10 dalykų, į kuriuos saugos komandos turėtų sutelkti dėmesį pagal AWS CISO

  • Sep 05, 2023

„Amazon Web Services“ (AWS) vyriausiasis informacijos saugos pareigūnas ir saugumo inžinerijos prezidentas Stephenas Schmidtas apibūdino 10 dalykų, kurie, jo nuomone, turėtų būti vertingiausi kiekvienam saugumui grupė.

1. Tiksli sąskaitos informacija

Schmidtas teigė, kad AWS nuolat praneša klientams, kai pastebi saugumo problemas, pavyzdžiui, jei juos užpuola kažkas iš išorės arba kai kur yra netinkama konfigūracija.

Kad tai padarytų, Schmidtas sakė, kad AWS turi sugebėti juos sulaikyti.

„Dabar klientas, sudaręs su mumis įmonės sutartį, turi labai gerus palaikymo kontaktus, turi apibrėžtą asmenį ar asmenis, jų veiklos centrus, telefono numerius, pašto adresus ir pan., tačiau daugelis klientų gali nežiūrėti savo el. pašto adreso visą laiką, el. pašto adreso, kurį jie naudoja paskyrai sukurti, gali niekas nestebėti“, – sakė jis. sakė.

„Tai skamba trivialiai, bet iš tikrųjų tai labai svarbu, kad galėtume jiems pasakyti: „Ei, kažkas vyksta, reikia atkreipti dėmesį ir pabusti“.

2. Naudokite MFA

Schmidtas sakė, kad kelių veiksnių autentifikavimo (MFA) naudojimas yra labai svarbus paskyrų vientisumui.

„Ar tai būtų jūsų socialinės žiniasklaidos paskyra, ar AWS paskyra, šiuo metu tikrai nėra jokio pasiteisinimo nenaudoti kelių veiksnių autentifikavimas, tai paprasta, neskausminga, daugeliu atvejų tai galite gauti kaip tekstinę žinutę savo įrenginyje“, – sakė jis. sakė.

„Žinoma, yra saugos gradientų su įvairiais daugiafaktoriais tekstiniais pranešimais, kai kurie nėra nuostabūs, bet jūs galite jei norite, naudokite tikrą, sudėtingą kelių faktorių, įskaitant žetonus, pvz., FIDO raktą, kurį turiu iš savo nešiojamojo kompiuterio. dabar“.

Jis pabrėžė, kad MFA užkerta kelią ištisoms priešiškų išpuolių klasėms.

3. Jokių sunkiai koduojamų paslapčių

„Klientai niekada neturėtų koduoti naudotojų vardų, slaptažodžių ar raktų į savo programinę įrangą“, – sakė jis.

„Kiek kartų matėme istorijas apie žmones, kurių prieigos raktai buvo paskelbti „GitHub“, juos paėmė priešas, o tada tas priešas naudojo savo išteklius bitkoinams išgauti – tai yra didžiausias dalykas – arba pavogė jų duomenis, nes jų raktai buvo „GitHub“ ar kitur. vieta“.

Schmidtas teigė, kad yra daugybė paslaugų, kurios padeda organizacijoms saugiai kurti programinę įrangą, neįdedant į ją raktų.

4. Apriboti saugos grupes

„Tai vienas iš tų dalykų, kurie tikrai nuobodūs“, – sakė jis. „Daugeliu atžvilgių tai susiję su ugniasienės taisyklėmis.

AWS Re: Išradimas

  • Nauja AWS paslauga, kad taptumėte „DevOps Guru“.
  • Generalinis direktorius Jassy atsiliepia dėl augimo tempų palyginti su. varžovų
  • AWS mato daugiau duomenų bazės darbo krūvių
  • „QuickSight Q“ peržiūra skirta BI rinkai
  • Ką „Mac EC2“ egzemplioriai reiškia „Apple“, kūrėjams
  • Jassy kalba apie AWS Outposts, bangos ilgį
  • „Amazon“ sustiprina savo kontaktų centro paslaugas
  • Nauji skaičiavimo egzemplioriai apima daug skaičiavimo reikalaujantį C6gn
  • „Trainium“ pristatomas mašininio mokymosi modeliams
  • Peržiūra: protonų konteinerių valdymo paslauga

Nurodydamas AWS EC2, Schmidtas teigė, kad kiekvienoje EC2 virtualioje mašinoje yra užkarda, kuri yra užblokuota pagal numatytuosius nustatymus.

„Kartais klientų kūrėjai tingi ir tas užkardas atidaro plačiau, nei turėtų. O kaip įprasto verslo veiklos ciklo dalį turėtumėte nuolat tikrinti žiūrėkite „ar tai turi būti taip?“ ar galima jį sumažinti, kad būtų daugiau išteklių saugus?"

5. Tyčinė duomenų politika

Schmidtas pabrėžė žodį tyčia.

„Tikriausiai girdėjote apie daugybę duomenų saugojimo strategijų, kuriose sakoma, kad AII nesaugiai saugoti, arba jums reikia būti saugūs, kai saugote AII, arba niekada neturėtumėte saugoti AII savo nešiojamajame kompiuteryje – visa tai yra neigiami teiginiai. sakė.

„Jie liepia žmonėms kažko nedaryti.

„Kūrėjai iš prigimties nėra blogi, jie nenori daryti nieko blogo, jie nori daryti teisingą dalyką.

Tačiau Schmidtas teigė, kad pramonė nesako jiems, kaip elgtis teisingai.

