Кто ответит за безопасность в облаке?

Мир уходит в облако, и это неизбежно провоцирует большее количество инцидентов безопасности с данными в cloud-среде. Правда ли, что в публичных облаках вероятность атак выше и что нужно знать компаниям про безопасность в облаке, TelecomDaily разбирался вместе с экспертами.

Когда мы спросили экспертов по облачной безопасности про самый громкий ИБ-скандал минувших месяцев, многие с ходу назвали проблему с уязвимостью в Microsoft Azure. Как заявили аналитики, уязвимость использовалась как минимум несколько месяцев, а, возможно, и лет, что поставило под угрозу корпоративные данные нескольких тысяч компаний. Достоверных сведений о том, кто мог пострадать в результате, по-прежнему нет, но благодаря «бреши» злоумышленники могли изменять или удалять конфиденциальную информацию.

Инцидент, произошедший в июле 2021 года с поставщиком ИТ-решений и облачных услуг Cloudstar, сказался на деятельности сотен компаний-клиентов, так как из-за атаки им пришлось отключить практически все свои сервисы. При этом часть экспертов, опрошенных TelecomDaily, считает, что чаще атакуют тестовые среды, где критических данных нет и потому их защищают не так активно.

Яна Юракова, аналитик Positive Technologies, также назвала примечательный случай с облачным поставщиком Blackbaud. В мае 2020 года компания была атакована распространителем программы-вымогателя: данные клиентов были скомпрометированы. В итоге Blackbaud была привлечена к ответу в суде по 23 групповым искам. «В качестве последствий от реализации атак могут выступать не только утечки данных клиентов, но и сами компании могут страдать из-за недоступности сервисов», — говорит Яна.

В чем риски?

Поскольку растет количество критической для бизнеса информации в облаке, говорит Ярослав Камыс, исполнительный директор Liberum Navitas, в ближайшем будущем такие атаки могут стать экономически оправданными.

Директор ИБ-департамента компании Rubytech Дмитрий Романченко утверждает, что концентрация систем увеличивает информационный риск. «Когда злоумышленник замышляет атаку, выбирает цель, то оценивается выигрыш в случае успешной атаки (или прямой доход) против ее сложности и стоимости. Когда цель единичная, доход понятен. Когда несколько систем в облаке, доход потенциально суммируется, а удельные затраты на каждую систему падают», — пояснил он.

Таким образом, цель в облаке становится более привлекательной и более дешевой, утверждает Дмитрий Романченко. Второй фактор роста атак, по его словам, это отраслевая специфика в отношении конкретных систем. «При размещении различных по отраслевой привязке систем в облаке коллаборация различных по профилю злоумышленников становится неизбежной, что увеличивает мощь атаки», — пояснил он.

Если одна хорошо защищенная и оснащенная система до перевода в облако могла выдержать атаку единичного злоумышленника, то облако, скорее всего, рухнет перед скоординированной атакой сообщества злоумышленников, осуществляемой по множеству векторов, считает эксперт Rubytech.

Какова вероятность такой атаки?

Мы попросили облачных провайдеров оценить вероятность такой массированной атаки. Эксперты высказали разные мнения. «Облако провайдера — это не банковское золотохранилище, в котором можно подобрать ключ от сейфа и выкрасть ценности. Здесь нет единого инструмента, чтобы взломать всю инфраструктуру и получить доступ к данным разных клиентов», — говорит Сергей Зинкевич, директор по развитию бизнеса «Крок. Облачные сервисы».

Он согласен с тем, что атаки зачастую целенаправленные: злоумышленники ищут незакрытые порты или виртуальные машины с легкими паролями. В этих случаях под удар попадает не весь пул облачных заказчиков, а отдельные клиенты, которые «недостаточно ответственно» подошли к вопросу защиты своих сервисов. Это подтверждается данными «Лаборатории Касперского»: 9 из 10 инцидентов в облаке происходит из-за человеческих ошибок.

Провайдеры на своей стороне относятся к защите данных с повышенной бдительностью. «Ключевое отличие в том, что большинство провайдеров целенаправленно выстраивают защиту от DDoS-атак, поскольку часто им подвергаются», — считает Александр Иванников, директор по развитию mClouds.ru.

Максим Захаренко, генеральный директор «Облакотека», говорит, что у провайдеров есть утвержденный пул подходов к обеспечению ИБ: без них невозможно получить сертификат. А вот реализация отличается от компании к компании, при этом меняются как средства защиты, так и непосредственно архитектура. «Так что говорить, что кто-то может поставить взлом облачных провайдеров «на поток», не приходится. Таких инцидентов ни в РФ, ни в мире нет», — говорит Максим.

Есть и еще одно обстоятельство, про которое упомянул Евгений Суханов, директор департамента ИБ Oberon: хакеры могут атаковать конкретного облачного поставщика, чтобы уронить его репутацию. «На практике сложные многовекторные атаки на облачные инфраструктуры являются целевыми и направлены на компрометацию конкретного поставщика услуг. В большинстве случаев они проводятся для того, чтобы получить большие объемы данных клиентов», — пояснил он.

