Ai cũng mắc sai lầm. Một câu nói đó đã được tôi đánh giá cao trong công việc đầu tiên của tôi trong lĩnh vực công nghệ, và nó đã đúng kể từ đó. Trong thế giới an ninh mạng, việc định cấu hình sai có thể tạo ra các vấn đề có thể khai thác được và có thể ám ảnh chúng ta sau này – vì vậy chúng ta hãy xem xét một số cấu hình sai bảo mật phổ biến.
Điều đầu tiên là quyền phát triển không bị thay đổi khi có nội dung nào đó hoạt động. Ví dụ: các nhóm AWS S3 thường được chỉ định quyền truy cập dễ dàng trong khi quá trình phát triển đang diễn ra. Các vấn đề phát sinh khi quá trình xem xét bảo mật không được thực hiện cẩn thận trước khi đưa mã vào hoạt động, bất kể lần đẩy đó là để khởi chạy nền tảng ban đầu hay để cập nhật.
Kết quả là thẳng về phía trước; một thùng hoạt động với khả năng cho bất kỳ ai đọc và ghi vào và từ đó. Cấu hình sai cụ thể này rất nguy hiểm; vì ứng dụng đang hoạt động và trang web đang tải cho người dùng, không có dấu hiệu rõ ràng nào cho thấy có điều gì đó không ổn cho đến khi một kẻ đe dọa đang săn lùng các nhóm mở tình cờ phát hiện ra nó.
Đánh giá bảo mật cẩn thận của tất cả các ứng dụng và trang web trước khi chúng được đưa vào môi trường trực tiếp – cả để khởi chạy ban đầu và cho các chu kỳ cập nhật – là rất quan trọng trong việc phát hiện loại cấu hình sai này. Mỗi nhóm cần được kiểm tra để đảm bảo rằng nó có các quyền ít khả thi nhất được đặt trên đó để cho phép nền tảng hoạt động và không có gì khác.
Về phía không phải đám mây, một trong những cấu hình sai phổ biến nhất là không thực thi Chính sách nhóm, chống phần mềm độc hại cũng như các quy tắc và cập nhật quản lý tập trung khác. Các máy tính xách tay hiếm khi kết nối trực tiếp với mạng công ty có thể mất nhiều tháng mà không nhận được những thay đổi quan trọng này, khiến chúng không bị ảnh hưởng khi bối cảnh bảo mật thay đổi.
Một ví dụ phổ biến là máy tính xách tay đã chuyển vùng trong một thời gian dài. Máy tính xách tay như vậy có thể không được phép nhận các bản cập nhật Chính sách Nhóm Active Directory khi nó không ở trên VPN hoặc kết nối bảo mật khác, điều này sẽ dẫn đến việc GPO của nó trở nên lỗi thời theo thời gian. Điều này có nghĩa là các hành động hoặc thao tác bị cấm có thể thực hiện được trên một máy tính xách tay như vậy, khiến mạng được bảo vệ bị lộ ra ngoài khi thiết bị đó cuối cùng kết nối theo cách mà nó một lần nữa có quyền truy cập vào các tài nguyên được bảo vệ.
Cách khắc phục là đảm bảo rằng các thiết bị có quyền truy cập vào tài nguyên của tổ chức phải chấp nhận các thay đổi về quản lý tổ chức. Các công cụ như AzureAD và các nền tảng chống phần mềm độc hại khử tập trung có thể cho phép các thiết bị từ xa nhận các bản cập nhật một cách an toàn. Kết nối HTTPS nói chung là đủ để các công cụ này đẩy các bản cập nhật và thực thi các thay đổi chính sách.
Sử dụng quản lý thiết bị phân tán đảm bảo rằng chúng được tuân thủ theo chính sách, ngay cả những thiết bị chỉ được sử dụng để truy cập các tài nguyên có sẵn trên đám mây, như Office365 và không kết nối trực tiếp với mạng được bảo vệ của tổ chức thường xuyên.
Nhiều công cụ như vậy – đặc biệt là những thứ như hệ thống chống phần mềm độc hại – thậm chí không yêu cầu thiết bị phải được quản lý bởi nền tảng Quản lý thiết bị di động. Điều này có nghĩa là ngay cả khi thiết bị không thuộc “sở hữu” của tổ chức, nó vẫn có thể được cập nhật và bảo vệ.
Trong khi chúng ta đang nói về chủ đề của những người làm việc từ xa, có một cấu hình sai khác xảy ra thường xuyên. Hệ thống VPN cho phép nhân viên từ xa truy cập dữ liệu của công ty một cách an toàn, nhưng một số lượng lớn các máy khách VPN mặc định có cấu hình không an toàn. Cấu hình VPN đường hầm phân chia định tuyến lưu lượng người dùng qua mạng an toàn chỉ khi các hệ thống được bảo vệ đang được truy cập nhưng gửi tất cả các lưu lượng khác trực tiếp đến Internet.
Điều này có nghĩa là khi người dùng cố gắng truy cập máy chủ tệp, họ sẽ làm như vậy qua VPN, nhưng một cuộc gọi đến Salesforce sẽ đi qua Internet không được bảo vệ. Mặc dù điều này có lợi cho hiệu suất, nhưng vấn đề mà nó tạo ra là thiết bị của người dùng có thể tạo cầu nối giữa thế giới bên ngoài và mạng nội bộ. Với một chút kỹ thuật xã hội, tác nhân đe dọa có thể tạo kết nối liên tục đến thiết bị của người dùng và sau đó tận dụng đường hầm VPN của người dùng đó để đột nhập vào mạng được bảo vệ.
Phần lớn các máy khách VPN hỗ trợ cấu hình đường hầm đơn. Điều này có nghĩa là trong khi VPN đang hoạt động, tất cả lưu lượng sẽ được định tuyến qua các mạng tổ chức – bao gồm cả lưu lượng dành cho các nguồn bên ngoài. Điều đó cũng có nghĩa là tất cả lưu lượng truy cập cũng sẽ chịu sự kiểm soát tương tự như lưu lượng truy cập bắt nguồn từ những người dùng kết nối trực tiếp với mạng được bảo vệ.
Mặc dù việc định cấu hình sai có thể rất dễ xảy ra, nhưng chúng gây ra mối đe dọa rõ ràng cho an ninh của tổ chức. Dành thời gian để xem xét bảo mật khi các công cụ được đưa vào hoạt động hoặc cập nhật có thể bắt gặp các cấu hình sai như vậy.
Ngoài ra, các công ty có thể triển khai các công cụ xác thực bảo mật liên tục, liên tục thách thức và đánh lừa môi trường kỹ thuật số giống như cách mà tác nhân đe dọa làm để phát hiện ra các cấu hình sai nhanh chóng.
Việc kết hợp hai phương pháp đánh giá và xác nhận bảo mật liên tục này làm tăng thêm một số phức tạp cho các dự án nhưng đáng giá từng phút để đảm bảo rằng mọi thứ được định cấu hình đầy đủ ở mọi bước của quá trình.
Để biết thêm thông tin, hãy truy cập www.cymulate.com và đăng ký một Dùng thử miễn phí.
