Алексей ЛУКАЦКИЙ: «Про безопасность доступа к облакам мало кто беспокоился»

25.07.2021Автор Евгений Курышев
С конца прошлого года, когда схлынула первая волна, многие компании начали задумываться о трансформации собственных инфраструктур и внедрении концепции «доступ отовсюду», а не только с удаленных рабочих мест.

Алексей ЛУКАЦКИЙ, бизнес-консультант Cisco по информационной безопасности, отвечает на вопросы редактора IT News Евгения Курышева.

Что изменилось в сегменте облачной безопасности за последний год, если отсчитывать его с первых коронавирусных ограничений весной 2020 года?

Я бы отметил два аспекта, которые связаны с изменением рынка безопасности «из облака» и безопасности «для облака». Первый аспект связан с тем, что сотрудники перешли на удаленный режим работы. Соответственно, зачастую они используют личные компьютеры, на которые нельзя установить средства защиты. Единственным способом отслеживать, что происходит на компьютере пользователя, является мониторинг его интернет-трафика. Мониторить его можно двумя способами: либо перенаправлять весь трафик на корпоративный периметр, который может не справиться с возросшим объемом трафика, либо перенаправлять его на специальный облачный защитный шлюз, который сейчас обозначается аббревиатурой SASE (Secure Access Service Edge). Ярким примером этого подхода является Cisco Umbrella SASE. Облачный шлюз фильтрует все, что идет от пользователя либо к пользователю, в том числе и вредоносный трафик, который может появиться у пользователя в результате компрометации его компьютера и установки вредоносных программ. Блокируются фишинговые сайты, ссылки, которые приходят по почте, через мессенджеры или соцсети, вредоносные программы, требования выкупа, соединения с командными узлами злоумышленников и т. п. Также можно контролировать, какие сайты посещают сотрудники, и блокировать доступ к ресурсам, не нужным для выполнения служебных обязанностей. Сегмент «безопасности из облака» за последний год достаточно подрос и продолжает расти двузначными числами. Второй аспект связан с безопасностью «для облака», поскольку многие компании в условиях пандемии стали переходить на различные облачные сервисы. Как следствие, возникают те же самые задачи, связанные с мониторингом происходящего, но если в своей инфраструктуре, в своем ЦОДе мы можем без проблем установить любые средства защиты, то в чужой инфраструктуре это сделать сложно. В таких условиях растет емкость сегмента решений класса CASB (Cloud Access Security Broker). Его примером является Cisco Umbrella Cloudlock – решение, которое позволяет контролировать все, что происходит на чужих облачных платформах, особенно если они построены по модели SaaS (Software as a Service). С его помощью можно мониторить попытки подбора пароля, утечки информации, несанкционированного доступа к данным, подмены пользователей и т. д. Если компания в рамках перехода к облачным сервисам использует модель не SaaS, а IaaS (Infrastructure as a Service), то в этом случае могут применяться традиционные средства безопасности, имеющие свою облачную или виртуализированную версию, которую можно развернуть в упомянутых облаках, а также в российских облаках, – так, как мы делали с Cisco ASAv, виртуальным файерволом, который может быть развернут не только в традиционных облаках AWS, Azure или GCP, но и, например, в Yandex Cloud.

Многие компании вынужденно перешли на удаленную работу полностью или частично. Это колоссальный эксперимент, непосредственно связанный с облачными технологиями и ИБ. Каковы его предварительные результаты?

Результаты, как показывает статистика, положительные, хотя очень многие компании переходили на удаленный формат работы в авральном режиме, и их безопасность строилась преимущественно в отношении безопасности удаленного доступа к корпоративной инфраструктуре с помощью VPN-решений. Про безопасность доступа к облакам мало кто беспокоился. С этого момента компании начали строить инфраструктуру без периметра как такового, переносить часть вычислительных мощностей в облака. Возникла потребность обеспечивать безопасность этих облаков, но я не могу сказать, что в России это уже стало мейнстримом. Да, есть убедительные примеры ухода в облачные среды, тем не менее это пока не массовое движение, учитывая, что перед компаниями иногда стоят чуть более важные задачи, чем переход в облака. Сам по себе классический удаленный режим работы, когда с помощью VPN-решений компания и ее сотрудники подключаются к ресурсам в ее ЦОДах, сценарий состоявшийся и неизменный. Более того, многие компании готовы использовать такой режим всегда в отношении некоторых категорий сотрудников или предлагать персоналу смешанный, гибридный режим работы, когда, например, три дня они находятся в офисе, а два дня работают из дома. Плюс появляется возможность мобильного удаленного доступа со смартфона или планшета, когда сотрудник находится в транспорте или посещает своих клиентов, партнеров или контрагентов. Такая работа, на мой взгляд, уже стала не просто мейнстримом, а нормой. Не зря мы говорим о «новой нормальности», и это не просто оборот речи, это действительно так.

Как изменились кибератаки и ИБ-угрозы на стыке 2020-2021 годов?

