Хакерам облако только снится
Как облачные решения справляются с киберугрозами
Мифы о киберугрозах при использовании облачных сервисов представляют для руководителей компаний серьезный стоп-фактор при принятии решения об использовании этих технологий. «У страха глаза велики»,— говорят эксперты по информационной безопасности, объясняя, что этим опасениям в случае с облаками часто придают чрезмерное значение. Наоборот, по оценкам Shell, риски при миграции компании в облако становятся ниже на 50%, чем при использовании собственной инфраструктуры. Причины очевидны: задачи по защите сервисов и обрабатываемых в них данных решает помимо самой компании еще и поставщик этих услуг, тем самым усиливая их защищенность.
Все больше российских компаний готовы активно использовать публичные облачные сервисы. По данным IDC, в 2018 году объем российского рынка частных и публичных облачных сервисов вырос на 24,8% по сравнению с 2017-м, в 2019 году этот показатель может увеличиться еще на 23,6%. «Переход бизнеса в облака неизбежен: они позволяют существенно оптимизировать расходы,— уверен руководитель Qrator Labs Александр Лямин.— Однако переход на новые технологии влечет за собой и страхи неизвестных ранее киберугроз». Опасения эти понятны, отмечают эксперты, так как любая новая технология всегда проходит проверку новыми типами угроз.
В то же время, по словам директора центра киберзащиты SberCloud Алексея Голдбергса, крупные поставщики облачных сервисов умеют с ними справляться, так как это их ключевой бизнес: у них больше практики, больше опыта и собраны лучшие команды, противостоящие киберугрозам. В большинстве своем опасения потенциальных клиентов облачных сервисов не слишком оправданны и изрядно устарели, то есть были актуальны для более ранних этапов развития облачных технологий, согласен эксперт в области облачной безопасности PwC в России Артем Федоров: «В целом современные облачные решения обладают большей защищенностью, чем локальная IT-инфраструктура».
DDoS-атаки
Одним из важнейших стоп-факторов для бизнеса являются DDоS-атаки (хакерские атаки на вычислительную систему с целью довести ее до отказа обслуживания), которые, по мнению потенциальных клиентов, могут значительно затормозить или даже полностью парализовать их работу.
Однако DDоS-атаки могут грозить как работающим в облаке, так и размещенным на собственных серверах приложениям. В то же время использование облачных сервисов дает бизнесу и ряд преимуществ. Так, по словам Алексея Голдбергса, в случае DDoS-атаки на информационные системы заказчика, размещенные в его собственной инфраструктуре, велик риск того, что ограниченность ее вычислительных ресурсов существенно замедлит или вовсе остановит обработку запросов пользователей. У облака же есть очевидное преимущество — неограниченная возможность масштабирования его вычислительной мощности. Работа облачных сервисов заказчика не замедлится и уж тем более не будет парализована, а клиент в итоге заплатит только за эти дополнительные вычислительные ресурсы, задействованные на время атаки. Чтобы расходы клиентов в таких ситуациях не стали чрезмерными, международные и ряд российских поставщиков облачных решений реализовывают базовую защиту от DDoS-атак в самой инфраструктуре облачной платформы. Подобные встроенные средства защиты могут достаточно надежно обезопасить облако от так называемых базовых атак. По словам Александра Лямина, таких атак большинство, они не адаптированы под цель атаки и направлены лишь по одному-двум векторам.
И подобная «базовая защита» необходима всем компаниям, активно работающим в сети (как в облаке, так и на собственной инфраструктуре). Вероятность DDоS-атак с каждым годом нарастает: по данным «Лаборатории Касперского», во втором квартале 2019 года их число увеличилось на 18% по сравнению с аналогичным периодом прошлого года и на 25% по сравнению со вторым кварталом 2017 года. Именно в 2019 году зафиксирована самая продолжительная в истории атака: она длилась 21 день, или 509 часов. Предыдущий рекорд составил 329 часов. При этом в Национальном координационном центре по компьютерным инцидентам предрекают в ближайшем будущем рост мощности DDoS-атак, отмечая, что за три года она уже выросла втрое — с 620 Гб/с до 1,7 Тб/с.
