Điện toán đám mây tiếp tục thay đổi cách các tổ chức sử dụng, lưu trữ và chia sẻ dữ liệu, ứng dụng và khối lượng công việc, đồng thời cũng xuất hiện một loạt các mối đe dọa và thách thức bảo mật mới. Với rất nhiều dữ liệu đưa lên đám mây, đặc biệt là các dịch vụ đám mây công cộng thì những tài nguyên này đã trở thành mục tiêu hấp dẫn cho kẻ tấn công.
“Lượng sử dụng đám mây công cộng đang tăng lên nhanh chóng, do đó dẫn đến một lượng lớn nội dung nhạy cảm tiềm ẩn rủi ro về lộ lọt, thất thoát... Trái ngược với những gì nhiều người dùng nghĩ, trách nhiệm chính trong việc bảo vệ dữ liệu công ty trên đám mây không nằm ở nhà cung cấp dịch vụ điện toán đám mây mà là khách hàng sử dụng điện toán đám mây”, Jay Heiser, Phó Chủ tịch và Lãnh đạo bảo mật đám mây tại Gartner, Inc chia sẻ.
Nhằm cung cấp cho các tổ chức kiến thức về các mối lo ngại về bảo mật đám mây để họ có thể đưa ra các quyết định có hiểu biết về chiến lược áp dụng đám mây, Liên minh bảo mật đám mây (Cloud Security Alliance - CSA) đã xuất bản báo cáo mới nhất về “Các mối đe dọa hàng đầu đối với Điện toán đám mây: Egrerious Eleven”.
Báo cáo phản ánh sự đồng thuận giữa các chuyên gia bảo mật trong cộng đồng CSA về các vấn đề bảo mật quan trọng nhất trên đám mây. CSA cho biết, trong khi có nhiều lo ngại về bảo mật trong đám mây, danh sách này tập trung vào 11 mối đe doạ liên quan cụ thể đến tính chất chia sẻ, tính chất theo yêu cầu của điện toán đám mây.
1. Vi phạm dữ liệu
Mối đe dọa vi phạm dữ liệu vẫn giữ thứ hạng số một trong cuộc khảo sát. Điều này là dễ hiểu vì mối đe doạ này có thể gây ra thiệt hại lớn về danh tiếng và tài chính. Chúng có thể dẫn đến mất quyền sở hữu trí tuệ (Intellectual Property - IP) và các trách nhiệm pháp lý.
Những điểm chính của CSA liên quan đến mối đe dọa vi phạm dữ liệu bao gồm:
- Những kẻ tấn công muốn có dữ liệu, vì vậy các doanh nghiệp cần xác định giá trị của dữ liệu và tác động của việc mất dữ liệu.
- Ai có quyền truy cập vào dữ liệu là một câu hỏi quan trọng cần giải quyết để bảo vệ dữ liệu.
- Dữ liệu có thể truy cập Internet dễ ảnh hưởng do cấu hình sai hoặc bị tấn công nhất.
- Mã hóa có thể bảo vệ dữ liệu, nhưng phải đánh đổi hiệu suất và trải nghiệm người dùng.
- Các doanh nghiệp cần có các kế hoạch ứng phó sự cố và đã được kiểm chứng, bao gồm liên quan đến các nhà cung cấp dịch vụ đám mây.
2. Cấu hình sai và không kiểm soát thay đổi đầy đủ
Đây là một mối đe dọa mới trong danh sách của CSA và không có gì đáng ngạc nhiên khi có nhiều ví dụ về các doanh nghiệp vô tình để lộ dữ liệu qua đám mây. Ví dụ: CSA trích dẫn sự cố Exactis, trong đó nhà cung cấp để cơ sở dữ liệu Elasticsearch chứa dữ liệu cá nhân của 230 triệu người tiêu dùng Hoa Kỳ có thể truy cập công khai do định cấu hình sai.
Theo CSA, các công ty không chỉ phải lo lắng về việc mất dữ liệu mà còn phải quan tâm về việc xóa hoặc sửa đổi các tài nguyên được thực hiện với mục đích làm gián đoạn hoạt động kinh doanh. Báo cáo cho rằng lỗi thuộc về các biện pháp kiểm soát thay đổi kém đối với hầu hết các lỗi cấu hình sai.
Những điểm mấu chốt của CSA liên quan đến việc định cấu hình sai và không kiểm soát thay đổi đầy đủ bao gồm: Sự phức tạp của các tài nguyên dựa trên đám mây khiến việc cấu hình rất khó; Các biện pháp kiểm soát và quản lý thay đổi truyền thống khó có hiệu quả trên đám mây; Sử dụng các công cụ tự động hoá để quét liên tục để tìm các tài nguyên được định cấu hình sai.
