Угрозы безопасности в облаке
Главные угрозы безопасности в облаке: хищение данных, потери данных, взлом аккаунтов, бреши в интерфейсах и Application Programming Interface (API), DDos-атаки, действия инсайдеров, возможность проникновения хакеров, а также простои по вине провайдера.
2022
Названы тренды информационной безопасности в облаках в 2022 году
В 2022 году спрос на облачные ИБ-сервисы интенсивно растет на фоне резкого увеличения количества атак на российские информационные системы. Об этом 27 июня 2022 года сообщила компания Stack Group (Стек Групп, Стек Телеком). В зоне высокого риска не только государственная ИТ-инфраструктура, но и ресурсы промышленного, транспортного, финансового и энергетического кластеров. Евгений Горохов, сооснователь M1Cloud и управляющий директор Stack Group, рассказал о в трендах по защите информации в облачных средах в 2022 году.
Риски, с которыми может столкнуться бизнес, используя собственную физическую инфраструктуру, – это и невозможность обновить парк оборудования из-за разрыва цепочек поставок, и невозможность установить обновления программного обеспечения, и невозможность продлить лицензии, и отсутствие поддержки иностранных вендоров.
На фоне роста киберугроз на рынке сократился спектр ИБ-решений из-за ухода крупных вендоров, технологии которых стали не доступны для российских пользователей. Уход иностранных вендоров сопряжён с высокими рисками информационной защиты, потому что решения этих вендров были интегрированы в инфраструктуру и теперь требуют переосмысления всей архитектуры ИТ-ландшафта. Поэтому бизнес находится в поиске новых ИБ-продуктов, способных не только решить задачи по защите данных, но и обеспечить бесшовную интеграцию с имеющейся инфраструктурой.
Несмотря на образовавшиеся пробелы на рынке ИБ-технологий после ухода некоторых иностранных вендоров российский ИБ-рынок достаточно устойчив. Есть крупные российские игроки на рынке информационной безопасности, которые способны закрыть весь спектр потребностей бизнеса. Конечно, российским разработчикам, чтобы предоставить альтернативные ИБ-продукты, придется строить новую функциональность вокруг имеющихся инфраструктурных решений, либо адаптировать свои технологии, либо создавать полностью новые, требующие перестроения ИТ-конфигурации, но эти задачи вполне конкретны и решаемы в обозримой перспективе.
Бизнес зачастую выбирает облака, потому что большинство облачных проектов изначально реализуются с учетом обеспечения безопасности. Сервис-провайдеры непрерывно наращивают компетенции в области защиты информации, разрабатывают собственные сервисы и решения, максимально соответствующие потребностям заказчиков, а также отслеживают новинки от ведущих вендоров оборудования и ПО, интегрируя их в свои продукты.Метавселенная ВДНХ
По данным исследования ИКС Медиа и VK Cloud Solutions, большинство опрошенных компаний (81%) считают облачные технологии надежным решением для хранения данных бизнеса. Для многих компаний облака – это одно из доступных решений для защиты данных, так как облачные системы обеспечены защищенным контуром на всех уровнях: от дата-центра до защиты персональных данных и защиты от DDoS-атак. Поэтому бизнес увеличивает долю облачных мощностей в общем объеме гибридной инфраструктуры, вместе с этим всё больше компаний инвестируют в защищенные облака на фоне роста угроз, направленных на критические системы. По прогнозам экспертов Stack Group, по итогам года сегмент облачных ИБ-сервисов по защите данных вырастет на 30-40%.
Последние 2-3 года можно наблюдать усиление требований государства в области кибербезопасности, в том числе по защите персональных данных, государственных информационных систем и критической информационной инфраструктуры, также можно отметить укрепление независимости работы Интернета. Бизнес обязан соблюдать нормы регуляторов рынка для использования решений, применяемых в защищенном облаке на уровне серверов и виртуализации, в соответствии с требованиями эксплуатации и доступа к средствам хранения, обработки или передачи элементов критической инфраструктуры. Всё это гарантирует устойчивость бизнеса и непрерывность бизнес-процессов.
Итак, можно сказать, что российский рынок облачных ИБ-сервисов является зрелым и устойчивым, ИБ-технологии во многом обкатаны на тысячах уникальных кейсов, есть многолетний опыт их использования и поддержки. Облачные ИБ-сервисы имеют большой функционал для информационных систем бизнеса, а провайдеры готовы обеспечивать помощь с миграцией, интеграцией, администрированием и технической поддержкой на всех этапах эксплуатации защищенной инфраструктуры.
99% облачных ресурсов предоставляют чрезмерные разрешения
14 апреля 2022 года стало известно, что команда исследователей Palo Alto Unit 42 пришла к выводу, что облачные пользователи, роли, службы и ресурсы предоставляют чрезмерные разрешения, подвергая организации риску компрометации. По словам экспертов, неправильно настроенное управление идентификацией и доступом (IAM) открывает двери для злоумышленников, нацеленным на облачную инфраструктуру и учетные данные.
Исследователи Unit 42 проанализировали более 680 тыс. удостоверений в 18 тыс. облачных учетных записях и более чем 200 различных организациях с целью понять их конфигурации и модели использования. Как оказалось, 99% облачных пользователей, ролей, сервисов и ресурсов предоставили «чрезмерные разрешения», которые не использовались в течение 60 дней. Хакеры могут использовать такие разрешения для перемещения по сети жертвы и расширения радиуса атаки.
Неиспользуемых или избыточных разрешений во встроенных политиках безопасности контента (CSP) было в два раза больше, чем в политиках, созданных клиентами.
«Удаление этих разрешений может значительно снизить риск, которому подвергается каждый облачный ресурс, и свести к минимуму поверхность атаки для всей облачной среды», - отметили эксперты. |
Неправильные настройки, по утверждению компании, являются причиной 65% обнаруженных киберинцидентов в облаке, в то время как 53% проанализированных облачных учетных записей использовали ненадежный пароль, а 44% - повторно использовали пароли. Более того, почти две трети (62%) организаций имеют общедоступные облачные ресурсы.
Команда Unit 42 обнаружила и идентифицировала пять киберпреступных группировок, использующих необычные методы для непосредственного нападения на платформы облачных сервисов:
- TeamTNT - одна из достаточно опасных угроз с точки зрения методов подсчета облачных идентификаторов. Операции группировки включают перемещение внутри кластеров Kubernetes, создание ботнетов IRC и захват скомпрометированных ресурсов облачной рабочей нагрузки для майнинга криптовалюты Monero.
- WatchDog - использует специально созданные скрипты на языке Go, а также перепрофилированные скрипты криптоджекинга от других группировок (включая TeamTNT) и представляет собой угрозу, нацеленную на открытые облачные экземпляры и приложения.
- Kinsing - группировка, нацеленная на сбор облачных учетных данных, открытые API-интерфейсы Docker Daemon с использованием вредоносных процессов на основе GoLang в контейнерах Ubuntu.
- Rocke - специализируется на операциях с программами-вымогателями и криптоджекингом в облачных средах и известна тем, что использует вычислительную мощность скомпрометированных систем на базе Linux, обычно размещенных в облачной инфраструктуре.