Атаки практически не изменились, потому что технологии защиты базируются на некоторых фундаментальных принципах, которые применяются в зависимости от того, где необходимо выстроить защиту. То же самое можно сказать и про киберугрозы: есть некоторое количество фундаментальных, самых популярных угроз типа фишинга, подбора пароля, атаки «отказ в обслуживании», превышения привилегий, кражи учетных записей, которые лишь немного модифицируются в зависимости от того, атакуют ли корпоративный периметр, облака, удаленное рабочее место, систему промышленной автоматизации (АСУ ТП) и т. д. Сами по себе атаки серьезно не изменились, но немного сместились акценты. Например, по данным подразделения Cisco Talos, одним из популярных способов проникновения в сети стало использование уязвимости в протоколе удаленного доступа RDP и проникновение именно через него внутрь корпоративной инфраструктуры. Усилились тенденции, связанные с фишингом, но фишинг всегда был популярным, поменялись только темы для подобных сообщений. Если раньше они касались финансовых аспектов, к примеру необходимости сменить пароль для доступа к интернет-банку, то на стыке 2020-2021-го приобрели актуальность темы, связанные с удаленным обучением и образованием, предоставлением медицинских услуг и приобретением лекарств и медицинских масок, курьерской доставкой продуктов питания и т. д. То есть атаковать стали именно через эти каналы, но в целом сами угрозы не поменялись.

Количество кибератак и взломов продолжает расти или стабилизировалось?

Что касается количественных показателей, то мы не видим снижения числа атак. Рост числа атак – это, наверное, некая тенденция, которая останется с нами. За последние 10-15 лет снижения не было еще ни разу. Возможно, меняется численность атак конкретных типов, но общее число атак растет. Нельзя сказать, связано ли число атак с ростом активности злоумышленников или с ростом автоматизации как таковой, потому что чем больше компьютеров становится, чем больше устройств подключается к Интернету, тем больше жертв от действий злоумышленников мы наблюдаем.

Подавляющее большинство компаний выделяет крайне мало средств на развитие ИБ. При этом сейчас они вынуждены чаще использовать облачные и мобильные рабочие инструменты, но при внедрении облаков тратить на ИБ нужно еще больше. Замкнутый круг. Как решать эту проблему?

Это вовсе не замкнутый круг, потому что, переходя в облака, мы высвобождаем часть инфраструктуры, которая раньше была в ведении самого заказчика. Соответственно, нам требуется меньше решений по безопасности для защиты внутренней инфраструктуры, и высвободившиеся ресурсы можно потратить, например, на обеспечение безопасности облаков. Часто между словами «безопасность» и «дорого» ставится знак равенства, но это не совсем корректно, потому что безопасность определяется не количеством решений, которые используются для ее обеспечения. Безопасность может базироваться на встроенных механизмах. Например, если мы говорим о собственной инфраструктуре, можно использовать встроенные механизмы ОС компьютеров на серверах и рабочих местах пользователей или встроенные в сетевое оборудование. Также можно использовать имеющиеся механизмы в инфраструктурах облачных провайдеров. У некоторых из них очень много встроенных механизмов защиты, которые не требуют дополнительных финансовых вложений. Поэтому очень часто безопасность можно обеспечить либо при том же, либо даже при меньшем бюджете, если правильно воспользоваться имеющимися ресурсами, инструментарием, который есть у компании. Однако часто случается, что ИБ-службы либо конфликтуют, либо не взаимодействуют с IT-подразделениями. Хотят быть независимыми от IT-инфраструктуры и поэтому создают вторую, по сути наложенную инфраструктуру, которая предназначена только для решения задач информационной безопасности. На ее построение требуется дополнительный бюджет, и именно поэтому возникает это «дорого». Здесь всегда есть выбор: либо потраченные деньги, либо доверие и объединение усилий с ИТ. Однако если мы говорим о переходе в облака, то бюджет может быть сокращен за счет экономии на решениях по безопасности для внутренней инфраструктуры. В целом не совсем корректно говорить, что бюджет на безопасность увеличивается, если мы переходим в облака. Деньги могут быть просто перераспределены правильным образом. К тому же важно разумно использовать имеющиеся встроенные механизмы, которые дают неплохой задел и рост с точки зрения уровня безопасности. Если мы вспомним, что для борьбы с 85% атак надо выполнять всего пять простейших задач: это регулярное обновление ОС, приложений и расширений к ним, устранение привилегированного административного доступа, многофакторная аутентификация и создание замкнутой программной среды, – то из этих пяти рекомендаций только одна требует внешних инвестиций. Это решения для многофакторной аутентификации. Остальные советы реализуются просто грамотной настройкой имеющегося оборудования, ОС и ПО. Одно это существенно ограничит возможности хакеров, которые обычно атакуют компании, используя уязвимости. Если эти уязвимости оперативно устранять, то и атак станет меньше, ущерб сократится, снизится потребность в дорогостоящих избыточных решениях для обеспечения ИБ. Но чем больше мы хотим приблизиться к заветной, но недостижимой цифре в 100% отражаемых атак, тем дороже будет становиться система защиты. И тут у каждой компании встает вопрос баланса ресурсов и получаемых результатов.