3. Thiếu chiến lược và kiến trúc bảo mật đám mây
Có một thực tế là các doanh nghiệp mong muốn giảm thiểu thời gian cần thiết để di chuyển hệ thống và dữ liệu lên đám mây thường được ưu tiên hơn vấn đề bảo mật. Kết quả là, công ty bắt đầu hoạt động trên đám mây bằng cách sử dụng cơ sở hạ tầng và chiến lược bảo mật không được thiết kế cho nó. Đây là một vấn đề lớn.
Những điểm mấu chốt của CSA liên quan đến việc thiếu kiến trúc và chiến lược bảo mật đám mây bao gồm: Kiến trúc bảo mật cần phải phù hợp với các mục đích và mục tiêu kinh doanh; Phát triển và triển khai một khung kiến trúc bảo mật; Luôn cập nhật các mô hình về mối đe dọa; Triển khai công cụ giám sát liên tục.
4. Quản lý danh tính, thông tin xác thực, quyền truy cập và quản lý khóa kém
Một mối đe dọa mới trong danh sách của CSA là quản lý và kiểm soát truy cập kém về dữ liệu, hệ thống và tài nguyên vật lý như phòng máy chủ và tòa nhà. Báo cáo lưu ý rằng đám mây yêu cầu các tổ chức thay đổi các thông lệ liên quan đến quản lý danh tính và truy cập (IAM). Theo báo cáo, hậu quả của việc không làm như vậy có thể dẫn đến các sự cố và vi phạm an ninh do: Thông tin đăng nhập không được bảo vệ cẩn mật; Không thay đổi các khóa mật mã, mật khẩu và chứng chỉ định kỳ; Thiếu khả năng mở rộng; Không sử dụng xác thực đa yếu tố; Không sử dụng mật khẩu mạnh.
Những điểm mấu chốt của CSA liên quan đến việc không đủ danh tính, thông tin xác thực, quyền truy cập và quản lý khóa bao gồm:
- Bảo mật tài khoản, bao gồm cả việc sử dụng xác thực hai yếu tố.
- Sử dụng các biện pháp kiểm soát danh tính và truy cập nghiêm ngặt cho người dùng đám mây, đặc biệt, hạn chế việc sử dụng tài khoản gốc.
- Tách biệt và phân đoạn tài khoản, đám mây riêng ảo và nhóm xác thực dựa trên nhu cầu kinh doanh và nguyên tắc đặc quyền tối thiểu.
- Thực hiện lưu trữ thông tin khoá, mật khẩu… tập trung và có thể thay đổi định kỳ.
- Xóa thông tin đăng nhập và đặc quyền truy cập không sử dụng.
5. Chiếm đoạt tài khoản
Chiếm đoạt tài khoản vẫn là một mối đe dọa với đám mây. Khi các nỗ lực lừa đảo ngày càng tinh vi, hiệu quả hơn và có mục tiêu cụ thể, nguy cơ kẻ tấn công giành được quyền truy cập vào các tài khoản có đặc quyền cao là rất lớn. Lừa đảo không phải là cách duy nhất mà kẻ tấn công có thể lấy được thông tin đăng nhập. Họ cũng có thể có được chúng bằng cách xâm nhập vào chính dịch vụ đám mây để đánh cắp chúng thông qua các phương tiện khác.
Một khi kẻ tấn công có thể xâm nhập vào hệ thống bằng tài khoản hợp pháp, chúng có thể gây ra rất nhiều gián đoạn, bao gồm đánh cắp hoặc phá hủy dữ liệu quan trọng, ngừng cung cấp dịch vụ hoặc gian lận tài chính. CSA khuyến nghị giáo dục người dùng về các mối nguy hiểm và các dấu hiệu của việc chiếm đoạt tài khoản để giảm thiểu rủi ro.
Những điểm chính của CSA liên quan đến việc chiếm đoạt tài khoản bao gồm: Đừng chỉ đặt lại mật khẩu khi thông tin đăng nhập tài khoản bị đánh cắp. Phải giải quyết các nguyên nhân gốc rễ; Cách tiếp cận chuyên sâu về phòng thủ và kiểm soát IAM mạnh mẽ là cách phòng thủ tốt nhất.
6. Mối đe dọa từ nội bộ
Các mối đe dọa từ những người nội bộ đáng tin cậy cũng là một vấn đề nghiêm trọng trên đám mây, cũng như đối với các hệ thống tại chỗ. Người nội bộ có thể là nhân viên hiện tại hoặc cũ, nhà thầu hoặc đối tác kinh doanh đáng tin cậy, bất kỳ ai không phải vượt qua hàng rào phòng thủ của công ty để truy cập vào hệ thống của công ty.