- 8220 - группировка использует инструменты PwnRig или DBUsed, которые представляют собой варианты программного обеспечения для майнинга XMRig Monero. Считается, что группировка возникла из форка GitHub программного обеспечения группировки Rocke.[1]
2021: 43% всех облачных учетных записей устарели, не используются и подвергаются риску
Компания Varonis, один из представителей мирового рынка безопасности и аналитики данных, 2 сентября 2021 года поделилась результатами отчета о рисках SaaS за 2021 год. В отчете рассмотрены основные тенденции и проблемы, с которыми сталкиваются компании при попытке контролировать цифровые личности пользователей и теневые привилегии, а также риски корпоративных данных в кросс-облачной инфраструктуре.
Аналитики Varonis проанализировали данные более 200 000 цифровых личностей и сотни миллионов облачных активов с помощью решения DatAdvantage Сloud
Выяснилось, что 43% всех облачных учетных записей устарели, не используются и подвергаются риску. При этом учетные записи пользователей, которые больше не используют облачные сервисы, становятся легкой мишенью и существенно увеличивают поверхность атаки на организацию.
Также три из четырех облачных учетных записей внешних подрядчиков остаются активными даже после прекращения сотрудничества с организацией. Одна из четырех «личностей» в SaaS-приложениях и половина в IaaS-сервисах являются машинными. В отличие от живых людей, они подвержены угрозе взлома круглосуточно, так как всегда находятся в системе и обычно игнорируются службами безопасности из‐за работы в фоновом режиме.
44% привилегий пользователей облачных сервисов настроены некорректно — это может сделать организацию уязвимой для взлома учетных записей или эксфильтрации данных. Также три из пяти привилегированных пользователей облачных сервисов являются теневыми администраторами. Они могут вносить изменения на уровне администратора и потенциально нанести ущерб облачному сервису.
Аналитики выяснили, что 15% сотрудников переносят критически важные для компании данные в свои личные облачные учетные записи. В лучшем случае это означает, что данные находятся вне контроля службы безопасности, в худшем — свидетельствует о краже данных. А 16% всех пользователей облачных сервисов выполняют привилегированные действия и 20% из них имеют доступ к конфиденциальным корпоративным данным. Все это может негативно повлиять на работу самого облачного сервиса или на большинство его пользователей.
Благодаря облаку исчезли границы между личными и корпоративными учетными записями. Даже рядовые пользователи, не являющиеся администраторами, легко нарушают принципы наименьших привилегий одним нажатием кнопки "поделиться". Если вы не контролируете весь стек SaaS/IaaS в вашей организации, пользователи могут молча копировать, удалять или раскрывать критически важные данные практически кому угодно. Это может быть ваш список клиентов Salesforce, исходный код на GitHub, документы в Box и Google Drive, — отметил Даниэль Гутман, глава Varonis в России. |
Чтобы обезопасить работу в облаках, компания Varonis подготовила чек-лист правил безопасности.
Эксперты советуют открывать сотрудникам минимальный доступ, необходимый для выполнения их служебных обязанностей, проверять активность пользователей на предмет подозрительных или непредусмотренных политиками безопасности действий и устранять теневые учетные записи.
По мнению специалистов Varonis, сохранять данные в безопасности помогут регулярная проверка прав доступа, использование кросс-облачных инструментов обнаружения угроз, периодический аудит настроек конфигурации общего доступа к облаку, а также «гигиена» учетных записей дистанционных сотрудников и подрядчиков.
2019
McAfee: 19 передовых практик в сфере облачной безопасности в 2019 году
Облачные вычисления коммерчески доступны уже около 20 лет и применяются практически повсеместно: около 95% компаний отмечают, что у них есть облачная стратегия. Хотя поставщики облачных услуг значительно усовершенствовали свои системы безопасности, пользование такими сервисами до сих пор сопряжено с рисками. К счастью, эти риски можно снизить до минимума с помощью представленных ниже передовых практик:
Защитите свои данные в облаке:
- Определите, какая информация наиболее уязвима. Хотя повсеместное внедрение защиты самого высокого уровня, конечно, будет излишним, компании должны обезопасить свои конфиденциальные данные — в противном случае они подвергаются риску потери интеллектуальной собственности и наложению нормативных штрафов. По этой причине в первую очередь необходимо определить, какая именно информация подлежит защите. Для обнаружения и классификации данных обычно используют специальный механизм. Установите комплексное решение, которое сможет обнаружить и защитить конфиденциальную информацию в вашей сети, на конечных устройствах и в облаке, и при этом обеспечит необходимый уровень гибкости и мобильности для вашей организации.
- Как осуществляется доступ к данным и их хранение? Несмотря на то, что конфиденциальные данные можно хранить в облаке, такая возможность не является чем-то очевидным. По данным отчета McAfee[2] за 2019 г. «О внедрении облака и рисках» (Cloud Adoption and Risk Report), 21% всех файлов в облаке содержат конфиденциальную информацию. Эксперты отмечают резкий рост этого показателя по сравнению с прошлым годом1. Хотя большая часть этой информации хранится в хорошо зарекомендовавших себя корпоративных облачных сервисах типа Box, Salesforce и Office365, важно понимать, что ни одно из этих решений не гарантирует 100% безопасности. Ввиду этого важно изучить разрешения и контекст доступа к данным в вашей облачной среде и внести необходимые корректировки. В некоторых случаях придется удалить конфиденциальные данные, уже размещенные в облаке, или поместить их в карантин.
- Кто может делиться данными и каким образом? По сравнению с предыдущим годом объемы обмена конфиденциальными данными увеличились более чем на 50%.1 Какой бы продуманной ни была ваша стратегия по снижению угроз, нельзя только реагировать на инциденты: риски такого подхода слишком велики. Необходимо разработать политику контроля доступа и обеспечить ее применение еще до попадания данных в облако. Возможность редактировать документы должна быть только у небольшого числа сотрудников, большинству будет достаточно их просмотра. Аналогично, не всем пользователям, у которых есть доступ к определенным данным, следует дать разрешение на обмен ими. Необходимо создать группы и настроить права, чтобы пересылать такую информацию мог только узкий круг лиц с соответствующими полномочиями. Это существенно ограничит распространение конфиденциальных данных.
- Не полагайтесь на шифрование облачного сервиса. Комплексное шифрование на уровне файлов должно быть основой всех мер по обеспечению безопасности в облаке. Хотя шифрование данных силами поставщиков облачных услуг защищает их от третьих сторон, у провайдеров при этом появляется доступ к вашим ключам шифрования. Для максимальной защиты компаниям необходимо внедрить современные криптографические решения с собственными ключами и применять их до загрузки данных в облако.
Устраните внутренние угрозы облачной безопасности
- Использование облака сотрудниками должно быть прозрачным. Даже если в вашей организации действует корпоративная стратегия по облачной безопасности, ваши сотрудники могут пользоваться облаком по собственному усмотрению. Большинство людей заводят учетные записи в Dropbox или пользуются онлайн-сервисами для конвертации файлов без предварительной консультации со специалистами ИТ. Чтобы оценить потенциальные риски работы сотрудников с облаком, проверьте журналы прокси-сервера, брандмауэра и системы управления информацией о безопасности и событиями безопасности (SIEM). Это позволит получить полное представление о том, какие облачные сервисы используются, и определить их ценность для сотрудников/организации в сравнении с рисками полного или частичного развертывания систем в облаке. Также следует помнить, что теневое использование — это не только доступ к новым или неразрешенным сервисам с известных конечных устройств. Компаниям также нужна стратегия по борьбе с перемещением данных из доверенных облачных решений на неконтролируемые ими смартфоны, планшеты и ноутбуки. Поскольку в облачный сервис можно зайти с любого подключенного к интернету устройства, неконтролируемая личная техника создает пробел в любой стратегии безопасности. Чтобы ограничить скачивание файлов на несанкционированные устройства, можно сделать проверку безопасности обязательным предварительным условием такого скачивания.