Как осуществлять работу с ИБ-угрозами, которые связаны в первую очередь с человеческим фактором?

Есть два кардинально противоположных подхода к решению этой задачи. Первый – повышение осведомленности самих пользователей. Он включает различные тренинги, курсы, программы в виде скринсейверов на мониторы, размещение слоганов, плакаты, висящие в местах скопления сотрудников – обеденной зоне и т. д. Все эти меры направлены на то, чтобы повысить уровень осведомленности сотрудников в области безопасности и заставить их на подсознании думать о правильном ИБ-поведении. А различные инфраструктурные инструменты типа фишинговых симуляций или киберучений направлены на то, чтобы не только научить сотрудников распознавать угрозы, несанкционированные действия или даже попытки реализации угроз, но и на то, чтобы борьба с этими угрозами стала частью некоего генетического кода сотрудника. Речь идет о формировании культуры, то есть не только знаний, но и навыков безопасного поведения. Естественно, что такого рода мероприятия, во-первых, не дают очень быстрого эффекта, как любое изменение культуры и навыков, а во-вторых, мы должны понимать, что большинство зарабатывает не тем, что выполняет требования по безопасности. Более того, нарушая требования, многие получают возможность выполнять какие-то действия быстрее, а, значит, быстрее достигать своих основных целей, за которые им платят зарплату. Поэтому вторым подходом, который должен быть реализован вкупе с повышением осведомленности, является внедрение технологических мер, предусматривающих отсутствие доверия к пользователю, даже привилегированному. Это так называемая концепция нулевого доверия – zero trust, которой придерживается компания Cisco. В рамках этой концепции мы не доверяем пользователям (а также всем остальным компонентам инфраструктуры, считая их изначально скомпрометированными), даже если они вводят правильные логины и пароли. Мы изначально исходим из того, что под маской пользователя может работать злоумышленник, поэтому всегда проверяем все действия, которые он осуществляет. В условиях непрерывной проверки возрастает роль инструментов, которые контролируют поведение сотрудника или клиента, если мы говорим, например, об интернет-банке. Мы сравниваем текущее поведение с неким эталонным поведением. Если, например, сотрудник никогда не пытался получить доступ к ресурсам бухгалтерии, то такая попытка рассматривается как аномалия и должна либо блокироваться, либо требовать отдельного подтверждения. Если сотрудник, например, неожиданно решил скачать с какого-то сайта обновление ПО, это аномалия, и ее надо блокировать или просить отдельного подтверждения. Если сотрудник, который обычно работает с 10 до 18 часов внутри офиса либо на рабочем компьютере, в 12 ночи попытался подключиться к внутренним или внешним ресурсам, и это не бухгалтер, который сдает годовую отчетность, то это аномалия. Она должна купироваться технологиями безопасности. Именно для того, чтобы выявлять такого рода аномалии, чтобы контролировать поведение и сотрудников, и приложений, и узлов и т. д., нужны специальные технологии, которые дополняют, а иногда и меняют работу с персоналом. Для достижения максимального эффекта и технические меры, и меры, связанные с повышением осведомленности, должны работать вместе.

Традиционные ИБ-решения не всегда способны решать вопросы облачной безопасности. Как лучше подходить к решению этой проблемы – путем разработки специализированных облачных ИБ-решений или с помощью оснащения классических инструментов дополнительными модулями и возможностями?

Используются три подхода для решения этой задачи. Первый заключается в том, что классические решения по безопасности реализуются в виде своих виртуализированных версий, которые могут размещаться в облачных средах. Особенно если речь идет об облаках по модели IaaS либо PaaS. В этом случае можно использовать традиционные межсетевые экраны, системы разграничения доступа, системы предотвращения вторжений, которые просто работают на базе виртуальной машины или контейнера, которые размещаются в облаке и контролирует все, что в нем происходит.

Вариант номер два – к примеру, если мы говорим об облаках по модели SaaS. В этом случае мы не можем ничего поставить в облачную среду. Приходится рассчитывать только на возможности по защите, которые нам дает облачный провайдер. Однако есть возможность мониторить то, что происходит в облаке, и для этого нужны отдельные решения класса CASB или решения класса CDR (Cloud Detection and Response), задача которых мониторить именно те атаки или иные нарушения, которые происходят в облаке. Обычно это специализированные решения, разработанные под облака.

И, наконец, третий подход – оснащение существующих решений дополнительной функциональностью для поддержки облачных сред. Например, решения класса SIEM, оснащенные дополнительными модулями, которые подключаются к облакам и могут собирать события безопасности с облачных сред для выявления в них различных аномалий или несанкционированных действий. Или решения класса Identity Management, например решения Cisco DUO, которые могут проводить аутентификацию пользователей в корпоративной среде, удаленных пользователей, а также сотрудников, которые подключаются к облачным средам. В этом случае используется тот же самый инструмент идентификации и аутентификации, который оснащен дополнительной поддержкой различных облачных сред. То есть для эффективной защиты облаков в зависимости от стоящих задач и архитектуры самого облака обычно используется либо один из трех, либо все три подхода.

Смотреть все статьи по теме "Информационная безопасность"

Похожие статьи