Jis paaiškino, kad tyčinė duomenų politika būtų tokia: „Jei norite saugoti AII, pateikite ją čia naudodami šį šifravimą, tokią prieigos kontrolę ir tokį stebėjimą“.

Schmidtas teigė, kad tai turėjo būti pakeista „Amazon“, kad jis taptų asmeniu, atsakingu už AWS apsaugą.

„Mūsų apsaugos organizacija buvo kaip ir daugelis kitų įmonių apsaugos organizacijų; Tai buvo daug „nedaryk šito“ tipo taisyklių“, – sakė jis. „Pasakę žmonėms, kaip viską daryti saugiai ir patikimai, supratome, kad gavome visiškai kitokį rezultatą. Stebuklingi pokyčiai įvyko organizacijoje.

6. Centralizuoti žurnalus

„Visi žino, kad rąstai yra labai svarbūs“, – sakė jis.

„Čia juokaujama, kad niekas dar nesugalvojo, kaip atkurti rąstus, kurie buvo išsiųsti į šiukšliadėžę. Jei galime tai padaryti, tai yra nuostabi paslauga, tikriausiai turėtume ją įdiegti.

Schmidtas teigė, kad iš tikrųjų be būdo vesti žurnalus organizacijos negalės suprasti, kas atsitiko po įvykio.

„Nėra pateisinimo dabar nevesti žurnalų“, – sakė jis. „Kadangi jūs tiesiog negalite suprasti, kas atsitiko, jei neturite žurnalų.

7. Patvirtinkite IAM vaidmenis

„Tapatybės ir prieigos valdymas yra būdas suprasti, kuris asmuo kokius veiksmus atlieka mūsų infrastruktūroje“, – aiškino jis.

Schmidtas sakė, kad jei kūrėjas turėjo tam tikro duomenų rinkinio raktus, nes kažką kūrė, tai vieną kartą programinė įranga yra išsiųsta, reikia užduoti klausimą, ar jiems vis dar reikia tų raktų, ar turėtų būti prieiga atšauktas.

„Daugelis žmonių pamažu didina prieigą prie informacijos, sąmoningai nesakydami: „Ar yra taškas, kai turėtume vėl ją sumažinti“, – tęsė jis.

„Daug laiko praleidau kalbėdamas apie žmonių atitraukimą nuo duomenų, nes žmonės daro klaidų blogos dienos, jie pavagia nešiojamąjį kompiuterį, daro kvailystes, nes yra išprotėję – atitraukite žmones nuo duomenis“.

8. Imkitės veiksmų dėl „GuardDuty“ išvadų

Nors AWS GuardDuty yra debesų milžino siūloma paslauga, Schmidtas teigė, kad žmonės turi atkreipti dėmesį į gaunamus pavojaus signalus.

„Geriausias būdas atkreipti dėmesį į gaunamus pavojaus signalus yra automatika“, – sakė jis.

„Tai viena iš tų sričių, kuri puikiai tinka automatizuoti. Signalizacija suveikia, yra dalykų, kurie turėjo įvykti vėliau, parašykite programinę įrangą, naudokite įrankius, naudokitės partnerio paslaugomis... tada imkitės veiksmų dėl kiekvieno iš tų pavojaus signalų.

9. Pasukite klavišus

„Saugumo kredencialai yra nuostabūs, šifruoti dalykus yra puiku“, - sakė Schmidtas.

Tačiau jei tas pats raktas naudojamas daugelį metų, Schmidtas teigė, kad problemos poveikio langas yra labai platus.

„Jei kalbate su žmonėmis, kurie yra giliai į kriptografiją, jie jums pasakys, kad reguliarus raktų sukimas reiškia, kad jūs labai apribojate atskiro rakto nutekėjimo sprogimo spindulį“, - sakė jis.

10. Dalyvavimas vystymosi cikle

Schmidtas nori, kad kūrimo cikle dalyvautų daugiau saugumo žmonių.

„Kiekvienas, kuris programinės įrangos kūrimo ciklo pabaigoje įjungia apsaugą, prašo netvarkos, nes jiems arba teks grįžti ir iš naujo atlikti daugybę darbų. aptiks problemą arba jie turės pasakyti: „Atsiprašau, mes turime tai išsiųsti, nes tai jau padaryta“, ir jie turės saugumo spragų“, – sakė jis. sakė.

„Jei galite pereiti į kūrimo ciklą, tikrindami dalykus, kad įsitikintumėte, jog nieko nereikia taisyti, koregavimas per trumpą laiką yra daug veiksmingesnis.

Asha Barbaschow keliavo į Re: Invent kaip AWS svečias.

TAIP PAT ŽR

  • Kaip „Amazon Web Services“ užtikrina saugumą pasauliniu mastu
  • Du veiksmai, kurių turėtumėte imtis norėdami apsaugoti tinklą nuo įsilaužėlių
  • Kibernetinis saugumas 101: apsaugokite savo privatumą nuo įsilaužėlių, šnipų ir vyriausybės
  • Kibernetinis saugumas: kodėl turėtumėte samdyti darbuotojus iš įmonių, kurios tapo įsilaužėlių aukomis
  • Laimėjusi kibernetinio saugumo strategija (ZDNet specialioji ataskaita)
  • Daugiau įmonių naudoja kelių veiksnių autentifikavimą, tačiau saugumas vis dar silpnas dėl prastų slaptažodžių įpročių (TechRespublika)