Впрочем, по словам экспертов, надеяться исключительно на встроенное решение по защите от DDоS-атак не стоит. Существуют и более сложные коммерческие атаки. Им обычно предшествует разведка инфраструктуры цели для обнаружения уязвимых элементов, и атака направляется одновременно по нескольким векторам с чередованием и сменой стратегии. «При этом, как правило, идет мимикрия под обычных пользователей, поэтому для защиты необходимо делать детальный разбор пользовательской сессии — это большой объем данных и дорогие вычислительные алгоритмы»,— отмечает Александр Лямин. Защита от подобных атак также вполне реальна, но это, как правило, отдельная услуга, которую решившая работать в облаке компания заказывает исходя из собственных рисков.
«Например, если у вас в облаке размещаются бэк-офисные системы, про которые знают и которыми пользуются только сотрудники компании, то риски коммерческих атак минимальны,— рассуждает Александр Лямин.— Если же вы автодилер, вышедший на рынок с рекламной кампанией со сбором заявок в облаке, то риски выше». По экспертным оценкам, коммерческий характер сейчас носит около половины всех DDoS-атак.
Внутренние утечки
Второй стоп-фактор в части кибербезопасности с точки зрения потенциального потребителя облачных решений — опасения утечки данных. Основой для подобных страхов часто служат новости о глобальных потерях. Например, много шума наделала недавняя утечка из банка Capital One, когда злоумышленники получили доступ к данным 106 млн человек. Из недавних российских историй — утечка персональных данных из Ozon, в результате которой было скомпрометировано 450 тыс. учетных записей клиентов. Напоминает о глобальных утечках данных из облаков и недавнее сообщение о выплате американским бюро кредитных историй Equifax $700 млн для урегулирования коллективного иска по утечке 145 млн персональных данных людей. Однако, по словам основателя DeviceLock Ашота Оганесяна, риск утечки данных из облака ничуть не выше, чем при работе на собственных серверах. «Работа в облаке как минимум нивелирует риск несанкционированного доступа к серверу компании»,— говорит он.
Для сохранности данных поставщики облачных решений реализуют целый комплекс мер защиты. «Среди них — мониторинг действий привилегированных пользователей, который позволяет контролировать действия администраторов и подрядчиков, обслуживающих инфраструктуру облачного решения,— указывает Алексей Голдбергс из SberCloud.— Это страхует от угрозы несанкционированных действий с их стороны».
Есть на рынке и DLP-системы (Data Leak Prevention, предотвращение утечек), которые позволяют защищать от утечек и использующие облачные сервисы компании. «Чтобы похитить информацию из облака, инсайдеру все равно необходимо вывести данные на локальный компьютер, куда-то записать их и передать,— поясняет Ашот Оганесян.— DLP-системы способны выявить такого инсайдера».
Доступ к чужим данным
Для использующих облачные решения компаний угрозы хакерской атаки также остаются актуальными. Целью такой атаки может быть получение доступа одного заказчика к данным другого. Чаще всего для проведения подобной атаки злоумышленники создают тестовые подписки на облачный сервис с целью эксплуатации его для доступа к данным компании, использующей этот же сервис.
«Поставщики облачных решений прекрасно осведомлены о подобных атаках и реализовывают в инфраструктуре облака технические меры сегментации и изоляции вычислительных ресурсов, виртуальных машин и данных одного заказчика от другого,— отмечает Алексей Голдбергс.— Мы не только тщательно тестируем и апробируем все используемые нами решения, но и привлекаем внешних подрядчиков для проведения тестирования на проникновение, чтобы убедиться в надлежащей защите данных клиентов».
В то же время хакерские атаки куда чаще случаются на использующие собственную инфраструктуру компании. Так, по словам заместителя секретаря Совета безопасности РФ Олега Храмова, с начала года предотвращено внедрение вредоносного ПО более чем на 7 тыс. объектов критической информационной инфраструктуры. При этом целями атак становились объекты кредитно-финансовой сферы — 38% от общего числа атак, органов госвласти — 35%, на долю предприятий оборонной промышленности, а также организаций в сфере науки и образования приходится по 7%, объектов системы здравоохранения — 3%.
Облако — под угрозой?
