Сложные схемы и теневые ИТ-ресурсы – главные враги информационной безопасности облаков

26.06.2020
Сложные схемы и теневые ИТ-ресурсы – главные враги информационной безопасности облаков

В чем заключаются основные слабости облачных платформ, которые так привлекают хакеров? Исследование на эту тему провела компания IBM. 

Основные тенденции:

  • Использование пользователями множества разрозненных облачных сервисов от различных провайдеров (также, по данным IDC, более трети компаний используют по 30+ разных облачных ресурсов). Это порождает проблему «теневых ИТ», когда полный перечень ресурсов, в том числе имеющих доступ извне, не известен ИБ-специалистам компании.

  • Более половины респондентов отметили, что полностью полагаются в вопросах безопасности на провайдеров услуг. При этом исследователи утверждают, что наиболее распространенный путь киберпреступников для компрометации облачных сред – через облачные приложения. А это уровень ответственности пользователя облачных услуг. Этот вектор составляет 45% инцидентов, соответствующих тематическим исследованиям IBM X-Force Incident Response and Intelligence Services (IRIS). В таких случаях киберпреступники используют ошибки конфигурации (до 85% известных инцидентов ИБ в облаках связаны именно с ними), уязвимости в приложениях, которые часто остаются незамеченными из-за того, что сотрудники самостоятельно устанавливают новые облачные приложения вне утвержденных процедур.

  •  Восприятие обеспечения информационной безопасности как ответственность провайдера наблюдается у 73% респондентов-пользователей SaaS (приложения) и 42% пользователей IaaS (инфраструктура).

  • Усложнились сами атаки. Наиболее часто наблюдаемое вредоносное действие – это кража данных. При этом в целом результат атаки может быть более широкий: при заражении вирусом-вымогателем или шифровальщиком облачные ресурсы используются как точка входа для таких атак или для установки криптомайнеров. 

Эксперты Angara Professional Assistance отмечают, что теневые ИТ являются проблемой не только облаков, но любой ИТ-сферы компании. Неинвентаризованные сервисы наблюдались нами и на периметрах классических и гибридных инфраструктур. Одно дополнительное подключение к открытой сети, не защищенное межсетевым экраном, может стать источником проблем для всей инфраструктуры.

Выявление теневых ИТ можно осуществить с помощью различных решений на разных уровнях:

  • Использование для сканирования сетевых и пользовательских устройств и построения фактической карты по действующим настройкам оборудования решений по управлению информационной безопасностью:

                 o   SkyBox Security Suite,

                 o   Tufin Orchestration Suite,

                 o   Algosec Security Management,

                 o   Huawei eSight,

                 o   SolarWinds Orion,

                 o   Cisco Prime

  • Использование EDR решений для контроля пользовательских устройств и «лишних» каналов связи.

  • Использование средств сканирования и инвентаризации, например, MaxPatrol X.

Для облачных ресурсов существуют специализированные решения, одной из задач которых является инвентаризация и сканирование данных на пользовательском уровне. В случае с SaaS используются Cloud Access Security Brockers (CASB). Для PaaS или CaaS – решения Cloud Workload Protection Platform (CWPP). С бессерверными приложениями или FaaS пользователь может использовать статический анализ кода и API Gateway.