- Составьте список безопасных сервисов. Хотя большинство сотрудников используют облачные сервисы в рабочих целях и с законными намерениями, некоторые из них неизбежно найдут и установят сомнительные решения. Из 1935 облачных сервисов, которые доступны для среднестатистической организации, 173 относятся к приложениям с высоким риском1. Знание того, какие решения используются в вашей компании, позволит разработать соответствующие политики безопасности.
- Определите, данные какого типа допустимо размещать в облаке.
- Составьте список безопасных облачных приложений, которыми могут пользоваться сотрудники
- Проинформируйте сотрудников о передовых практиках в сфере облачной безопасности, мерах предосторожности и инструментах, которые необходимы для безопасной работы с этими приложениями.
- Помните о важной роли конечных устройств. Большинство пользователей применяют для доступа к облаку веб-браузер, поэтому компаниям необходимо внедрить эффективные инструменты для защиты клиентской стороны и обеспечить своевременное обновление браузеров, чтобы предотвратить эксплуатацию их уязвимостей. Это ключевые компоненты облачной безопасности. Для полноценной защиты устройств конечных пользователей установите современные специализированные решения, например брандмауэры, особенно если ваша компания работает по модели IaaS или PaaS.
- Смотрите в будущее. Новые облачные сервисы появляются в интернете довольно часто, а связанные с ними риски постоянно увеличиваются, что затрудняет разработку и обновление соответствующих политик вручную. Хотя спрогнозировать, к каким облачным приложениям будут обращаться сотрудники, слишком трудно, вы можете автоматически обновлять политики веб-доступа с помощью информации о профиле риска того или иного сервиса. Это позволит заблокировать доступ к такому облаку или вывести на экран предупреждение для пользователя. Ремедиацию замкнутого цикла (применение политик на основании общей категории риска облачного сервиса или его отдельных характеристик) необходимо интегрировать с защищенным веб-шлюзом или брандмауэром. Система будет автоматически обновлять и применять политики без нарушения работы существующей технологической среды.
- Обеспечьте защиту от неосторожных пользователей и злоумышленников. Среди угроз безопасности, с которыми компании сталкиваются ежемесячно, по вине персонала происходят в среднем 14,8 инцидентов. В 94,3% организаций внутрисистемные угрозы возникают как минимум раз в месяц. Они неизбежны: вопрос лишь в том, когда эта проблема затронет вас. Угрозы такого рода включают в себя как непреднамеренное раскрытие (т. е., скажем, случайная пересылка документа с конфиденциальными сведениями), так и собственно вредоносную активность — например, когда менеджер по продажам скачивает полную версию клиентской базы перед уходом к конкурентам. И неосторожные сотрудники, и взломщики могут совершать действия, указывающие на злоумышленное использование облачных данных. Для отслеживания аномальных явлений и предотвращения внутренних и внешних утечек данных используйте решения с технологиями машинного обучения и анализа поведения пользователей.
- Доверяйте. Но проверяйте. Пользователи, которые пытаются получить доступ к конфиденциальным данным в облаке с нового устройства, должны проходить дополнительную проверку. Возможное решение — автоматическое требование двухфакторной аутентификации во всех сценариях облачного доступа с высоким риском. Специализированные решения по облачной безопасности могут запросить у пользователя дополнительный идентифицирующий атрибут в режиме реального времени; они работают с имеющимися поставщиками идентификаторов и факторами аутентификации (аппаратными токенами, мобильными программными токенами или текстовыми сообщениями), которые знакомы конечным пользователям.
Постройте прочные партнерские отношения с надежными поставщиками облачных услуг
- Соблюдение нормативных требований — по-прежнему обязательное условие. Компания может перенести в облако большую часть ключевых бизнес-функций, но ответственность за нормативно-правовое соответствие всегда будет лежать на ней, а не на сторонних организациях. Независимо от того, каким нормативным документом руководствуется ваше предприятие — Калифорнийским законом о защите прав потребителей, стандартом безопасности данных PCI DSS, регламентом GDPR, актом HIPAA или другим, необходимо выбрать такую облачную платформу, которая позволит вам выполнять требования любых стандартов и правил, действующих в отрасли. Затем следует выяснить, за какие аспекты нормативного соответствия отвечает ваш провайдер, а какие остаются в вашей компетенции. Хотя многие поставщики облачных услуг прошли сертификацию во множестве отраслевых и правительственных регуляторах, развертывание в облаке приложений и сервисов, отвечающих требованиям нормативов, и поддержание этого соответствия в будущем входит в вашу зону ответственности. Нужно отметить, что прежние контрактные обязательства и правовые барьеры могут препятствовать использованию облачных услуг: перемещение данных в облако трактуется как передача контроля над этими данными.
- Соблюдение требований бренда также важно. Переход в облако не обязательно происходит в ущерб стратегии продвижения бренда. Разработайте комплексный план по управлению идентификацией и авторизацией в облачных сервисах. Программные приложения, отвечающие требованиям стандартов SAML, Open ID и других, поддерживают применение элементов корпоративного стиля в облаке.
- Найдите надежных поставщиков услуг. Поставщики облачных услуг, которые ориентированы на подотчетность, прозрачность и соблюдение общепринятых стандартов, обычно имеют сертификаты SAS 70 Type II или ISO 27001. Поставщики облачных услуг должны быть готовы предоставить всю необходимую документацию и отчеты в готовом виде — например, результаты аудитов и сведения о сертификации вместе с необходимой информацией о процессе оценки. Все аудиты должны проводиться независимыми экспертами на основе существующих стандартов. Поставщик облачных услуг отвечает за актуальность полученных сертификатов и уведомление клиентов о любых изменениях в их статусе. Обязанность клиента при этом — изучить объем применения каждого стандарта: например, некоторые широко распространенные нормативные документы не дают оценки эффективности систем безопасности; надежность аудиторских фирм и аудиторов также может быть различной.
- Как они обеспечивают вашу защиту? Ни один поставщик облачных услуг не гарантирует 100% безопасность. За последние несколько лет многие ключевые провайдеры подверглись нападениям хакеров, в том числе AWS, Azure, Google Drive, Apple iCloud, Dropbox и другие. Важно ознакомиться со стратегиями обеспечения безопасности данных облачного сервиса и особенностями его многоарендной архитектуры. При несанкционированном доступе к аппаратным средствам или операционной системе поставщика услуг вся размещенная у него информация автоматически подвергнется риску. По этой причине необходимо внедрить защитные меры и изучить данные предыдущих аудитов, чтобы выявить потенциальные слабые места в системе безопасности. Если в этой сфере поставщик пользуется услугами сторонних компаний, следует также ознакомиться с данными их сертификаций и аудитов. После этого вы сможете определить, какие проблемы безопасности необходимо решить с вашей стороны. Например, менее 10% провайдеров применяют шифрование данных при хранении. Еще меньше сервисов поддерживают использование криптографических ключей заказчиков1. Для надежной и безопасной работы в облаке необходимо найти таких поставщиков услуг, которые, с одной стороны, обеспечивают комплексную защиту, а с другой, дают пользователям возможность закрывать любые бреши в ней.
