Uwaga na Fałszywe Chmury

Niedawno przeprowadziliśmy dyskusję z klientem na temat bezpieczeństwa cyberprzestrzeniowego ich dostawcy fałszywej chmury w celu kontroli dostępu. Sprzedano im zestaw towarów za system kontroli dostępu, który miał być oparty na chmurze. Okazało się, że w rzeczywistości wcale nie był oparty na chmurze. To było po prostu tradycyjne oprogramowanie, które firma działała na zdalnym serwerze i nazywało to rozwiązaniem w chmurze.

Prawdziwe rozwiązanie w chmurze to multi-najemca, skala na żądanie i jest zapłatą za to, czego używasz. Istnieje definicja NIST prawdziwej chmury obliczeniowej, która została powszechnie przyjęta i określa pięć podstawowych właściwości chmury obliczeniowej. Fałszywe chmury nie mają żadnego z nich.

Poprosiliśmy naszego klienta o adres IP swojego „serwera” dostępu do chmury i przeprowadziliśmy bezpłatne, szybkie skanowanie jego bezpieczeństwa. Został natychmiast sklasyfikowany jako „F” dla bezpieczeństwa. Prawdopodobnie każdy haker mógłby dostać się bez problemów. To jest tak samo niezabezpieczone, jak tylko możesz. Równie dobrze możesz zostawić frontowe drzwi nie tylko odblokowane, ale otworzyć je dla włamywaczy.

Z drugiej strony przeprowadziliśmy podobny skan systemu kontroli dostępu Brivo OnAir. Ich raport znajduje się poniżej. Jak widać, jest ciasny i bezpieczny. Jest zarządzany przez profesjonalistów i jest prawdziwym systemem chmury.

Obecnie problemem w branży bezpieczeństwa fizycznego są fałszywe roszczenia w reklamach. Oto kilka cytatów z fałszywego arkusza danych Cloud:

• Certyfikat szyfrowania SSL 2048 bitów
• Sprzętowe szyfrowanie TLS 1.2 (Transport Layer Security)
• 99,999% czasu działania
• Rozproszona architektura serwerów dla bezpieczeństwa i wydajności
• Szyfrowanie TLS ze sprzętem terenowym
• Uwierzytelnianie dwuetapowe
• Wewnętrzna redundancja
• Alarmy w czasie rzeczywistym – zerowe opóźnienie
• Testowanie podatności – łączy sprawdzone, ciągłe monitorowanie zagrożeń i skanowanie słabych punktów za pośrednictwem Veracode i Amazon Web Services

To wszystko brzmi naprawdę dobrze, ale większość z nich nie jest prawdziwa, a niektóre z nich są nieistotne. Oto fakty:

• • Nie wykonują ciągłego testowania słabych stron trzecich. Nasze pojedyncze skanowanie amatorskie wykazało 10 różnych usterek, które nie zostały usunięte. A może skanują, po prostu nic nie robią!
  • Nie możesz mieć ZERO LATENCY – chyba że zorientowałeś się, jak jechać szybciej niż prędkość światła.
  • Raport pokazuje, że nie używają TLS 1.2, a zamiast tego działają starsza wersja.
  • Nie otrzymasz czasu antenowego na poziomie 99,999%, ponieważ działają one w Amazon Web Services (AWS), a Amazon nie gwarantuje niczego bliskiego – i umieszczenie wielu serwerów w Amazon też tego nie osiągnie, ponieważ cały Amazon może mieć kłopoty.
  • „Redundancja nieodłączna?” Nadmiarowość nigdy nie jest nieodłączna – trzeba ją zbudować.

  Morał Historii: Miej się na baczności. W świecie bezpieczeństwa fizycznego pojawiają się szarlatani sprzedający rozwiązania „chmurowe” i „SAAS”, których celem jest nieświadomość. Możesz się spalić.

Kilka porad:

• • 1. Uzyskaj profesjonalną osobę z branży IT, która udzieli Ci porady podczas podejmowania decyzji.
    2. Nie ufaj wszystkiemu, co nowy dostawca umieszcza w arkuszu danych.
    3. Sprawdź reputację osób prowadzących firmę.
    4. Sprawdź referencje.
    5. Upewnij się, że jest to PRAWDZIWE rozwiązanie w CHMURZE z prawdziwym bezpieczeństwem cybernetycznym.