Người trong nội bộ không cần phải có ác ý để gây thiệt hại. Họ có thể vô tình khiến dữ liệu và hệ thống gặp rủi ro. CSA trích dẫn nghiên cứu Chi phí cho các mối đe dọa nội gián năm 2018 của Viện Ponemon, trong đó nói rằng 64% tất cả các sự cố nội gián được báo cáo là do sơ suất của nhân viên hoặc nhà thầu. Sơ suất đó có thể bao gồm các máy chủ đám mây bị cấu hình sai, lưu trữ dữ liệu nhạy cảm trên thiết bị cá nhân hoặc trở thành nạn nhân của email lừa đảo.
Các điểm rút ra chính của CSA liên quan đến các mối đe dọa từ nội gián bao gồm:
- Tiến hành đào tạo và giáo dục nhân viên về các phương pháp thích hợp để bảo vệ dữ liệu và hệ thống, làm cho giáo dục trở thành một quá trình liên tục.
- Thường xuyên kiểm tra và sửa chữa các máy chủ đám mây bị cấu hình sai.
- Hạn chế quyền truy cập vào các hệ thống quan trọng.
7. Các giao diện và API không an toàn
Giảm xuống vị trí thứ bảy từ vị trí thứ ba vào năm 2018 theo OWASP, các giao diện và API không an toàn là một phương thức tấn công phổ biến. Vào năm 2018, Facebook đã trải qua một vụ vi phạm ảnh hưởng đến hơn 50 triệu tài khoản do lỗ hổng được giới thiệu trong tính năng View As của họ. Đặc biệt khi được liên kết với giao diện người dùng, các lỗ hổng API có thể cung cấp cho những kẻ tấn công một con đường để đánh cắp thông tin đăng nhập của người dùng hoặc nhân viên.
Báo cáo của CSA cho biết các tổ chức cần hiểu rằng API và giao diện người dùng là những phần tiếp xúc nhiều nhất của hệ thống và họ khuyến khích viêc bảo mật cho các thành phần này nên thực hiện từ thiết kế khi xây dựng chúng.
Các điểm rút ra chính của CSA liên quan đến các giao diện và API không an toàn bao gồm:
- Nghiêm ngặt thực hiện các hạng mục như kiểm kê, thử nghiệm, kiểm toán và bảo vệ hoạt động bất thường.
- Bảo vệ các khóa để xác thực API và tránh sử dụng lại.
- Xem xét mã nguồn mở framework cho API như Giao diện điện toán đám mây mở (Open Cloud Computing Interface - OCCI) hoặc Giao diện quản lý cơ sở hạ tầng đám mây (Cloud Infrastructure Management Interface - CIMI).
8. Nền tảng điều khiển yếu
Một nền tảng điều khiển bao gồm các quá trình sao chép dữ liệu, di chuyển và lưu trữ. Nền tảng kiểm soát sẽ yếu nếu người phụ trách các quy trình này không có toàn quyền kiểm soát logic, bảo mật và xác minh của cơ sở hạ tầng dữ liệu, theo CSA. Các bên liên quan đến kiểm soát cần phải hiểu cấu hình bảo mật, cách dữ liệu lưu chuyển và các điểm yếu hoặc điểm mù của kiến trúc. Nếu không làm như vậy có thể dẫn đến rò rỉ dữ liệu, không có dữ liệu hoặc hỏng dữ liệu.
Những điểm chính của CSA liên quan đến nền tảng điều khiển yếu bao gồm: Đảm bảo rằng nhà cung cấp dịch vụ đám mây cung cấp các biện pháp kiểm soát bảo mật cần thiết để thực hiện các nghĩa vụ pháp lý và theo luật định; Thực hiện thẩm định để đảm bảo nhà cung cấp dịch vụ đám mây sở hữu một nền tảng điều khiển thích hợp.
9. Các lỗi cấu trúc cơ sở và cấu trúc thiết bị
Cấu trúc cơ sở hạ tầng của nhà cung cấp dịch vụ đám mây nắm giữ thông tin bảo mật về cách nó bảo vệ hệ thống của mình và nó cung cấp thông tin đó qua các lệnh gọi API. Các API giúp khách hàng phát hiện truy cập trái phép, nhưng cũng chứa thông tin nhạy cảm cao như nhật ký hoặc dữ liệu hệ thống kiểm tra.
Các API cũng là một điểm không an toàn tiềm ẩn có thể cung cấp cho những kẻ tấn công quyền truy cập vào dữ liệu hoặc khả năng làm gián đoạn các khách hàng trên đám mây. Việc triển khai API kém thường là nguyên nhân gây ra lỗ hổng. Mặt khác, khách hàng có thể không hiểu cách triển khai các ứng dụng đám mây đúng cách. Điều này đặc biệt đúng khi chúng kết nối các ứng dụng không được thiết kế cho môi trường đám mây.