- Тщательно изучите контракты и соглашения об уровне услуг выбранного облачного провайдера. Контракт на предоставление облачных услуг — единственная гарантия обслуживания и главный документ, к которому вы будете апеллировать при возникновении проблем. По этой причине важно тщательно изучить все договорные условия, в том числе в приложениях и дополнительных соглашениях. Например, контракт может прояснить, будет ли компания-провайдер нести ответственность за ваши данные или станет владельцем ваших данных. (Только 37,3% провайдеров указывают, что данные клиентов являются собственностью клиентов. Остальные либо не устанавливают владельца данных напрямую, создавая тем самым неясный с юридической точки зрения момент, либо явно утверждают, что все загруженные в облако данные являются их собственностью1). Обеспечивает ли сервис открытый доступ к информации о событиях безопасности и отклике на них? Предоставляет ли провайдер инструменты мониторинга или возможность подключения корпоративных средств контроля? Будете ли вы получать ежемесячные отчеты о событиях безопасности и отклике на них? Что произойдет с вашими данными, если вы откажетесь от использования сервиса? (Обратите внимание на то, что только 13,3% поставщиков облачных услуг удаляют пользовательские данные сразу после закрытия учетной записи. Остальные хранят эту информацию в течение года, а некоторые провайдеры особо оговаривают свое право хранить эти сведения бессрочно.) Спорные условия контракта можно обсудить в ходе переговоров, но если поставщик услуг назовет их не подлежащими пересмотру, вам придется решить, приемлем ли риск, связанный с принятием этих условий, для вашего бизнеса. Если нет, необходимо найти альтернативный способ управления этим риском — внедрить средства криптографии или мониторинга либо обратиться к другому провайдеру.
- Что делать в случае нештатной ситуации? Поскольку у каждого поставщика облачных услуг своя система безопасности и ни один из них не гарантирует 100% защиты данных, крайне важно иметь план мероприятий по реагированию на инциденты (IR-план). При составлении таких планов провайдер должен выступать в качестве партнера и учитывать ваше мнение. Определите каналы связи, функции и обязанности и заранее продумайте возможные сценарии реагирования на проблемы. В соглашениях об уровне обслуживания (SLA) должны быть четко прописаны сведения, которые поставщик услуг обязан предоставить в случае возникновения инцидента, порядок работы с данными для обеспечения их доступности и гарантии поддержки, которая потребуется для эффективного выполнения корпоративного IR-плана на каждом этапе. Хотя лучший способ своевременного обнаружения атак — это постоянный мониторинг, необходимо выполнять полномасштабную проверку систем как минимум ежегодно, а также проводить дополнительные тесты при каждом значительном изменении архитектуры.
- Защитите свои IaaS среды. При работе в средах IaaS, например AWS и Azure, вы несете ответственность за безопасность операционных систем, приложений и сетевого трафика. Чтобы обезопасить инфраструктуру от вредоносных программ, необходимо развернуть современные технологии защиты на уровне ОС и виртуальной сети. Списки разрешенных приложений и средства предотвращения несанкционированного использования памяти помогут защитить специализированные рабочие нагрузки, а средства безопасности на основе машинного обучения отлично подойдут для файловых систем и приложений общего назначения.
- Нейтрализуйте и удалите вредоносное ПО из облака. Заражение приложений вредоносными программами происходит через общие папки, которые автоматически синхронизируются с папками в облачном хранилище. Таким образом опасный код переходит с одного взломанного пользовательского устройства на другие. Чтобы предупредить заражение вредоносным ПО и программами-вымогателями, а также хищение данных, установите решение для облачной безопасности и выполняйте сканирование файлов, которые хранятся в облаке. При обнаружении хакерского ПО на хосте или в облачном приложении его можно поместить в карантин или удалить. Это позволит обезопасить конфиденциальные данные и избежать их повреждения вредоносными программами.
- Выполняйте регулярный аудит своих конфигураций IaaS. Неправильная настройка критически важных параметров сред IaaS (AWS или Azure) приводит к появлению существенных уязвимостей. В среднем в любой момент времени в любой организации запущено, как минимум, 14 инстансов IaaS с ошибками конфигурации. Число связанных с ними инцидентов безопасности достигает 2300 в месяц. Хуже того, более 5% всех используемых бакетов AWS S3 с некорректными настройками открыты для чтения1. Чтобы избежать таких потенциальных утечек данных, необходимо проверять конфигурации на предмет ошибок в параметрах управления идентификацией и доступом, в параметрах работы сети и шифрования.
Fortinet: четыре основные концепции обеспечения безопасности облачных технологий
18 июля 2019 года компания Fortinet представила четыре основные концепции обеспечения безопасности облачных технологий.
По утверждению Fortinet, самое важное преимущество облака заключается в том, что оно позволяет развертывать, управлять и размещать критически важные прикладные программы быстрее, чем при любом другом способе. При этом сотрудники и клиенты получают доступ к критической информации в режиме реального времени – где бы они ни находились, и каким бы устройством ни пользовались. Для этого необходимо гибкое управление ресурсами, с возможностью их масштабирования и перемещения, а также наличие простых и интуитивных приложений, с доступом к данным в режиме реального времени и с возможностью быстрого обновления в соответствии с постоянно меняющимися тенденциями. То же самое относится и ко внутренним рабочим процессам на различных устройствах и в разных облаках, которые должны быть высокодоступными, гибкими и отзывчивыми для поддержки критических функций и выполнения транзакций.
Безопасность – важнейший компонент любой облачной среды, особенно учитывая, что киберпреступники стремятся использовать быстро расширяющуюся поверхность атаки, считают в Fortinet. Но для достижения высокой эффективности, технологии безопасности должны быть такими же гибкими и динамичными, как и сама защищаемая облачная инфраструктура. Кроме того, защита облака с помощью устаревших решений безопасности – такая же неосуществимая задача, как и создание современного облака с использованием устаревших сетевых компонентов и традиционных стратегий разработки приложений.
Эффективные решения безопасности должны защищать не только связи между данными и пользователями, но и обеспечивать защиту буквально каждого подключения к каждому физическому или виртуальному устройству в распределенной инфраструктуре, причем даже для тех устройств, которые постоянно перемещаются внутри мультиоблачных инфраструктур (или даже между ними).
В подобных средах нередко возникают сложности, которые обусловлены использованием различных систем безопасности – дело в том, что развертывание решений, представленных только на какой-то одной облачной платформе, зачастую бывает неосуществимо на других платформах, или может накладывать функциональные ограничения. Это фактически ограничивают истинный потенциал облака. Слишком много организаций, увидев масштабы и серьезность проблемы, так и не сумели найти целостный подход к ее решению.
Четыре основных концепции обеспечения облачной безопасности
Со слов Fortinet, для решения этих задач, организациям следует использовать следующие концепции обеспечения безопасности при реализации своих стратегий развития облака:
- Создание облачных сред с учетом требований безопасности. Как правило, утечки данных происходят в результате того, что киберпреступники используют самое слабое звено в поверхности атаки. Во многих организациях внедрение облака приводит к расширению поверхности атаки в геометрической прогрессии. Для устранения этих слабых звеньев требуется повсеместно обеспечивать единый уровень безопасности, даже когда инфраструктура постоянно меняется. Поскольку инфраструктуры расширяются и меняются столь быстрыми темпами, важно, чтобы любые изменения в сети осуществлялись в строгом соответствии с общим планом безопасности. Требование использовать надлежащие инструменты, политики и процедуры безопасности до того, как будут задействованы какие-либо новые ресурсы, позволяет адаптировать решения безопасности к изменениям в инфраструктуре и в приложениях. Для этого необходимо выбирать инструменты безопасности, которые понимают инфраструктуру, в которой они будут размещены, и которые смогут обеспечить согласованную работу во всех окружениях, в том числе в мультиоблачных средах, гарантируя соблюдение политик и высокую прозрачность для безопасного запуска приложения и возможности безопасного подключения от центров обработки данных до облака. Даже незначительные различия в адаптивности и реализации могут привести к образованию брешей в безопасности, которыми охотно воспользуются киберпреступники.
