Облачно, возможны осадки в виде атак
Нет, это не рецензия на новую часть мультфильма и не прогноз погоды. Здесь мы поговорим о том, что такое облачная безопасность, и как предотвратить атаки на ваше облако.
Введение
Объём используемых нами данных экспоненциально растет с каждым днём. Возникает вопрос, где их стоит хранить, чтобы обезопасить себя от их утери. Скорее всего вы не раз сталкивались с тем, что ваши коллеги или знакомые хранят пароли и логины на стикере, наклеенном на устройство, с которого они обычно проходят аутентификацию. «Прошлый век», — подумаете вы и окажетесь правы. Облачные вычисления быстро становятся основным методом хранения данных рабочего и индивидуального пользования. Вам, вероятнее всего, знакомы такие интернет-сервисы, как Dropbox, OneDrive, Google Drive, iCloud, Яндекс.Диск, Облако Mail.Ru, МегаДиск, Mega, BOX, pCloud, Files.fm, WDfiles.ru, wdho.ru, Anonfile.com My-Files.Ru, являющиеся лидерами в поставке облачных технологий.
Пройдемся теперь по основным определениям. Облачная безопасность (cloud security) — это политики, технологии, программное обеспечение и приложения, которые защищают ваши личные и профессиональные данные, хранящиеся в Интернете. Защита облачных данных обеспечивается строгими стандартами работы локальных центров хранения и обработки данных, гарантируя безопасность вашей облачной инфраструктуры без затрат на техническое обслуживание аппаратного обеспечения.
Ни для кого не секрет, что любая утечка данных может оставить неблагоприятный след на крупной компании и нанести ей ущерб. Защита таких систем, как сетевая инфраструктура, приложения и платформы требует немалых усилий провайдеров облачных услуг и клиентов, использующих их.
Бэкенд разработка находится в руках поставщиков облачных услуг, но стоит отметить, что облачная безопасность также зависит и от клиентов. Провайдер должен обеспечить безопасность своей инфраструктуры, данных и приложений своих клиентов, в то время как пользователь должен принять меры по укреплению своего приложения и использовать надежные пароли и меры аутентификации.
Существуют три наиболее популярные модели облачных услуг:
Инфраструктура как услуга (IaaS)
Поставщик предоставляет клиентам доступ к хранилищу, сетям, серверам и другим вычислительным ресурсам в облаке с оплатой по факту использования.
Платформа как услуга (PaaS)
Поставщик услуг предлагает доступ к облачной среде, в которой пользователи могут создавать и эксплуатировать приложения. Поддержка базовой инфраструктуры осуществляется поставщиком.
Программное обеспечение как услуга (SaaS)
Поставщик услуг доставляет программное обеспечение и приложения через Интернет. Пользователи подписываются на ПО и получают к нему доступ через веб-интерфейс или API вендора.
Подробнее с типами сервисных моделей и пятью основными характеристиками, из которых состоит облачная модель, вы можете ознакомиться в документации Национального института стандартов и технологий.
Как работает облачная безопасность?
Каждая мера облачной безопасности предназначена для выполнения одного или нескольких действий:
В случае потери данных восстановить их
Защитить хранилище и сети от кражи данных
Предотвратить человеческий фактор или халатность, которые вызывают утечку данных
Снизить возможность компрометации данных
Более подробно эти действия описаны здесь.
Статистика и текущее состояние облачной инфраструктуры
Проведя анализ миллиарда анонимных облачных событий в широком спектре корпоративных организаций, компания McAfee смогла определить текущее состояние облачной инфраструктуры.
Недавнее распоряжение об удалённой работе кардинально изменило нашу рутину. Организации творчески подходят к тому, как они могут продолжать продуктивно работать, когда большинство их сотрудников работают из дома. В обычное время ожидается, что большинство сотрудников будут работать в офисе во внутренней сети. Любой, кто работает удаленно, может использовать VPN для доступа к внутренним приложениям. COVID-19 полностью перевернул эту реальность, поскольку большинство корпоративных офисов, кинотеатров, улиц и магазинов остались пугающе пустующими, а наши столы и конференц-залы пылятся.
Основные результаты отчета:
Общий объем корпоративного использования облачных сервисов вырос на 50%, причем больше всего этому поспособствовали производственные и финансовые компании.
Использование служб совместной работы увеличилось до 600%. Неудивительно, что образование является движущей силой этого роста, а государственные и финансовые службы внимательно следят за этим.
Количество внешних атак на облачные аккаунты увеличилось на 630%, при этом больше всего пострадали транспортная, правительственная и производственная вертикали.
