Донецкий техникум промышленной автоматики

IT News: Атаки на хмарні сервіси і технології захисту від них

IT News Новини ринку Безпека

| 13.11.2018

Хмарні сервіси стають все більш популярними, оскільки дозволяють перевести на аутсорсинг найбільш витратні статті розгортання власних ІТ-систем підприємств, спростити і здешевити введення нових функцій і послуг, скоротити штат ІТ-підрозділу підприємства і в корені змінити його статус. З обслуговуючої одиниці ІТ-відділ стає учасником основного бізнесу.

Однак хмарні сервіси несуть чимало загроз інформаційній безпеці підприємства, і провайдери намагаються захистити дані своїх клієнтів. Перш ніж переводити на хмарний аутсорсинг свої безцінні інформаційні активи, підприємству краще оцінити ступінь ІБ, яку може надати хмарний провайдер. Як то кажуть, на провайдера сподівайся, але й сам не зівай. Не варто сліпо довіряти деклараціям продавця хмарних сервісів.

Перш за все, потрібно задати провайдеру ряд питань і по можливості отримати на них вичерпні відповіді. Щоб зрозуміти, що саме питати, давайте подивимося, які загрози для ваших даних і систем можуть існувати в хмарі і які є засоби захисту.

Атаки в хмарі можуть бути зовнішніми і внутрішніми. Для захисту від зовнішніх атак використовуються наступні засоби.

- Брандмауер (Network Firewall, або «фаерволл») - елемент мережі, який здійснює контроль і фільтрацію проходить через нього трафіку відповідно до заданих правил. У функціонал брандмауера входить обмеження доступу ззовні до внутрішньої мережі, розмежування доступу користувачів мережі, що захищається до зовнішніх ресурсів. Запитайте у провайдера, який саме «фаерволл» він використовує - мережевий фільтр (найпростіший) або міжмережевий екран другого покоління (stateful firewall).

- Екран для захисту веб-додатків WAF (Web-application Firewall). Його не треба плутати зі звичайним «фаєрволом» (network firewall) або «системою запобігання вторгнень» IPS. Веб-додатки відрізняються від звичайних тим, що вони розташовуються в хмарі, а не у власній ІТ-системі підприємства. Вони працюють через Інтернет і активно обмінюються даними, які можна перехопити. Це створює ряд загроз, з якими традиційні міжмережеві екрани не справляються. Бòльшая частина атак на корпоративні мережі в хмарі здійснюється саме через веб-додатки. WAF, захисний екран для додатків, що передають дані через протоколи HTTP і HTTPS, повинен забезпечувати сигнатурний аналіз атак, автоматичне навчання, поведінковий аналіз, захист даних користувачів, сканерованіе вразливостей, віртуальний патчінга, кореляційний аналіз послідовностей атак.

Системи виявлення вторгнень IDS (Intrusion Detection System) і системи запобігання вторгнень IPS (Intrusion Prevention System). У функціонал IPS / IDS входить виявлення різних видів мережевих атак. При цьому системи IPS / IDS, на відміну від брандмауера, здійснюють так званий «глибокий аналіз пакетів DPI» (Deep Packet Inspection). Вони також повинні виявляти відкриті порти, спроби неавторизованого доступу через них, шукати шкідливі програми. Засоби IPS / IDS повинні надавати звіти про знайдені загрози з оцінкою їх критичності та рекомендаціями щодо їх усунення.

- Система єдиного управління погрозами UTM (Unified Threat Management) або міжмережеві екрани нового покоління NGFW (Next Generation Firewall). Це приблизно одне й те саме, їх функціонал практично збігається. Ці програмні засоби об'єднують функції антивіруса, IDS / IPS, пакетного фільтра, VPN-шлюзу і інші в одному пристрої.

- Непогано також провести тестування хмарної системи провайдера на подолання захисту (penetration testing, «пентест»), тобто моделювання атаки ззовні з метою виявлення «слабких» місць в хмарної ІТ-інфраструктурі.

Внутрішні загрози - це, перш за все, віруси в хмарної ІТ-системі (вони, звичайно, не самі заводяться в хмарі, а потрапляють в систему ззовні, але якщо їх не вдалося виявити вищеописаними засобами, будемо вважати їх внутрішніми). До внутрішніх загроз також слід віднести різні можливості для витоків інформації.