- Нативная облачная безопасность. Поскольку данные и рабочие процессы должны перемещаться по всей инфраструктуре и в облаке, необходимо добиваться согласованной работы решений безопасности. Выбор облачного межсетевого экрана от того же поставщика, чьи продукты защищают и физические активы организации, вовсе не обязательно гарантирует решение этой проблемы. Подобные решения должны беспрепятственно взаимодействовать с облачными сервисами и следить за работой этих сервисов, а также уметь идентифицировать облачные ресурсы таким же логическим образом, как они идентифицируют другие ресурсы. Тем не менее, хотя базовая технология, используемая для защиты сетей, значительно отличается от технологий, используемых для защиты облачных ресурсов, практика управления аспектами безопасности должна оставаться такой же. Вот почему решающее значение имеет естественная интеграция в облачную инфраструктуру. Эта проблема усугубляется тем, что облачные среды сильно отличаются друг от друга, и организации нередко используют разнородный набор технологий с разрозненными мерами безопасности в различных облачных средах. Это может создавать дополнительные проблемы для координации и обеспечения безопасности. Помимо нативной интеграции в облако, инструменты безопасности также должны уметь «на лету» транслировать политики безопасности, чтобы эти политики комплексно применялись в различных окружениях. Для этого необходимо выбирать поставщика с решениями, которые изначально интегрированы в максимально возможное количество облачных платформ и которые обеспечивают единый уровень безопасности и возможности подключения от центра обработки данных к облаку, независимо от используемой облачной инфраструктуры.
- Различные форм-факторы. Для комплексной, согласованной защиты необходимо, чтобы одни и те же решения безопасности были развернуты на как можно большем количестве платформ и в максимально возможном количестве различных форм-факторов. Например, приложения должны иметь возможность обращаться к облачному решению безопасности для идентификации и защиты отдельных видов данных и транзакций. Контейнерные приложения должны иметь доступ к контейнерным инструментам безопасности для удобной интеграции функций безопасности в цепочку приложений. И в идеале эти инструменты должны работать точно так же, как и решения, развернутые в распределенной инфраструктуре, в том числе в филиалах и на периферийных устройствах. Но не следует ожидать, что виртуальная версия межсетевого экрана подойдет для развертывания облака или контейнера. Как говорилось ранее, если нужна согласованность в реализации политик безопасности, и если необходимо уметь решать уникальные проблемы, характерные для отдельных экосистем, то каждый из форм-факторов решения должен быть изначально интегрирован в окружение, в котором оно размещено.
- Централизованное управление. Одна из самых больших претензий со стороны сетевых администраторов заключается в том, что они лишены единой консоли, с помощью которой они могли бы видеть всю инфраструктуру и управлять всей своей сетью, и которая бы обеспечивала прозрачность физических и виртуальных сетей. Если для управления безопасностью использовать решения, которые способны обнаруживать атаки и защищать инфраструктуру только в отдельных сегментах сети, но не во всей сети, то скорее всего это приведет к компрометации инфраструктуры. Чтобы устранить пробелы в безопасности, организациям нужна единая панель управления, которая обеспечивает наглядность и позволяет сформировать согласованные политики безопасности во всей инфраструктуре для эффективного управления рисками. Решения безопасности должны обмениваться и сопоставлять сведения об угрозах, получать и внедрять централизованно согласованные политики и изменения в конфигурациях и координировать все ресурсы для своевременного реагирования на обнаруженные угрозы.
Традиционные модели безопасности, когда на сетевом шлюзе размещаются специальное оборудование для мониторинга предсказуемого трафика и устройств, уже устарели. Современные решения безопасности должны охватывать всю распределенную инфраструктуру, динамически масштабироваться при увеличении ресурсов приложений и автоматически адаптироваться по мере приспособления инфраструктуры к меняющимся требованиям. И, что не менее важно, эти решения должны обеспечивать согласованную функциональность и применение политик независимо от своего форм-фактора и места развертывания. Для этого может потребоваться переосмыслить всю существующую инфраструктуру безопасности.
Если облако будет играть значительную роль в будущем организации, возможно, будет лучше найти единого поставщика, который будет поддерживать весь жизненный цикл приложений, все планы развития инфраструктуры и планы ее расширения – то есть решение, которое предлагает комплексную защиту и функциональность для нескольких публичных и частных облачных доменов, даже если это означает замену традиционного оборудования безопасности, которое уже установлено в локальной инфраструктуре.
Нативные возможности интеграции широкого спектра инструментов защиты, которые предусматривают автоматизацию и централизованное управление, лежат в основе инфраструктуры безопасности и позволяют осуществлять комплексное внедрение политик, совместный сбор и использование информации об угрозах, централизованное управление и оркестровку, а также дают единое представление о всей распределенной инфраструктуре. Все это позволяет организации с уверенностью развертывать любое приложение в любой облачной инфраструктуре. Без мощной, интегрированной и автоматизированной инфраструктуры безопасности, которая бы охватывала, расширялась и адаптировалась ко всей сети, организация лишается инструментов контроля и будет действовать вслепую, и киберпреступники с готовностью воспользуются этой слабостью.
2017: SAP СНГ: Основные барьеры для внедрения облачных услуг
2016: Данные "Лаборатории Касперского"
По данным опроса «Лаборатории Касперского», 13% российских компаний за год хотя бы однажды столкнулись с инцидентами, связанными с безопасностью облачной инфраструктуры. При этом около трети компаний (32%) потеряли данные в результате этих инцидентов. Ежедневно облачные корпоративные инфраструктуры и сети, вне зависимости от их размера, подвергаются большому количеству внутренних и внешних атак. Однако бизнес пока не воспринимает эту угрозу всерьез: только 27% российских компаний считают, что от защищенности их виртуальных систем и облачных инфраструктур зависит общая безопасность их корпоративной сети[3].
Наибольшую обеспокоенность у компаний вызывает защита внешних облачных услуг. Так, респонденты переживают, что инциденты могут произойти у поставщиков, на аутсорсинг которым переданы бизнес-процессы, у сторонних облачных сервисов или в ИТ-инфраструктуре, где компания арендует вычислительные мощности. Однако несмотря на все это беспокойство, проверки соблюдения требований к обеспечению безопасности третьих сторон проводят лишь 15% компаний.
«Несмотря на то что последние масштабные взломы происходили внутри ЦОД, традиционные системы безопасности по-прежнему фокусируются лишь на защите сетевого периметра и контроле прав доступа. При этом редко учитывается негативное влияние решений для защиты физической инфраструктуры на производительность виртуальных сред, — объяснил Вениамин Левцов, вице-президент по корпоративным продажам и развитию бизнеса «Лаборатории Касперского». — Поэтому в конвергентных средах так важно использовать соответствующую комплексную защиту, обеспечивая безопасность виртуальных систем специально предназначенными решениями. Мы реализуем подход, при котором вне зависимости от типа инфраструктуры для всех систем обеспечивается единое по степени защищенности покрытие всей корпоративной сети. И в этом наши технологии и современные разработки VMware (как, например, микросегментация) прекрасно дополняют друг друга».