Итак, как это влияет на использование облачных сервисов? В марте 2020 года, примерно в то же время, большинство крупных компаний ввели ограничения на поездки, крупные отраслевые мероприятия были отменены, некоторые страны и штаты ввели приказ о предоставлении убежища на месте, и все больше людей работали удаленно. Microsoft сообщила, что объем ее облачных сервисов вырос на 775%. Что касается недавних новостей, то Microsoft не будет больше поставлять свои программы МГТУ им. Баумана из-за новых экспортных ограничений, введенных правительством США летом 2020 г. против России, Китая и Венесуэлы. Часть этого роста может нормализоваться, однако в бизнесе произошел фундаментальный сдвиг. Чтобы лучше понять влияние работы из дома на внедрение и использование облачных сервисов, McAfee объединила и анонимизировала данные об использовании облака от более чем 30 миллионов пользователей McAfee MVISION Cloud по всему миру в период с января по апрель 2020 года.
Сервисы для организаций видеоконференций испытывает наибольший рост использования облачных сервисов. Статистика показывает, что в целом использование корпоративного облака увеличилось на 50%. В частности, наибольший рост составил 144% в обрабатывающей отрасли, за которой следует образование (114%). B Acrobat Enterprise использование облачных сервисов для совместной работы более чем удвоилось с начала года с Zoom (+ 350%), Microsoft Teams (+ 300%) и Slack (+ 200%).
Считается, что почти четверть данных в облаке являются конфиденциальными. Если поставщики облачных услуг не проконтролируют должным образом доступ к данным и не предоставят их защиту от угроз, то предприятия войдут в зону риска. Поставщики IaaS/PaaS инфраструктур, таких как AWS, увеличивают продуктивность разработчиков компаний и делают организации необычайно гибкими. Однако компании в среднем имеют не менее 14 неправильно настроенных IaaS, в результате получается в среднем 2269 инцидентов неправильной конфигурации в месяц. Примечательно, что 5,5% всех используемых сегментов AWS S3 неправильно настроены для публичного чтения. Возникает немедленный и крупномасштабный риск потери данных, растущий вместе с этими тенденциями. Большинство угроз для данных в облаке возникают в результате скомпрометированных аккаунтов и внутренних угроз. По статистике 92% учетных данных крадутся для продажи в Dark Web (ссылку я, конечно, не предоставлю).
Стороннее хранилище ваших данных и доступ через Интернет также представляют свои угрозы. Если по какой-либо причине эти услуги будут прерваны, ваш доступ к данным может быть потерян. Например, отключение электроэнергии будет означать, что вы не сможете получить доступ к облаку в нужный момент. Кроме того, это может повлиять на центр обработки данных (ЦОД), в котором хранятся ваши данные, возможно, это приведёт к их безвозвратной потере.
Такие прерывания могут иметь долгосрочные последствия. Так, например, в конце февраля 2017 года человеческий фактор стал причиной того, что была отключена часть серверов одного из крупнейших публичных облачных сервисов Amazon Web Services. Данный инцидент показал, что для вывода из строя даже такой надежной облачной платформы, как AWS, достаточно всего лишь одного неверного действия. 28 февраля член группы технической эксплуатации одного из дата-центров, поддерживающих работоспособность платформы Amazon Web Services, допустил ошибку во время набора текста команды, что привело к серьезному сбою. В результате инцидента начались перебои в работе многих популярных сайтов Trello, Coursera, IFTTT, а также ресурсов крупных партнеров Amazon из списка S&P 500. Ущерб составил сотни миллионов долларов США.
Gartner прогнозирует, что к 2022 году 90% компаний на рынке будут использовать облачные сервисы, общая стоимость которых составит 278,3 миллиарда долларов, причем самым быстрорастущим сегментом будет инфраструктура как услуга (IaaS).
Пандемия COVID-19 и связанный с ней экономический спад ускорили переход некоторых компаний на облачные технологии. Причиной тому послужило то, что облако обеспечивает гибкость и масштабируемость, которые могут помочь компаниям более эффективно выдерживать этот и другие кризисы.
When the COVID-19 pandemic hit, there were a few initial hiccups but cloud ultimately delivered exactly what it was supposed to. It responded to increased demand and catered to customers» preference of elastic, pay-as-you-go consumption models.
Так Сид Наг, вице-президент Gartner по исследованиям, отреагировал на возросший спрос и удовлетворил предпочтение клиентов в отношении гибких моделей потребления с распределенной оплатой по мере использования.
When you move to cloud, one of the great things that comes from that is really kind of forcing you to think about how to run in a lights-out operation.
Тим Кроуфорд — стратегический директор по информационным технологиям и советник компании Deloitte
Какое облако выбрать: публичное или частное?
Процесс принятия решения, связанный с выбором между публичным или частным облаком, часто зависит от уровня детального контроля, который организация желает использовать для своих облачных ресурсов.
Модели частного облака обеспечивают более высокий уровень микроконтроля, поэтому они обеспечивают уровень дополнительной защиты, а не компенсируют другие недостатки и ограничения использования частного облака.
Однако с другой стороны, поддержание такого уровня точной настройки управления создает большую сложность, помимо той, что существует в общедоступных облачных средах.
Это связано с тем, что, как и большинство продуктов, разработанных для широкой публики, поставщики общедоступного облака берут на себя ответственность за обслуживание большей части инфраструктуры. Они используют абстракцию элементов управления для упрощения контроля безопасности, что, в свою очередь, снижает общую сложность базовой системы.
Наиболее распространённые риски безопасности облачных вычислений
Несмотря на то, что существует несколько проблем безопасности, связанных с облачными вычислениями, преимущества все же в подавляющем большинстве перевешивают риски. Проблемы безопасности, подробно описанные ниже, должны быть приняты во внимание организациями, стремящимися не стать жертвой злоумышленников, которые зациклены на их эксплуатации.
1. Распределенные атаки типа «отказ в обслуживании» (DDoS)
Изначально было трудно увековечить этот тип атак на платформы облачных вычислений. Это произошло из-за огромного количества ресурсов, которыми обрабатываются сервисы облачных вычислений, что чрезвычайно затрудняет успешное инициирование DDoS-атак против них.
Однако все изменилось с появлением Интернета вещей (IoT), а также с распространением смартфонов и других аналогичных вычислительных устройств, которые сделали DDoS-атаку гораздо более жизнеспособной. Расчет изменился, так как теперь хакеры могут использовать эти устройства в качестве пехотинцев для инициирования достаточного количества трафика, чтобы подавить облачные платформы.
2. Компромисс с помощью общих служб облачных вычислений
Хотя большинство облачных платформ в настоящее время разработаны для обеспечения адекватной безопасности между клиентами на общем хостинге, тем не менее, все еще существует риск того, что недостаточное разграничение может привести к утечке общих ресурсов.
Таким образом, это может позволить угрозам, исходящим от одного клиента, распространиться на других клиентов в рамках службы облачных вычислений. В результате угрозы, исходящие от одного клиента, могут легко повлиять на других.
3. Внутренняя угроза из-за халатности сотрудников
Ошибки и халатность сотрудников — одна из самых серьезных проблем безопасности, с которыми сталкиваются облачные вычислительные системы. Слабые методы обеспечения безопасности могут создать уязвимость для компаний, например, из-за входа в облачную инфраструктуру организации с помощью своих мобильных телефонов и домашних планшетов, тем самым оставляя уязвимую точку доступа, через которую организация может быть скомпрометирована.
4. Ненадлежащее резервное копирование и потеря данных
При атаках, подобных атакам программ-вымогателей, организации лучше иметь резервные копии и последние файлы данных. Преступники используют программы-вымогатели, чтобы «запереть» данные организации в зашифрованных файлах.
Без резервного копирования системы в актуальном состоянии компании будут уязвимы в случае обнаружения программ-вымогателей или сбоя системы. Компании не могут позволить себе назвать этих преступления блефом и поэтому должны будут прислушаться к требованиям вымогателей, если они захотят восстановить свои данные.
Чтобы избежать этой облачной угрозы, компании должны обеспечить регулярное и периодическое резервное копирование своих данных и потребовать надлежащую синхронизацию данных.
5. Взлом аккаунтов
Внедрение облака во многих организациях создало целый ряд новых проблем безопасности. Одним из них является захват учетной записи, который дает злоумышленникам возможность использовать данные для входа в систему сотрудников фирмы для удаленного доступа к корпоративным данным и ресурсам в облаке.
Попав внутрь корпоративной облачной сети, злонамеренные атаки могут использовать эти украденные учетные данные для манипулирования, фальсификации и кражи информации. Кроме того, у этого метода есть дополнительный бонус в виде сокрытия личности истинных преступников.
Что делает это серьезной проблемой безопасности, так это то, что существует несколько способов, с помощью которых хакеры могут взломать учетные записи, такие как развертывание фишинга, кейлоггеров и переполнение буфера. Наиболее распространенным из этих уязвимостей безопасности является атака межсайтового скриптинга (XSS).
