Новые разработки по защите облачных данных

Отчеты специалистов системного интегратора ТопВэй показывают большие различия в риске между публичными, частными и гибридными облачными развертываниями. Инженеры компании предоставили советы по инструментам, информации и организационной структуре, необходимой для реализации успешной стратегии облачной безопасности.

Переход в облако данных и услуг заставил многие компании переосмыслить подход к кибербезопасности.

Размещение большего количества ИТ-инфраструктуры в облаке является более безопасным, чем наличие ее дома или в офисе. Например, вы можете быть уверены, что в системе установлена последняя версия с исправлениями.

Поставщики облачных услуг внедряют новые возможности, например, такие, как использование машинного языка для обнаружения аномалий. Но модернизация создает новые риски, которые являются результатом недопонимания того, как управлять облачной безопасностью конкретного предприятия.

Важно знать, как облачная ИТ-стратегия компании (гибридная, частная или общедоступная) влияет на стратегию кибербезопасности фирмы и тактическое выполнение этой стратегии.

Какие конфиденциальные данные находятся в облаке

McAfee обнаружил, что из всех файлов в облаке 21% содержат конфиденциальные данные, и 48% этих файлов в конечном итоге становятся общими.

Эти конфиденциальные данные включают конфиденциальные данные компании (27%), данные электронной почты (20%), данные, защищенные паролем (17%), информацию, позволяющую установить личность (PII) (16%), данные о платежах (12%) и данные о состоянии здоровья (9%). Риск, связанный с конфиденциальными данными в облаке, растет, так как компании все больше доверяют облаку.

С таким большим количеством конфиденциальных данных в облаке и их распределением через облако, кража с помощью взлома - не единственный риск.

McAfee обнаружил, что на предприятиях работает в среднем 14 неправильно настроенных экземпляров инфраструктуры услуги (IaaS), в результате чего происходит 2200 случаев неправильной конфигурации в месяц, когда данные становятся общедоступными.

Каковы риск облачной безопасности

Данные от поставщика облачной безопасности Alert Logic показывают характер и объем риска для каждой формы облачной среды по сравнению с локальным центром обработки данных. За 18 месяцев компания проанализировала 147 петабайт данных от более чем 3800 клиентов для количественной оценки и классификации инцидентов безопасности. За это время было выявлено более 2,2 миллиона истинно позитивных инцидентов безопасности.

Наиболее распространенным типом инцидентов были атаки веб-приложений (75%), за которой следовали атаки методом перебора (16%), разведка (5%) и вымогательство на стороне сервера (2%).

Наиболее распространенными векторами для атак веб-приложений были SQL (47,74%), Joomla (26,11%), Apache Struts (10,11%) и Magento (6,98%).

Wordpress – самый распространенный вектор атаки методом перебора на 41%, затем MS SQL на 19%.

Будь то общедоступная, частная или гибридная облачная среда, угрозы веб-приложений являются доминирующими.

Как обезопасить облако

Не каждая компания переносит конфиденциальные или критически важные данные в облако, поэтому у них меньше причин менять стратегию. Тем не менее, большинство компаний мигрируют важную и закрытую информацию о компании (56%) или маркетинговые активы (53%).

По словам специалистов ТопВэй, компании должны сосредоточиться на трех основных направлениях своей стратегии облачной безопасности:

1. Инструменты - средства безопасности, которые вы развертываете в облачных средах, должны быть встроены в облако и обеспечивать защиту веб-приложений и облачных рабочих нагрузок. Технологии безопасности, разработанные для защиты конечных точек, ориентированы на набор векторов атак, которые обычно не видны в облаке, и плохо оснащены для борьбы с угрозами OWASP Top 10, которые составляют 75% всех облачных атак. Угрозы конечных точек направлены на веб-браузеры и клиентское программное обеспечение, а угрозы инфраструктуры - на серверы и платформы приложений.
2. Архитектура - определяйте архитектуру на основе преимуществ безопасности и управления, предлагаемых облаком, а не той архитектуры, которую вы используете в традиционных центрах обработки данных. Теперь есть данные, свидетельствующие о том, что чистые общедоступные среды позволяют предприятиям иметь более низкий уровень инцидентов, но это возможно только в том случае, если вы используете облачные возможности для проектирования более безопасной инфраструктуры.

Важно. Необходимо изолировать каждое приложение или микро-сервис в своем собственном виртуальном частном облаке, что уменьшает радиус любого вторжения. Часто наименее важные приложения становятся самой большой проблемой безопасности данных.

1. Не исправляйте уязвимости в облачных развертываниях. Вместо этого разверните новую облачную инфраструктуру, использующую самый последний код, и снимите с эксплуатации старую инфраструктуру. Это можно сделать только в том случае, если вы автоматизируете развертывания, но в итоге получите тот уровень контроля над своей инфраструктурой, которого никогда не добьетесь в традиционных центрах обработки данных.
2. Точки подключения - определите точки, где облачные развертывания связаны с традиционными центрами обработки данных, использующими устаревший код. Это самый большой источник проблем, поскольку наблюдается четкая тенденция, что гибридные облачные развертывания, как правило, встречаются в большинстве случаев нарушения безопасности.

Безсерверные приложения позволяют организациям быстро раскручивать облачные функции без необходимости создавать или расширять инфраструктуру. Реализованные через сервис (FaaS), они предоставляют новые возможности для хакеров и новые задачи для сетевых администраторов. Новая функция может иметь доступ к конфиденциальным ресурсам, таким как база данных. Если права доступа для этой функции установлены неправильно, злоумышленник может получить доступ к данным или создать новые учетные записи. Как и в случае с оркестровыми атаками, лучший способ обнаружения атаки без сервера - это наблюдение за поведением учетных записей, но для эффективности его необходимо сочетать с проверкой сетевого трафика.