Архитектор по облачной безопасности Oracle Олег Файницкий рассказал, что в прошлом году действительно были случаи эксплуатации брешей в специализированных решениях управления серверами. «Так называемые supply-chain атаки направлены как раз на использование инфраструктуры сервис-провайдера, чтобы получить данные его клиентов. Однако даже чаще хакеры пытаются найти уязвимости и в общих решениях, которые встречаются и в корпоративной среде, и у облачных провайдеров», — пояснил он.

На самом деле любая атака может стать причиной утечки данных большого количества компаний, если не принимать специальные меры для их защиты, говорит эксперт Oracle. Показательным примером может служить атака на компанию SolarWind в декабре 2020 года. Группировка REvil провела хитроумную работу и больше года готовилась к заражению инфраструктурного ПО, которое используют тысячи клиентов. В результате пострадало более 17 тысяч компаний, в том числе и облачных провайдеров. Как следствие, злоумышленники получили доступ к данным их клиентов.   

Существует ли отраслевая специфика атак?

Этот вопрос экспертам мы задали отдельно. Специалисты полагают, что средства атаки в большинстве случаев подбираются не исходя из отрасли, а исходя из тех сервисов, которые потенциально могут быть уязвимы.

«Выбор вида атаки преступником не коррелирует с отраслевой специализацией провайдера», — говорит Сергей Зинкевич из «Крок». Например, на рынке работают поставщики IaaS-услуг в разных ценовых сегментах: низком, среднем и высоком. Но все одинаково озабочены вопросами информационной безопасности, и нельзя провести прямую параллель между защищенностью облака и спецификой деятельности провайдера и его целевой аудиторией.

«Каждый провайдер строит  инфраструктуру по своей архитектуре и часто с разработкой собственного системного и прикладного программного обеспечения. Инструменты атаки не сильно зависят от отрасли», — полагает и Антон Ведерников, руководитель группы разработки ИБ-сервисов Selectel

Сергей Забула, руководитель группы инженеров Check Point Software Technologies, также отметил, что в большинстве случаев атаки направлены не на саму облачную платформу, а на приложения, которые клиенты используют в своих облачных инфраструктурах. Может ли такая атака бить сразу в несколько целей?

К примеру, основной угрозой для электронной почты остается фишинг и доставка вредоносных файлов, веб-приложения атакуют по векторам из OWASP Top 10, терминальные сервера через уязвимости в протоколе RDP и так далее. «Отраслевая специализация, безусловно, есть, но характерна она скорее не для облачных провайдеров, а для клиентов – специфики их бизнес-процессов и готовности переносить в облачные среды те или иные информационные системы и сервисы», — пояснил Сергей Забула.

«Ресурсы разных клиентов облачного сервиса изолированы друг от друга, поэтому доступ к информации сразу нескольких потенциальных «‎жертв» маловероятен», — заявил Сергей Зинкевич. В то же время разными клиентами используется схожий набор серверного ПО, что дает злоумышленникам возможность исследовать доступные извне ресурсы на наличие уязвимостей, и атаковать большое количество организацией одновременно, до установки патчей, закрывающих уязвимость.

Как себя обезопасить?

Провайдеры предлагают компаниям разделить с ними ответственность за обеспечение безопасности данных и внимательно посмотреть, какие меры реализуются для этого на стороне клиента. Сам факт размещения данных в защищенном облаке еще не означает, что уязвимость на стороне самой компании не приведет к взлому. Кроме того, инфраструктуру в облаке нужно воспринимать как живой организм. Она растет и видоизменяется, так что средства защиты также должны подстраиваться под масштаб и специфику инфраструктуры с учетом появляющихся рисков. В общем, руку нужно постоянно держать на пульсе вопросов ИБ.

«Самое главное – избавиться от иллюзии, что «все сделают за вас». Клиент должен помнить, что данные компании – это его важный актив, и вопросы кибербезопасности нельзя игнорировать», — полагает Ярослав Камыс, исполнительный директор Liberum Navitas.

По его словам, особое внимание необходимо уделять безопасности данных и сервисов, защите их от несанкционированного использования или похищения. Причем все данные должны быть зашифрованы, действия – выполняться строго по регламентам. «Иными словами, заказчик должен быть полноправным участником процесса обеспечения безопасности и иметь возможность контролировать все параметры своих данных и их размещения», — пояснил Ярослав. Также важно правильно выбрать облачного партнера, считает он.

Дмитрий Романченко, директор ИБ-департамента компании Rubytech, считает, что стоит придерживаться комплексного плана для реализации ИБ в облаке на стороне заказчика. Он должен включать оценку реального потенциала нарушителя, мультипровайдерность, облако должно быть поделено для размещения систем различной критичности и значимости. Также требуется декомпозиция облака по технологическим слоям с распределением управления различными слоями облака между различными провайдерами, но тем не менее действующими в соответствии с едиными техническими стандартами в рамках единых SLA.

Ответственность между провайдерами должна быть разделена. Нужно повышать доверие к каждому элементу облака путем контроля кода, сборки и деплоинга ПО, периодического аудита, pen-тестов. Наконец, идеальным вариантом будет создание единого центра кибербезопасности облака, который всем перечисленным управляет.