Amazon, один из ведущих публичных облачных сервисов, столкнулся с такой атакой, когда злоумышленники использовали XSS для кражи идентификаторов сеансов, которые предоставляли пользователям доступ к их учетным данным после того, как они вводили свои учетные данные и входили на главную страницу Amazon.com. Более того, пользователи, чьи учетные записи были взломаны, не подозревали, что что-то могло произойти.
Атаки «человек в облаке» (MITC) приобретают широкую известность как наиболее заметная новая угроза, с которой сталкиваются облачные системы. MITC атакует облачные системы хранения, и эта уязвимость является довольно инновационной, поскольку они потенциально предоставляют хакерам доступ к данным из таких систем, как Dropbox или OneDrive, посредством их синхронизации, не требуя от них наличия учетных записей пользователя.
6. Атаки с внедрением вредоносного ПО
Вредоносные программы, маскирующиеся под «действительный код», которые злоумышленники вводят для выполнения в облачных службах. Этот код рассматривается облачной системой как часть обычного служебного кода программного обеспечения и поэтому выполняется с катастрофическими результатами.
7. Системные уязвимости
Системные уязвимости из-за воздействия сторонних приложений обычно являются многочисленными источниками проблем для служб облачных вычислений, особенно со сложной инфраструктурой. Внедрение стороннего программного обеспечения практически невозможно избежать при разработке программного обеспечения, и организации, которые внедряют эти сторонние приложения, не имеют никакого контроля над их исходным кодом.
В результате, как только уязвимости этих третьих сторон обнаружены, их можно легко использовать в качестве оружия против компаний, которые их используют.
8. Недостаточная должная осмотрительность
Неадекватное выполнение комплексной проверки — это в основном нетехнический фактор, ориентированный на людей. Это похоже на инсайдерские угрозы из-за халатности сотрудников, представленные ранее. Эта проблема обычно представляет собой проблему безопасности, когда компании переходят в облако слишком быстро и не имеют четкого плана действий.
9. Небезопасные API
Интерфейсы прикладного программирования (API) — это вычислительные интерфейсы или программные посредники, которые определяют и обеспечивают взаимодействие между несколькими программными приложениями.
В контексте облака они позволяют как пользователям, так и персоналу настраивать некоторые функции облака в соответствии с нормативными требованиями, соответствовать потребностям бизнеса, обеспечивать аутентификацию, шифрование и множество других требований. Хотя цель API-интерфейсов состоит в том, чтобы предоставить более качественное обслуживание тем, кто их развертывает, некоторые из них больше ориентированы на потребности бизнеса, а не на обеспечение их безопасной разработки.
Следовательно, эти небезопасные API-интерфейсы являются настоящим источником риска, который может оказаться катастрофическим при разработке для чувствительных или критически важных приложений, таких как финансовые услуги.
Методы защиты от угроз
Безопасность должна быть одним из основных моментов, который следует учесть при выборе поставщика облачной безопасности, но не стоит забывать о том, что безопасность находится в ваших руках. Часто в интернете всплывает слитый контент звёзд (Дзюба, прости), но такое может произойти со всеми. Вот несколько принципов, предоставленных лабораторией Касперского, которым вы можете следовать, чтобы обезопасить себя:
Никогда не выставляйте настройки по умолчанию без изменений. Использование настроек по умолчанию дает хакеру прямой доступ к данным. Таким образом, вы усложните путь хакера к вашей системе.
Никогда не оставляйте корзину облачного хранилища открытой. Открытая корзина может позволить хакерам увидеть контент, просто открыв её URL-адрес.
Если поставщик облачных услуг предоставляет вам средства управления безопасностью, которые вы можете подключить, то используйте их. Если выбрать неправильные параметры безопасности, то можно поставить под угрозу свои данные.
Базовые советы по кибербезопасности также должны быть встроены в любую облачную реализацию. Нельзя игнорировать стандартные методы кибербезопасности, даже если вы используете облако.
Заключение
Облако и связанные с ним программные сервисы охватывают интернет-платформы, которые обеспечивают хранение данных, безопасность данных, приложения с повышенной гибкостью и возможностью совместной работы.
Глобальное внедрение облачных технологий происходит стремительными темпами. Причины такой массовой миграции заключаются в том, что организации хотят воспользоваться такими преимуществами, как более низкие фиксированные затраты, удобство автоматического обновления программного обеспечения, свобода от централизованного размещения, что, в свою очередь, способствует удаленной работе, наряду с улучшением сотрудничества и гибкости.
Однако преимущества облачных услуг ограничиваются проблемами безопасности, связанными с использованием и развертыванием облака. Таким образом, понимание рисков, связанных с использованием облака, и способов их снижения, имеет первостепенное значение для компаний и частных лиц, которые хотят получить максим преимуществ от облачных технологий.