2015: Forrester: Почему заказчики недовольны поставщиками облака?
Согласно отчету Forrester (лето 2015 года), отсутствие прозрачности со стороны поставщиков облака является главным источником неудовлетворенности клиентов[4].
Непрозрачное облако
Опубликованное недавно исследование Forrester Consulting показывает: многие организации считают, что поставщики облачных услуг предоставляют им недостаточно информации о взаимодействии с облаком, и это вредит их бизнесу.
Помимо недостаточной прозрачности, есть и другие факторы, уменьшающие энтузиазм перехода в облако: это уровень сервиса для заказчиков, дополнительные расходы и адаптация при миграции (on-boarding). Организации очень любят облако, но не его поставщиков — во всяком случае, не столь же сильно.
Исследование было заказано компанией iland, поставщиком корпоративного облачного хостинга, проводилось в течение мая и охватывало профессионалов в области инфраструктуры и текущего сопровождения из 275 организаций в США, Великобритании и Сингапуре.
«Среди всех сложностей сегодняшнего облака кроются и досадные изъяны, — пишет Лайлак Шёнбек (Lilac Schoenbeck), вице-президент по сопровождению и маркетингу продукта iland. — Столь важные метаданные не сообщаются, существенно тормозя принятие облака, и всё же организации строят планы роста исходя из допущения безграничности облачных ресурсов».
Где же ключ к достижению гармонии деловых отношений? Вот что нужно знать VAR’ам, чтобы постараться уладить проблемы и привести стороны к примирению.
Невнимание к клиентам
Судя по всему, многие пользователи облака не ощущают тот самый индивидуальный подход.
Так, 44% респондентов ответили, что их провайдер не знает их компанию и не понимает их деловые потребности, а 43% считают, что если бы их организация просто была крупнее, то, наверно, поставщик уделял бы им больше внимания. Короче говоря, они чувствуют холод рядовой сделки, покупая облачные услуги, и им это не нравится.
И еще: есть одна практика, на которую указала треть опрошенных компаний, также вселяющая ощущение мелочности в сделке, — с них взимают плату за малейший вопрос или непонятность.
Слишком много секретов
Нежелание поставщика предоставлять всю информацию не только раздражает заказчиков, но часто стоит им денег.
Все респонденты, принявшие участие в опросе Forrester, ответили, что ощущают определенные финансовые последствия и влияние на текущую работу из-за отсутствующих или закрытых данных об использовании ими облака.
«Отсутствие ясных данных о параметрах использования облака приводит к проблемам производительности, затруднениям отчетности перед руководством о реальной стоимости использования, оплате за ресурсы, так и не потребленные пользователями, и непредвиденным счетам», — констатирует Forrester.
А где метаданные?
ИТ-руководители, ответственные за облачную инфраструктуру в своих организациях, хотят иметь метрику стоимости и рабочих параметров, обеспечивающую ясность и прозрачность, но, очевидно, им трудно донести это до поставщиков.
Участники опроса отметили, что получаемые ими метаданные об облачных рабочих нагрузках обычно бывают неполными. Почти половина компаний ответила, что данные о соблюдении регулятивных норм отсутствуют, 44% указали на отсутствие данных о параметрах использования, 43% — ретроспективных данных, 39% — данных по безопасности, и 33% — данных биллинга и стоимости.
Вопрос прозрачности
Отсутствие метаданных вызывает всякого рода проблемы, говорят респонденты. Почти две трети опрошенных сообщили, что недостаточная прозрачность не позволяет им в полной мере понять все преимущества облака.
«Отсутствие прозрачности порождает различные проблемы, и в первую очередь это вопрос о параметрах использования и перебои в работе», — говорится в отчете.
Примерно 40% пытаются устранить эти пробелы сами, закупая дополнительный инструментарий у своих же поставщиков облака, а другие 40% просто закупают услуги другого поставщика, где такая прозрачность присутствует.
Соблюдение регулятивных норм
Как ни крути, организации несут ответственность за все свои данные, будь то на локальных СХД или отправленные в облако.
Более 70% респондентов в исследовании ответили, что в их организациях регулярно проводится аудит, и они должны подтвердить соответствие существующим нормам, где бы ни находились их данные. И это ставит препятствие на пути принятия облака почти для половины опрошенных компаний.
«Но аспект соблюдения вами регулятивных норм должен быть прозрачен для ваших конечных пользователей. Когда поставщики облака придерживают или не раскрывают эту информацию, они не позволяют вам достичь этого», — сказано в отчете.
Проблемы соответствия
Более 60% опрошенных компаний ответили, что проблемы соблюдения регулятивных требований ограничивают дальнейшее принятие облака.
Главные проблемы таковы:
- 55% компаний, связанных такими требованиями, ответили, что труднее всего для них реализовать надлежащие средства контроля.
- Примерно половина говорит, что им трудно понять уровень соответствия требованиям, обеспечиваемый их поставщиком облака.
- Еще половина респондентов ответила, что им трудно получить необходимую документацию от провайдера о соблюдении этих требований, чтобы пройти аудит. И 42% затрудняются получить документацию о соблюдении ими самими требований в отношении рабочих нагрузок, запущенных в облаке.
Проблемы миграции
Похоже, что процесс перехода (on-boarding) — еще одна область общей неудовлетворенности: чуть более половины опрошенных компаний ответили, что их не удовлетворяют процессы миграции и поддержки, которые предложили им поставщики облака.
Из 51% неудовлетворенных процессом миграции 26% ответили, что это заняло слишком много времени, и 21% пожаловались на отсутствие живого участия со стороны персонала провайдера.
Более половины были также не удовлетворены процессом поддержки: 22% указали на долгое ожидание ответа, 20% — недостаточные знания персонала поддержки, 19% — на затянувшийся процесс решения проблем, и 18% получили счета с более высокой, чем ожидалось, стоимостью поддержки.
Препятствия на пути в облако
Многие из компаний, опрошенных фирмой Forrester, вынуждены сдерживать свои планы расширения в облаке из-за проблем, которые они испытывают с уже имеющимися услугами.
Как минимум 60% ответили, что отсутствие прозрачности в использовании, информации соответствия регулятивным нормам и надежной поддержки удерживает их от более широкого использования облака. Если бы не эти проблемы, они перенесли бы больше рабочих нагрузок в облако, говорят респонденты.
2014
- Роль ИТ-подразделений постепенно меняется: перед ними стоит задача приспособиться к новым реалиям облачных ИТ. ИТ-подразделения должны рассказывать сотрудникам о проблемах безопасности, разрабатывать комплексные политики по управлению данными и по соблюдению законодательных требований, разрабатывать рекомендации по внедрению облачных сервисов и устанавливать правила относительно того, какие данные можно хранить в облаке, а какие – нет.
- ИТ-подразделения способны выполнить поставленную перед ними миссию по защите корпоративных данных и одновременно выступать в роли инструмента в реализации "Теневых ИТ", реализуя меры по обеспечению безопасности данных, например, внедряя подход `encryption-as-a-service` ("шифрование в виде сервиса"). Подобный подход позволяет ИТ-отделам централизованно управлять защитой данных в облаке, обеспечивая другим подразделениям компании возможность самостоятельно находить и пользоваться облачными сервисами по необходимости.
