Топ-6 ошибок безопасности при работе с облаком: уменьшаем риски

Топ-6 ошибок безопасности при работе с облаком: уменьшаем риски

Безопасность — главный компонент любой облачной среды. Популярность облачных ресурсов растёт с каждым годом, а с ней повышаются и риски утечки персональных данных. Поставщики облачных услуг с каждым годом совершенствуют свои системы безопасности, но киберпреступники не дремлют и стремятся использовать быстро расширяющийся фронт атаки. Есть ли способы избежать кибернападений и защититься от облачных угроз?

 

 

 

  1. Введение
  2. Открытые порты в инфраструктуре
  3. Некриптостойкие пароли
  4. Отказ от шифрования данных в облаке
  5. Отказ от маскирования данных
  6. Отказ от использования бэкапов
  7. Отказ от использования специализированных облачных средств защиты
  8. Выводы

Введение

Каждый второй пользователь корпоративных облачных сервисов задаёт вопрос: «Почему я должен быть уверен, что провайдер не передаст мои данные злоумышленникам?». Но, как показывает практика, такие ситуации — из области фантастики. Эксперты «Лаборатории Касперского» утверждают: 9 из 10 утечек из облака происходят из-за человеческого фактора и по вине самих пользователей.

Чтобы развенчать старый миф о приоритете локальных сред над облачными в вопросах безопасности, разберём типичные ошибки клиентов облачных провайдеров, вызывающие львиную долю инцидентов. По опыту свыше 2000 облачных проектов можем сказать, что в основном различные инциденты происходят из-за человеческого фактора: как правило, это — невнимательность или незнание базовых принципов работы с данными.

Ниже представлены 6 самых распространённых ситуаций, связанных с рисками для информационной безопасности, которые между тем легко предотвратить. Давайте разберёмся, смогут ли облачные хранилища стать заменой физическим носителям, как пользователям защитить свою информацию, находящуюся в «облаке», а также можно ли считать облачные сервисы безопасными.

Открытые порты в инфраструктуре

Сканирование таких портов киберпреступниками происходит непрерывно и автоматизированно с целью взлома и получения дополнительных мощностей или создания ботнетов для последующих DDoS-атак. Поэтому даже никому не нужная (казалось бы) изолированная «учётка» в облаке для администраторов-стажёров, в которой они учатся запускать виртуальные машины, может однажды пригодиться хакерам.

Совет: следите за тем, чтобы серверные и сетевые порты были закрыты, ограничивайте возможность подключения к ним.

Некриптостойкие пароли

Взлом простого пароля типа «девичья фамилия матери» у злоумышленников занимает в среднем не более недели — и это в том случае, если обнаружение такого пароля не входит в их планы. Если же организована целенаправленная охота, счёт идёт на часы и минуты. Часто плохая парольная защита становится причиной глобальной утечки и может нанести непоправимый вред репутации компании. Так, в 2019 году из-за открытого доступа к базе данных BioStar 2 скомпрометированными оказались биометрические данные, которыми пользуются 5700 организаций по всему миру.

Совет: используйте сложные пароли, а ещё лучше — двухфакторную аутентификацию (2FA) для укрепления защиты данных.

Отказ от шифрования данных в облаке

Зашифрованные данные — это груда мусора для киберпреступников, так как декодирование занимает годы. В облаках крупных провайдеров используются защищённые криптоканалы; это может обезопасить от перехвата информации, но не всегда даёт стопроцентную гарантию отсутствия утечек, так как самое узкое место находится вне облачного периметра — в локальной инфраструктуре клиента, куда заказчик может переносить данные.

Совет: шифруйте данные и используйте на локальных рабочих местах проверенные средства защиты: системы предотвращения утечек, антивирусы.

Отказ от маскировки данных

В большинстве случаев ситуации, когда в открытом доступе оказываются базы данных пользователей, обусловлены некорректной работой с тестовыми слепками этих баз. Их используют для разработки информационных сервисов. В этом нет ничего криминального, исключая те случаи, когда реальные данные граждан не маскируют, то есть не заменяют исходную информацию на набор ничего не значащих символов.

Совет: при разработке приложений и клиентских сервисов всегда подменяйте реальные данные фиктивными.

Отказ от использования бэкапов

Резервное копирование в облаке — это дополнительные затраты. Иногда они могут вдвое увеличить стоимость облачных услуг. По этой причине многие клиенты отказываются от резервирования данных и потом очень огорчаются, когда не получается восстановить их после случайного удаления. На самом деле существует множество различных схем — фактически на любой кошелёк. Это может быть и бэкап у другого провайдера, и резерв в локальной инфраструктуре с безопасным каналом к ЦОД, и площадка типа «active-active» с непрерывной репликацией на базе облачных дата-центров.

Совет: плохой бэкап лучше никакого бэкапа. Резервируйте свои данные.

Отказ от использования специализированных облачных средств защиты

Помимо традиционных решений предлагаются сервисы для защиты от специфичных облачных угроз. Например, это может быть сервис мониторинга облачной инфраструктуры в формате ПО, которое не нужно устанавливать на «железо». Существуют также технические средства для сохранения целостности конфигураций. Они применяются, например, для защиты персональных данных 1-й и 2-й категорий в частном облаке. Система блокирует несанкционированные операции, и доступ к данным восстанавливается только после обращения к администратору дата-центра. После того как администратор получит обоснование от руководства компании, он перезагрузит оборудование.

Совет: помимо стандартных средств защиты всегда используйте специализированные облачные решения.

Выводы

Облако облаку рознь. Поэтому нельзя исключать, что некий провайдер примет не все меры по защите информации, так что утечки, DDoS-атаки, уничтожение данных произойдут именно по его вине. Однако у большинства крупных поставщиков услуг действует сложная, многоступенчатая система обнаружения и предотвращения инцидентов — начиная с уровня физического доступа в ЦОД и заканчивая регламентной документацией, в которой фиксируются все технические и организационные аспекты работы в облаке. Проверить это вполне легко. Нужно лишь запросить сертификаты, подтверждающие соответствие инфраструктуры самым строгим российским и международным требованиям по безопасности. Такими документами могут быть стандарты ISO 27001 и PCI DSS. Второй из указанных сертификатов хотя и обязателен только для компаний, осуществляющих платёжные транзакции, но может охарактеризовать облачную платформу как максимально надёжную. В этом документе прописываются требования к защите на каждом из уровней инфраструктуры и процедуры проверки платформы на изолированность виртуальных сред — пентесты.

В идеале такие проверки на уязвимость с участием независимых «белых хакеров» должны проводиться не реже двух раз в год. В свою очередь, для компаний, работающих с персональными данными клиентов и сотрудников, актуальны заключения о соответствии облака требованиям федерального закона № 152-ФЗ. Для получения таких заключений провайдеру также необходимо провести специальный аудит и доказать, что приняты все организационные и технические меры для обеспечения корректного и безопасного процесса хранения и обработки персональных данных. Наконец, провайдер, заключая контракт с клиентом, подписывает SLA и соглашение о конфиденциальности. В них он обязуется в том числе обеспечить защиту данных, а при невыполнении этих требований отвечает головой — и финансово, и репутационно. Оператор облачных услуг, готовый предоставить клиенту все указанные документы, фактически гарантирует, что в его облаке риски для информационной безопасности сведены к нулю.

Полезные ссылки: 
Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru