით უსაფრთხო?"

5. მიზანმიმართული მონაცემთა პოლიტიკა

შმიდტმა ხაზი გაუსვა სიტყვას განზრახ.

”თქვენ ალბათ გსმენიათ მონაცემთა შენახვის მრავალი პოლიტიკის შესახებ… სადაც ისინი ამბობენ, რომ არ უნდა შეინახოთ PII სახიფათო, ან გჭირდებათ იყოთ უსაფრთხოდ, როდესაც PII-ს ინახავთ, ან არასოდეს არ უნდა შეინახოთ PII თქვენს ლეპტოპზე - ეს ყველაფერი უარყოფითი განცხადებებია. ” განაცხადა.

„ისინი ხალხს ეუბნებიან, რომ რაღაც არ გააკეთონ.

„დეველოპერები არ არიან არსებითად ბოროტები, მათ არ უნდათ რაიმე არასწორად გააკეთონ, მათ სურთ გააკეთონ სწორი საქმე“.

თუმცა, შმიდტმა თქვა, რომ ინდუსტრია არ ეუბნება მათ, როგორ გააკეთონ სწორი საქმე.

მან განმარტა, რომ მონაცემთა მიზანმიმართული პოლიტიკა, სანაცვლოდ, იტყოდა: „თუ გსურთ PII-ის შენახვა, განათავსეთ იგი აქ ამ დაშიფვრის, წვდომის კონტროლის და ამ სახის მონიტორინგის გამოყენებით“.

შმიდტმა თქვა, რომ ეს უნდა გადაეშალა Amazon-ში, სანამ ის შეუერთდებოდა, როგორც AWS-ის უსაფრთხოებას.

„ჩვენი დაცვის ორგანიზაცია ისეთივე იყო, როგორც ბევრი, ბევრი კომპანიის დაცვის ორგანიზაცია; ეს იყო ბევრი „არ გააკეთო“ ასეთი წესი“, - თქვა მან. „ჩვენ მივხვდით, რომ როდესაც ხალხს ვუთხარით, როგორ გაეკეთებინათ საქმეები უსაფრთხოდ და უსაფრთხოდ, მივიღეთ სრულიად განსხვავებული შედეგი. ეს იყო სასწაული იმ ცვლილებაში, რაც მოხდა ორგანიზაციაში. ”

6. მორების ცენტრალიზება

”ყველამ იცის, რომ ჟურნალები არის სუპერ, ძალიან მნიშვნელოვანი”, - თქვა მან.

„აქ ხუმრობა ისაა, რომ ჯერ არავის მოუძებნია გზა ნაგვის ურნაში გაგზავნილი მორების ხელახლა შესაქმნელად. თუ ჩვენ შეგვიძლია ამის გაკეთება, ეს არის გასაოცარი სერვისი, ჩვენ ალბათ უნდა გამოვაქვეყნოთ იგი. ”

შმიდტმა თქვა, რომ სინამდვილეში, ჟურნალების შენახვის ხერხის გარეშე, ორგანიზაციები ვერ შეძლებენ გაიგონ რა მოხდა მოვლენის შემდეგ.

”არ არსებობს გამართლება იმისა, რომ ახლა არ ვინახავთ ჟურნალებს,” - თქვა მან. "იმიტომ, რომ თქვენ უბრალოდ ვერ გაიგებთ რა მოხდა, თუ მორები არ გაქვთ."

7. დაადასტურეთ IAM როლები

„იდენტიფიკაცია და წვდომის მენეჯმენტი არის გზა იმის გასაგებად, თუ რომელი ადამიანი რომელ მოქმედებას მართავს ჩვენს ინფრასტრუქტურაზე“, - განმარტა მან.

შმიდტმა თქვა, რომ თუ დეველოპერს აქვს მონაცემთა გარკვეული ნაკრების გასაღებები, რადგან ისინი რაღაცას აშენებდნენ, ერთხელაც პროგრამული უზრუნველყოფა გაიგზავნება, უნდა დაისვას კითხვა, სჭირდებათ თუ არა მათ ეს გასაღებები, ან საჭიროა თუ არა წვდომა გაუქმდა.

”ბევრი ადამიანი ნელ-ნელა აგრძელებს ინფორმაციის ხელმისაწვდომობის გაზრდას ისე, რომ შეგნებულად არ თქვას, არის თუ არა წერტილი, სადაც ჩვენ კვლავ უნდა შევამციროთ ეს ინფორმაცია”, - განაგრძო მან.