Для захисту від внутрішніх загроз використовуються такі засоби:

- Програмні засоби антивірусного захисту. Ці кошти використовуються для виявлення і блокування вірусів, інших шкідливих програм, які можуть пошкодити дані, викрасти їх або зробити непридатними для використання. У функціонал антивірусів входить сканування на наявність вірусних сигнатур (фрагментів коду вірусної програми), сканування підозрілих команд і програм і т.д., а також їх блокування або вимкнення. Антивірус необхідно постійно підтримувати в актуальному стані, тобто оновлювати базу даних можливих сигнатур вірусів. Це входить в обов'язки хмарного провайдера, і, якщо він цього не робить, переговори про співпрацю з ним можна припиняти.

- Засоби для запобігання витоків DLP (Data Leak Prevention). Ці програмні або програмно-апаратні засоби захищають від можливих витоків конфіденційних даних з інформаційної системи. DLP-системи будуються на основі аналізу потоків даних, які перетинають кордон (периметр) ІС. При виявленні в цьому потоці конфіденційної інформації, яку не можна передавати зовні, повинна спрацьовувати блокування передачі повідомлень. У функціонал DLP входить контроль доступу до системи, запис і передача адміністраторам хмарної ІТ-системи замовника логів (журналів) подій.

- Різні засоби (пристрої, прилади, технічні системи) для захисту інформації. В їх функціонал входить створення довіреної середовища, контроль підключення зовнішніх пристроїв, розмежування прав доступу, контроль цілісності операційної системи і т.д.

Існують також загальні засоби захисту як від внутрішніх, так і від зовнішніх атак:

- Засоби забезпечення безпеки інформації та управління подіями SIEM (Security Information and Event Management). Система SIEM повинна збирати, аналізувати і представляти інформацію з мережевих пристроїв і пристроїв безпеки. У SIEM входять додатки для управління ідентифікацією і доступом, інструменти управління уразливими і бази даних і додатків. SIEM повинна мати можливість в реальному часі надсилати попереджувальні на основі вибраних станцій, генерувати звіти і збирати події для подальшого аудиту. Необхідна також опція перегляду даних з різним рівнем деталізації.

- Крім того, хмарний провайдер повинен володіти певним набором організаційно-розпорядчої документації (ОРД), включаючи сертифікати з ІБ. І чим вона детальніше і конкретніше, тим краще.

Слід зазначити, що для захисту ІТ-системи в хмарі необхідно застосовувати комплексні рішення, а не якийсь один з описаних вище способів.

Важливо дотримуватися і елементарні засоби «інформаційної гігієни». Будь-які новітні засоби WAF, IPS / IDS, міжмережеві екрани і т.д. будуть безсилі перед зловмисними або просто безтурботними діями співробітників підприємства. Якщо співробітник записав свій пароль на листочку і приклеїв його на монітор, инсайдеру забезпечений доступ у внутрішню ІТ-інфраструктуру компанії. Це найпростіший приклад. Ніякі WAF і SIEM не допоможуть і в разі, коли співробітник записує конфіденційну інформацію на «флешку» або інший носій і забирає додому, бажаючи попрацювати понаднормово.

В окремих країнах для держслужбовців вироблені правила з інформаційної безпеки. Наприклад, в Австралії регламент передбачає кілька десятків позицій, в тому числі обов'язкове оновлення антивіруса, заборона на використання сторонніх флешок, регулярну зміну пароля і т.п. Статистика показує, що дотримання тільки кількох перших пунктів вже допомагає запобігти до 80-90% інцидентів інформаційної безпеки. Таким чином, дисципліна - це основний фактор забезпечення ІБ, а технічні засоби - важливе доповнення, необхідне для контролю зовнішнього і внутрішнього периметра.

Мурад Мустафаєв,

керівник ІБ-служби компанії «ОНЛАНТА» (ГК ЛАНІТ)

керівник ІБ-служби компанії «ОНЛАНТА» (ГК ЛАНІТ)

Ключові слова: інформаційна безпека , атаки на хмарні сервіси

Журнал IT News [ Підписка на журнал ], Журнал IT Weekly

компанія: Lanit | ланіт , Onlanta | Онланта