- По мере того, как всё больше компаний хранят свои данные в облаке, а их сотрудники всё активнее пользуются облачными сервисами, ИТ-подразделениям необходимо уделять больше внимания реализации более эффективных механизмов для контроля за пользовательским доступом, таких как многофакторная аутентификация. Это особенно актуально для компаний, которые обеспечивают третьим лицам и поставщикам доступ к своим данным в облаке. Решения многофакторной аутентификации могут управляться централизованно и обеспечивать более защищенный доступ ко всем приложениям и данным, где бы они ни размещались – в облаке, или на собственном оборудовании компании.
Данные Ponemon и SafeNet
Большинство ИТ-организаций находятся в неведении относительно того, каким образом осуществляется защита корпоративных данных в облаке – в результате компании подвергают рискам учетные записи и конфиденциальную информацию своих пользователей. Таков лишь один из выводов недавнего исследования осени 2014 года, проведённого институтом Ponemon по заказу SafeNet. В рамках исследования, озаглавленного "Проблемы управления информацией в облаке: глобальное исследование безопасности данных", во всём мире было опрошено более 1800 специалистов по информационным технологиям и ИТ-безопасности.
В числе прочих выводов, исследование показало, что хотя организации всё активнее используют возможности облачных вычислений, ИТ-подразделения корпораций сталкиваются с проблемами при управлении данными и обеспечении их безопасности в облаке. Опрос показал, что лишь в 38% организаций четко определены роли и ответственности за обеспечение защиты конфиденциальной и другой чувствительной информации в облаке. Усугубляет ситуацию то, что 44% корпоративных данных, хранящихся в облачном окружении, неподконтрольны ИТ-подразделениям и не управляются ими. К тому же более двух третей (71%) респондентов отметили, что сталкиваются с всё новыми сложностями при использовании традиционных механизмов и методик обеспечения безопасности для защиты конфиденциальных данных в облаке.
С ростом популярности облачных инфраструктур повышаются и риски утечек конфиденциальных данных Около двух третей опрошенных ИТ-специалистов (71%) подтвердили, что облачные вычисления сегодня имеют большое значение для корпораций, и более двух третей (78%) считают, что актуальность облачных вычислений сохранится и через два года. Кроме того, по оценкам респондентов около 33% всех потребностей их организаций в информационных технологиях и инфраструктуре обработки данных сегодня можно удовлетворить с помощью облачных ресурсов, а в течение следующих двух лет эта доля увеличится в среднем до 41%.
Однако большинство опрошенных (70%) соглашается, что соблюдать требования по сохранению конфиденциальности данных и их защите в облачном окружении становится всё сложнее. Кроме того, респонденты отмечают, что риску утечек более всего подвержены такие виды хранящихся в облаке корпоративных данных как адреса электронной почты, данные о потребителях и заказчиках и платежная информация.
В среднем, внедрение более половины всех облачных сервисов на предприятиях осуществляется силами сторонних департаментов, а не корпоративными ИТ-отделами, и в среднем около 44% корпоративных данных, размещенных в облаке, не контролируется и не управляется ИТ-подразделениями. В результате этого, только 19% опрошенных могли заявить о своей уверенности в том, что знают обо всех облачных приложениях, платформах или инфраструктурных сервисах, используемых в настоящий момент в их организациях.
Наряду с отсутствием контроля за установкой и использованием облачных сервисов, среди опрошенных отсутствовало единое мнение относительно того, кто же на самом деле отвечает за безопасность данных, хранящихся в облаке. Тридцать пять процентов респондентов заявили, что ответственность разделяется между пользователями и поставщиками облачных сервисов, 33% считают, что ответственность целиком лежит на пользователях, и 32% считают, что за сохранность данных отвечает поставщик сервисов облачных вычислений.
Более двух третей (71%) респондентов отметили, что защищать конфиденциальные данные пользователей, хранящиеся в облаке, с помощью традиционных средств и методов обеспечения безопасности становится всё сложнее, и около половины (48%) отмечают, что им становится всё сложнее контролировать или ограничивать для конечных пользователей доступ к облачным данным. В итоге более трети (34%) опрошенных ИТ-специалистов заявили, что в их организациях уже внедрены корпоративные политики, требующие в качестве обязательного условия для работы с определёнными сервисами облачных вычислений применения таких механизмов обеспечения безопасности как шифрование. Семьдесят один (71) процент опрошенных отметили что возможность шифрования или токенизации конфиденциальных или иных чувствительных данных имеет для них большое значение, и 79% считают, что значимость этих технологий в течение ближайших двух лет будет повышаться.
Отвечая на вопрос, что именно предпринимается в их компаниях для защиты данных в облаке, 43% респондентов сказали, что в их организациях для передачи данных используются частные сети. Примерно две пятых (39%) респондентов сказали, что в их компаниях для защиты данных в облаке применяется шифрование, токенизация и иные криптографические средства. Еще 33% опрошенных не знают, какие решения для обеспечения безопасности внедрены в их организациях, и 29% сказали, что используют платные сервисы безопасности, предоставляемые их поставщиками услуг облачных вычислений.
Респонденты также считают, что управление корпоративными ключами шифрования имеет важное значение для обеспечения безопасности данных в облаке, учитывая возрастающее количество платформ для управления ключами и шифрования, используемых в их компаниях. В частности, 54% респондентов сказали, что их организации сохраняют контроль над ключами шифрования при хранении данных в облаке. Однако 45% опрошенных сказали, что хранят свои ключи шифрования в программном виде, там же, где хранятся и сами данные, и только 27% хранят ключи в более защищенных окружениях, например, на аппаратных устройствах.
Что касается доступа к данным, хранящимся в облаке, то шестьдесят восемь (68) процентов респондентов утверждают, что управлять учетными записями пользователей в условиях облачной инфраструктуры становится сложнее, при этом шестьдесят два (62) процента респондентов сказали, что их в организациях доступ к облаку предусмотрен и для третьих лиц. Примерно половина (46 процентов) опрошенных сказали, что в их компаниях используется многофакторная аутентификация для защиты доступа сторонних лиц к данным, хранящимся в облачном окружении. Примерно столько же (48 процентов) респондентов сказали, что в их компаниях применяются технологии многофакторной аутентификации в том числе и для защиты доступа своих сотрудников к облаку.
2013: Исследование Cloud Security Alliance
Cloud Security Alliance (CSA), некоммерческая отраслевая организация, продвигающая методы защиты в облаке, недавно обновила свой список главных угроз в отчете, озаглавленном «Облачное зло: 9 главных угроз в облачных услугах в 2013 году».
CSA указывает, что отчет отражает согласованное мнение экспертов о наиболее значительных угрозах безопасности в облаке и уделяет основное внимание угрозам, проистекающим из совместного использования общих облачных ресурсов и обращения к ним множества пользователей по требованию.
Отчет, опубликованный в понедельник, имеет целью помочь пользователям облака и поставщикам облачных услуг внедрить лучшие стратегии снижения риска.
Итак, главные угрозы…
Кража данных
Кража конфиденциальной корпоративной информации - всегда страшит организации при любой ИТ-инфраструктуре, но облачная модель открывает «новые, значительные магистрали атак», указывает CSA. «Если база данных облака с множественной арендой не продумана должным образом, то изъян в приложении одного клиента может открыть взломщикам доступ к данным не только этого клиента, но и всех остальных пользователей облака», - предупреждает CSA.