„ბევრი დრო გავატარე ადამიანების მონაცემებისგან თავის დაღწევაზე საუბარს, რადგან ადამიანები უშვებენ შეცდომებს, მათ აქვთ ცუდი დღეებია, ლეპტოპს იპარავენ, სისულელეებს აკეთებენ, რადგან გაგიჟებულები არიან -- აშორებენ ხალხს მონაცემები."

8. მიიღეთ ზომები GuardDuty-ის დასკვნებზე

მიუხედავად იმისა, რომ AWS GuardDuty არის სერვისი, რომელსაც გვთავაზობს ღრუბელი გიგანტი, შმიდტმა თქვა, რომ ხალხმა ყურადღება უნდა მიაქციოს მათ მიერ მიღებულ სიგნალიზაციას.

”საუკეთესო გზა, რომ ყურადღება მიაქციოთ სიგნალიზაციას, რომელიც თქვენ მიიღებთ, არის ავტომატიზაცია,” - თქვა მან.

„ეს არის ერთ-ერთი იმ სფეროდან, რომელიც უაღრესად ემორჩილება ავტომატიზაციას. სიგნალიზაცია ირთვება, არის რაღაცეების ნაკრები, რომელიც უნდა მომხდარიყო შემდეგში, დაწერეთ პროგრამული უზრუნველყოფა, გამოიყენეთ ხელსაწყოები, გამოიყენეთ პარტნიორის სერვისები… შემდეგ მიიღეთ ზომები თითოეულ ამ სიგნალიზაციაზე."

9. როტაცია გასაღებები

”უსაფრთხოების სერთიფიკატები გასაოცარია, ნივთების დაშიფვრა შესანიშნავია”, - თქვა შმიდტმა.

თუმცა, თუ ერთი და იგივე გასაღები წლების განმავლობაში გამოიყენება, შმიდტმა თქვა, რომ პრობლემის ზემოქმედების ფანჯარა ძალიან ფართოა.

„თუ თქვენ ესაუბრებით ადამიანებს, რომლებიც ღრმად არიან დაკავებულნი კრიპტოგრაფიაში, ისინი გეტყვიან, რომ კლავიშების რეგულარული ბრუნვა ნიშნავს, რომ თქვენ მკვეთრად ზღუდავთ აფეთქების რადიუსს ცალკეული გასაღების გაჟონვისთვის“, - თქვა მან.

10. ჩართულია განვითარების ციკლში

შმიდტს სურს დაინახოს უსაფრთხოების უფრო მეტი ადამიანი ჩართული განვითარების ციკლში.

”ვინც აძლიერებს უსაფრთხოებას პროგრამული უზრუნველყოფის განვითარების ციკლის ბოლოს, ითხოვს არეულობას, რადგან მათ მოუწევთ უკან დაბრუნდნენ და ხელახლა შეასრულონ სამუშაოები. აღმოაჩენენ პრობლემას, ან მათ მოუწევთ თქვან: "ბოდიში, ჩვენ უნდა გამოვგზავნოთ ეს, რადგან ეს უკვე დასრულებულია" და მათ ექნებათ უსაფრთხოების ხარვეზები გზაზე," მან განაცხადა.

"თუ თქვენ შეგიძლიათ შეხვიდეთ განვითარების ციკლში გზაზე, შეამოწმოთ რამ, რათა დარწმუნდეთ, რომ არაფერია საჭირო გამოსწორება, მოკლევადიან პერიოდში კორექტირება ბევრად უფრო ეფექტურია."

აშა ბარბაშოუ იმოგზაურა რე: Invent როგორც AWS-ის სტუმარი.

ᲘᲮᲘᲚᲔᲗ ᲐᲡᲔᲕᲔ

  • როგორ ახორციელებს Amazon Web Services უსაფრთხოებას გლობალური მასშტაბით
  • ორი ნაბიჯი უნდა გადადგათ თქვენი ქსელის ჰაკერებისგან დასაცავად
  • კიბერუსაფრთხოება 101: დაიცავით თქვენი კონფიდენციალურობა ჰაკერებისგან, ჯაშუშებისა და მთავრობისგან
  • კიბერუსაფრთხოება: რატომ უნდა დაიქირაოთ პერსონალი ფირმებიდან, რომლებიც გახდნენ ჰაკერების მსხვერპლი
  • კიბერუსაფრთხოების მომგებიანი სტრატეგია (ZDNet სპეციალური ანგარიში)
  • უფრო მეტი კომპანია იყენებს მრავალფაქტორიან ავთენტიფიკაციას, მაგრამ უსაფრთხოება ჯერ კიდევ სუსტია პაროლის ცუდი ჩვევებისგან (TechRepublic)