Атаки на облачные сервисы и технологии защиты от них
Облачные сервисы становятся всё более популярными, поскольку позволяют перевести на аутсорсинг наиболее затратные статьи развёртывания собственных ИТ-систем предприятий, упростить и удешевить ввод новых функций и услуг, сократить штат ИТ-подразделения предприятия и в корне изменить его статус. Из обслуживающей единицы ИТ-отдел становится участником основного бизнеса.
Однако облачные сервисы несут немало угроз информационной безопасности предприятия, и провайдеры стараются защитить данные своих клиентов. Прежде чем переводить на облачный аутсорсинг свои бесценные информационные активы, предприятию лучше оценить степень ИБ, которую может предоставить облачный провайдер. Как говорится, на провайдера надейся, но и сам не плошай. Не стоит слепо доверять декларациям продавца облачных сервисов.
Прежде всего, нужно задать провайдеру ряд вопросов и по возможности получить на них исчерпывающие ответы. Чтобы понять, что именно спрашивать, давайте посмотрим, какие угрозы для ваших данных и систем могут существовать в облаке и какие есть средства защиты.
Атаки в облаке могут быть внешними и внутренними. Для защиты от внешних атак используются следующие средства.
- Межсетевой экран (Network Firewall, или «фаерволл») – элемент сети, осуществляющий контроль и фильтрацию проходящего через него трафика в соответствии с заданными правилами. В функционал межсетевого экрана входит ограничение доступа извне к внутренней сети, разграничение доступа пользователей защищаемой сети к внешним ресурсам. Спросите у провайдера, какой именно «фаерволл» он использует – сетевой фильтр (самый простой) или межсетевой экран второго поколения (stateful firewall).
- Экран для защиты веб-приложений WAF (Web-application Firewall). Его не надо путать с обычным «межсетевым экраном» (network firewall) или «системой предотвращения вторжений» IPS. Веб-приложения отличаются от обычных тем, что они располагаются в облаке, а не в собственной ИТ-системе предприятия. Они работают через Интернет и активно обмениваются данными, которые можно перехватить. Это создаёт ряд угроз, с которыми традиционные межсетевые экраны не справляются. Бòльшая часть атак на корпоративные сети в облаке осуществляется именно через веб-приложения. WAF, защитный экран для приложений, передающих данные через протоколы HTTP и HTTPS, должен обеспечивать сигнатурный анализ атак, автоматическое обучение, поведенческий анализ, защиту данных пользователей, сканерование уязвимостей, виртуальный патчинг, корреляционный анализ последовательностей атак.
Системы обнаружения вторжений IDS (Intrusion Detection System) и системы предотвращения вторжений IPS (Intrusion Prevention System). В функционал IPS/IDS входит выявление различных видов сетевых атак. При этом системы IPS/IDS, в отличие от межсетевого экрана, осуществляют так называемый «глубокий анализ пакетов DPI» (Deep Packet Inspection). Они также должны обнаруживать открытые порты, попытки неавторизированного доступа через них, искать вредоносные программы. Средства IPS/IDS должны предоставлять отчёты о найденных угрозах с оценкой их критичности и рекомендациями по их устранению.
- Система единого управления угрозами UTM (Unified Threat Management) или межсетевые экраны нового поколения NGFW (Next Generation Firewall). Это примерно одно и то же, их функционал практически совпадает. Эти программные средства объединяют функции антивируса, IDS/IPS, пакетного фильтра, VPN-шлюза и другие в одном устройстве.
- Неплохо также провести тестирование облачной системы провайдера на преодоление защиты (penetration testing, «пентест»), то есть моделирование атаки извне с целью выявления «слабых» мест в облачной ИТ-инфраструктуре.
Внутренние угрозы – это, прежде всего, вирусы в облачной ИТ-системе (они, конечно, не сами заводятся в облаке, а попадают в систему извне, но если их не удалось выявить вышеописанными средствами, будем считать их внутренними). К внутренним угрозам также следует отнести различные возможности для утечек информации.
Для защиты от внутренних угроз используются следующие средства:
- Программные средства антивирусной защиты. Эти средства используются для обнаружения и блокировки вирусов, других вредоносных программ, которые могут повредить данные, похитить их или сделать непригодными для использования. В функционал антивирусов входит сканирование на наличие вирусных сигнатур (фрагментов кода вирусной программы), сканирование подозрительных команд и программ и т.д., а также их блокировка и деактивация. Антивирус необходимо постоянно поддерживать в актуальном состоянии, т.е. обновлять базу данных возможных сигнатур вирусов. Это входит в обязанности облачного провайдера, и, если он этого не делает, переговоры о сотрудничестве с ним можно прекращать.
- Средства для предотвращения утечек DLP (Data Leak Prevention). Эти программные или программно-аппаратные средства защищают от возможных утечек конфиденциальных данных из информационной системы. DLP-системы строятся на основе анализа потоков данных, пересекающих границу (периметр) ИС. При обнаружении в этом потоке конфиденциальной информации, которую нельзя передавать вовне, должна срабатывать блокировка передачи сообщений. В функционал DLP входит контроль доступа к системе, запись и передача администраторам облачной ИТ-системы заказчика логов (журналов) событий.
- Различные средства (устройства, приборы, технические системы) для защиты информации. В их функционал входит создание доверенной среды, контроль подключения внешних устройств, разграничение прав доступа, контроль целостности операционной системы и т.д.
Существуют также общие средства защиты как от внутренних, так и от внешних атак:
- Средства обеспечения безопасности информации и управления событиями SIEM (Security Information and Event Management). Система SIEM должна собирать, анализировать и представлять информацию из сетевых устройств и устройств безопасности. В SIEM входят приложения для управления идентификацией и доступом, инструменты управления уязвимостями и базы данных и приложений. SIEM должна иметь возможность в реальном времени отправлять предупреждения на основе предварительных настроек, генерировать отчёты и собирать события для последующего аудита. Необходима также опция просмотра данных с разным уровнем детализации.
- Кроме того, облачный провайдер должен обладать определённым набором организационно-распорядительной документации (ОРД), включая сертификаты по ИБ. И чем она детальнее и конкретнее, тем лучше.
Следует отметить, что для защиты ИТ-системы в облаке необходимо применять комплексные решения, а не какой-то один из описанных выше способов.
Важно соблюдать и элементарные средства «информационной гигиены». Любые новейшие средства WAF, IPS/IDS, межсетевые экраны и т.д. будут бессильны перед злонамеренными или просто беспечными действиями сотрудников предприятия. Если сотрудник записал свой пароль на листочке и приклеил его на монитор, инсайдеру обеспечен доступ во внутреннюю ИТ-инфраструктуру компании. Это самый простой пример. Никакие WAF и SIEM не помогут и в случае, когда сотрудник записывает конфиденциальную информацию на «флешку» либо другой носитель и уносит домой, желая поработать сверхурочно.
В отдельных странах для госслужащих выработаны правила по информационной безопасности. К примеру, в Австралии регламент предусматривает несколько десятков позиций, в том числе обязательное обновление антивируса, запрет на использование посторонних флешек, регулярную смену пароля и т.п. Статистика показывает, что соблюдение только нескольких первых пунктов уже помогает предотвратить до 80-90% инцидентов информационной безопасности. Таким образом, дисциплина – это основной фактор обеспечения ИБ, а технические средства – важное дополнение, необходимое для контроля внешнего и внутреннего периметра.
Мурад Мустафаев,
руководитель ИБ-службы компании «ОНЛАНТА» (ГК ЛАНИТ)
Опубликовано 13.11.2018