У любого «облака» есть несколько уровней защиты, каждый из которых защищает информацию от разного типа «покушений».
Так, например, физическая защита сервера. Здесь речь идет даже не о взломе, а о воровстве или порче носителей информации. Вынести сервер из помещения может быть тяжело в прямом смысле этого слова. Кроме этого, любая уважающая себя компания хранит информацию в дата-центрах с охраной, видеонаблюдением и ограничением доступа не только посторонним, но и большинству сотрудников компании. Так что вероятность того, что злоумышленник просто придет и заберет информацию, близка нулю.
Подобно тому как опытный путешественник, опасаясь ограблений, не хранит все деньги и ценности в одном месте, SaaS-компании не держат всю информацию на одном сервере. Так, взлом, даже если он произойдет, становится куда менее болезненным. Чем он грозит пользователю? Практически, ничем. Как показывает практика, чаще всего ври взломе сервера воруют базу email-адресов. Это значит, что пользователь получит на почтовый ящик долю спама. И всё.
Второй уровень защиты «облаков» – это защита в процессе передачи данных. SaaS-компании шифруют весь траффик с помощью https-протокола с использованием SSL-сертификата. Так данные будут в безопасности от попыток анализаторов траффика перехватить их.
Потеря данных
Данные, хранящиеся в облаке, могут быть украдены злоумышленниками или потеряны по другой причине, пишет CSA. Если поставщик облачных услуг не внедрит должные меры резервного копирования, данные случайно может удалить сам провайдер или они пострадают при пожаре или стихийном бедствии. С другой стороны, заказчик, который шифрует данные до того, как выгрузить их в облако, вдруг потерявший шифровальный ключ, также утратит свои данные, добавляет CSA.
Опасение обосновано, но проблем можно избежать резервным копированием. Компании, которые заботятся о клиентах и о репутации, ежедневно и не менее двух раз автоматически копируют базу данных. Таким образом, если пользователь обратиться в техподдержку с сообщением о случайно удаленных, но важных файлах, их можно будет восстановить.
Такая проблема также должна решаться превентивно, со стороны пользователя, и относится к вопросу инструктажа и компьютерной грамотности коллег, а также ограничением прав доступа к изменению и удалению файлов.
Кража аккаунтов / Взлом услуг
В облачной среде взломщик может использовать украденную регистрационную информацию, чтобы перехватывать, подделывать или выдавать искаженные данные перенаправлять пользователей на вредоносные сайты, пишет CSA. Организациям следует запретить раздачу своих регистрационных данных другим служащим и использование одних и тех же паролей для всех сервисов. Нужно также внедрить надежную, двухфакторную аутентификацию для снижения риска, рекомендует CSA.
Незащищенные интерфейсы и API
Слабые интерфейсы ПО или Application Programming Interface (API), используемые заказчиками для управления и взаимодействия с облачными услугами, подвергают организацию целому ряду угроз, пишет CSA. Эти интерфейсы должны быть правильно спроектированы и обязательно включать аутентификацию, управление доступом и шифрование, чтобы обеспечить необходимую защиту и готовность облачных услуг.
CSA добавляет также, что организации и сторонние подрядчики часто используют облачные интерфейсы для предоставления дополнительных услуг, что делает их более сложными и увеличивает риск, поскольку может потребоваться, чтобы заказчик сообщил свои регистрационные данные такому подрядчику для упрощения предоставления услуг.
DDoS-атаки
На облако могут быть предприняты атаки типа «отказ в обслуживании», которые вызывают перегрузку инфраструктуры, заставляя задействовать огромный объем системных ресурсов и не давая заказчикам пользоваться этой услугой. Внимание прессы чаще всего привлекают распределенные, или DDoS-атаки, но есть и другие типы DoS-атак, которые могут блокировать облачные вычисления, пишет CSA. К примеру, злоумышленники могут запустить асимметричные DoS-атаки прикладного уровня, используя уязвимости в Web-серверах, базах данных или других облачных ресурсах, чтобы завалить приложение с очень малой полезной нагрузкой.
Злонамеренный инсайдер
В среде IaaS, PaaS или SaaS, где не обеспечен должный уровень безопасности, инсайдер, имеющий неблаговидные намерения (например, системный администратор), может получить доступ к конфиденциальной информации, которая ему не предназначена, предупреждает CSA.
Системы, которые в обеспечении безопасности полагаются только на поставщика облачных услуг, подвергают себя большому риску, пишет CSA. «Даже если внедрено шифрование, если ключи не хранятся только у заказчика, будучи доступны лишь на время пользования данными, то система всё еще подвержена злонамеренным действиям инсайдера», - указывает CSA.
Использование облачных ресурсов хакерами
Облачные вычисления дают возможность организациям любого размера задействовать огромную вычислительную мощь, но кто-то может захотеть сделать это с неблаговидными намерениями, предупреждает CSA. К примеру, хакер может использовать совокупную мощь серверов облака, чтобы взломать шифровальный ключ в считанные минуты.
Поставщики облачных услуг должны продумать, как они будут отслеживать людей, использующих мощь облачной инфраструктуры во вред, каким образом будут выявляться и предотвращаться такие злоупотребления, пишет CSA.
Недостаточная предусмотрительность
В погоне за снижением затрат и другими преимуществами облака некоторые организации спешат использовать облачные услуги, не понимая до конца все последствия этого шага, пишет CSA. Организации должны провести обширную, тщательную проверку своих внутренних систем и потенциального поставщика облака, чтобы полностью уяснить все риски, которым они себя подвергают, переходя на новую модель.
Смежная уязвимость
В любой модели облачной доставки существует угроза уязвимости через общие ресурсы, указывает CSA. Если ключевой компонент совместно используемой технологии - например, гипервизор или элемент общей платформы - будет взломан, то это подвергает риску не только пострадавшего заказчика: уязвимой становится вся среда облака.
Облачные сервисы могут работать медленно
Довольно популярная претензия к «облакам». Действительно, работа таких сервисов может быть нестабильной, но из-за проблем с интернетом. Медленно, но верно ситуация с интернетом по стране налаживается. А уважающая себя компания может позаботиться о качестве связи и сама.
Примечания и смотрите также
- Облачные сервисы безопасности (Security-as-a-Service)
- Cloud computing: главные определения
- Публичные облака vs Частные облака
- Создание частных облаков (рынок России)
- Главные тренды рынка частных облаков в России
- Частные облака: типичные заказчики
- Облачные сервисы (рынок России)
- Рынок ИТ-сервисов России
- Частные облака в госсекторе
- Частные облака в банковском секторе
- Облачные решения для СМБ
- Как выбрать поставщика ИТ-услуг?
- Сервисные компании: западные vs отечественные
- Экономика облачных сервисов
- Мировой рынок облачных сервисов
- Главные тенденции мирового рынка частных облаков
- Киберпреступность в мире
- Киберпреступность и киберконфликты : Россия
- Киберпреступность и киберконфликты : США
- ↑ 99% облачных ресурсов предоставляют чрезмерные разрешения
- ↑ McAfee 2019 Cloud Adoption and Risk Report
- ↑ Исследование «Информационная безопасность бизнеса» проводилось «Лабораторией Касперского» и B2B International в 2016 г. В исследовании приняли участие более 4395 ИТ-специалистов из 25 стран мира, включая Россию.
- ↑ Почему заказчики недовольны поставщиками облака?