Những điểm mấu chốt của CSA liên quan đến các lỗi cấu trúc cơ sở và cấu trúc thiết bị bao gồm:
- Đảm bảo rằng nhà cung cấp dịch vụ đám mây cung cấp khả năng hiển thị và chỉ ra các biện pháp giảm nhẹ các lỗi.
- Triển khai các tính năng và điều khiển thích hợp trong các thiết kế gốc đám mây.
- Đảm bảo rằng nhà cung cấp dịch vụ đám mây tiến hành thử nghiệm thâm nhập và cung cấp các phát hiện cho khách hàng.
10. Khả năng sử dụng đám mây hạn chế
Một phàn nàn phổ biến giữa các chuyên gia bảo mật là môi trường đám mây khiến họ "mù" nhiều dữ liệu mà họ cần để phát hiện và ngăn chặn hoạt động độc hại. CSA chia thách thức về hạn chế này thành hai loại: Sử dụng ứng dụng chưa được cấp phép và sử dụng sai những ứng dụng được cấp phép.
Các ứng dụng của nhân viên sử dụng mà chưa được cấp phép hoặc hỗ trợ của IT và nhóm bảo mật là một nguy cơ tiềm ẩn về mất an toàn thông tin. Bất kỳ ứng dụng nào không đáp ứng các nguyên tắc của công ty về bảo mật đều có nguy cơ mà nhóm bảo mật có thể không biết.
Việc sử dụng sai ứng dụng được cấp phép có thể là người được ủy quyền sử dụng ứng dụng đã được phê duyệt hoặc tác nhân đe dọa bên ngoài sử dụng thông tin đăng nhập bị đánh cắp. Báo cáo của CSA cho biết, các nhóm bảo mật cần có khả năng phân biệt được sự khác nhau giữa người dùng hợp lệ và không hợp lệ bằng cách phát hiện các hành vi ngoài quy chuẩn.
Những điểm chính của CSA liên quan đến khả năng hiển thị sử dụng đám mây hạn chế bao gồm:
- Phát triển khả năng hiển thị trên cloud theo mô hình từ trên xuống liên quan đến con người, quy trình và công nghệ.
- Tiến hành đào tạo bắt buộc trong toàn công ty về các chính sách sử dụng đám mây được chấp nhận và việc thực thi.
- Yêu cầu kiến trúc sư bảo mật đám mây hoặc nhân viên quản lý rủi ro của bên thứ ba xem xét tất cả các dịch vụ đám mây không được phê duyệt.
- Đầu tư vào một nhà môi giới bảo mật truy cập đám mây (Cloud Access Security Broker - CASB) hoặc các cổng do phần mềm xác định (Software-defined Gateways - SDG) để phân tích các hoạt động bên ngoài.
- Đầu tư vào một tường lửa ứng dụng web để phân tích các kết nối đến.
- Triển khai mô hình không tin cậy trong toàn tổ chức.
11. Lạm dụng và sử dụng bất chính các dịch vụ đám mây
Những kẻ tấn công đang sử dụng các dịch vụ đám mây hợp pháp để hỗ trợ các hoạt động của chúng. Ví dụ, chúng có thể sử dụng dịch vụ đám mây để lưu trữ phần mềm độc hại ngụy trang trên các trang web như GitHub, khởi chạy các cuộc tấn công DDoS, phân phối email lừa đảo, khai thác tiền kỹ thuật số, thực hiện gian lận nhấp chuột tự động hoặc thực hiện một cuộc tấn công vét cạn để lấy cắp thông tin đăng nhập.
CSA nói rằng các nhà cung cấp dịch vụ đám mây nên có các biện pháp giảm thiểu để ngăn chặn và phát hiện các hành vi lạm dụng như gian lận công cụ thanh toán hoặc sử dụng sai các dịch vụ đám mây. Điều quan trọng đối với các nhà cung cấp dịch vụ đám mây là phải có sẵn một khuôn khổ ứng phó sự cố để ứng phó với việc sử dụng sai và cho phép khách hàng báo cáo việc sử dụng sai.
Các điểm rút ra chính của CSA liên quan đến việc lạm dụng và sử dụng sai các dịch vụ đám mây bao gồm:
- Theo dõi việc sử dụng đám mây của nhân viên để xem có hành vi lạm dụng hay không.
- Sử dụng các giải pháp ngăn chặn mất mát dữ liệu đám mây để theo dõi và ngăn chặn việc xâm nhập dữ liệu.