Нельзя отрицать существование киберрисков и для самой инфраструктуры облака. В идеальной облачной инфраструктуре у «гостевой» (виртуальной) машины не должно быть никакой возможности воздействовать на вычислительный узел, на котором она запущена в определенный момент. За это отвечает гипервизор — сервис, позволяющий виртуализировать системные ресурсы. По словам директора по методологии и стандартизации Positive Technologies Дмитрия Кузнецова, крайне редко, но все же при разработке допускаются ошибки, приводящие к появлению уязвимостей, которые позволяют виртуальной машине получить доступ к данным и сервисам вычислительного узла.
Несколько более распространены уязвимости в самой архитектуре облачной платформы, а также уязвимости во внешних веб-порталах, таких как личные кабинеты пользователей облачных решений.
Есть и совершенно банальные, но тем не менее неприятные уязвимости, связанные с возможностью тиражирования виртуальных машин. Для простоты администрирования порой создаются типовые образы виртуальных машин с установленным типовым набором ПО. Чтобы создать новую машину, пользователь просто копирует такой типовой образ. Если происходит масштабная вирусная эпидемия наподобие WannaCry, часто забывают устанавливать обновления безопасности на такие типовые образы, а иногда оказывается, что сам образ уже инфицирован.
«Однако все эти угрозы разрешимы и не новы,— отмечает Дмитрий Кузнецов.— Меры защиты облачной инфраструктуры ничем не отличаются от защиты обычных ЦОДов, но с некоторой адаптацией к гибкости облачной инфраструктуры».
При этом важно помнить, что доступность облачного сервиса регулируется соглашением об уровне сервиса, и в нем прописывается, какой уровень доступности предоставляется, отмечает Алексей Голдбергс: «В соответствии с условиями договора часто предусмотрена финансовая компенсация со стороны поставщика облачного сервиса в случае несоблюдения им условий соглашения». Как правило, причины недоступности сервиса для заказчика не столь важны, однако они важны для поставщика решения, который принимает меры для предотвращения подобных инцидентов в будущем, резюмирует эксперт.
Впрочем, сами по себе факты недоступности облаков случаются крайне редко и на непродолжительный срок. Так, Александр Лямин отметил, что последний известный ему случай произошел четыре года назад, когда сервисы одного из крупнейших поставщиков облачных решений были недоступны в течение 12 минут.
Фундамент, но не дом
Основным преимуществом использования облачных сервисов, по словам Алексея Голдбергса, является то, что часть забот о кибербезопасности информационных систем клиентов поставщик решения берет на себя, выстраивая надежный фундамент. Тогда как при работе на собственных серверах всю систему информационной безопасности компании потребуется выстраивать с нуля, начиная с безопасности самих серверов. Для этого строящим безопасность с нуля потребуются как минимум высококлассные специалисты по кибербезопасности, которые на рынке в большом дефиците, отмечают эксперты. Облачное же решение позволяет не только снять большую часть этих проблем, но и снизить расходы на безопасность. «Но в конечном счете только от клиента зависит, что он выстроит на облачном фундаменте — дворец или хижину»,— говорит Алексей Голдбергс.
В зависимости от потребностей клиента поставщики облачных решений часто предлагают доступ к различным сегментам или регионам облака, соответствующим тем или иным требованиям информационной безопасности. «Мы можем предоставить своим клиентам облачную платформу, инфраструктура которой развернута в разных контурах с различными уровнями и классами защищенности в соответствии с требованиями нормативных документов,— поясняет Алексей Голдбергс.— Например, при обработке персональных данных предъявляются одни требования, при размещении государственных информационных систем — уже другие, предполагающие в том числе использование сертифицированных средств защиты. Для подтверждения соответствия системы защиты информации своих инфраструктур предъявляемым регуляторами (такими как ФСТЭК и ФСБ) требованиям поставщики облачных решений проходят процедуру аттестации, в ходе которой помимо всего прочего проводится и анализ уязвимостей. Таким образом, наличие подобных аттестатов у облачного провайдера — это не только соблюдение нормативных требований, но и гарантия безопасности».
Подводя итоги, опасность облачных решений — это, по сути, всего лишь миф: работа в облаке не просто безопаснее использования собственной инфраструктуры, но и эту защиту гарантирует поставщик облачного решения.