IBM Security опубликовала новые данные по результатам исследования основных вызовов и угроз, влияющих на безопасность облачных сред. Исследование показало, что простота и скорость развертывания новых облачных систем оборачиваются тем, что службам кибербезопасности может стать сложнее контролировать их использование.

Согласно данным опроса и анализа инцидентов, главную опасность по-прежнему представляет недостаточная бдительность в сфере безопасности: небрежность в управлении, игнорирование уязвимостей, ошибки в конфигурациях. Именно с ними стоит бороться организациям, чтобы обеспечить безопасность облачных операций, объем которых неизменно возрастает. Кроме того, анализ инцидентов за последний год позволяет понять, как именно киберпреступники проводят атаки на облачные среды, используя кастомизированное вредоносное ПО, программы-вымогатели и другие средства.

Поскольку предприятия стремительно переходят на облачные технологии организации работы в удаленном режиме, понимание специфических проблем безопасности, связанных с таким переходом, необходимо для управления рисками. Несмотря на то, что облако предоставляет множество важных бизнес- и технологических возможностей, простота внедрения и управления им может усложнить работу отделов ИТ и кибербезопасности. Согласно IDC, в одном только 2019 году более трети компаний приобрели более 30 типов облачных сервисов у 16 различных поставщиков. При таком разнообразии становится непонятно, кто именно должен отвечать за безопасность в облаке. Как следствие, возникают «слепые зоны» в политиках безопасности, и возрастает опасность появления новых уязвимостей и ошибок в конфигурации из-за теневых ИТ.

Чтобы получить более полное представление о новых реалиях сферы безопасности, когда компании быстро адаптируются к гибридным мультиоблачным средам, IBM Institute for Business Value (IBV) и IBM X-Force Incident Response and Intelligence Services (IRIS) изучили особенности обеспечения защиты в облаке и ключевые угрозы безопасности облачных сред. Среди основных выводов.

Сложная схема распределения ответственности: 66% респондентов указали, что полагаются на поставщиков услуг в вопросе обеспечения базовой безопасности. При этом понимание респондентами того, кто должен нести ответственность за безопасность, очень разнится в зависимости от конкретных облачных платформ и приложений, применяемых в организации.

Облачные приложения открывают возможности для кибератак: наиболее частый путь вторжения злоумышленников в облачную среду — это облачные приложения. На их долю приходится 45% инцидентов, согласно анализу безопасности облачных систем, проведенному IBM X-Force IRIS. В этих случаях киберпреступники пользовались ошибками в конфигурации и уязвимостями, которые часто оставались незамеченными, поскольку сотрудники подключали новые облачные сервисы самостоятельно, не обращая внимания на корпоративные политики.

Атаки становятся более масштабными. В рассмотренных случаях основной целью атак на облачные системы является кража данных, но злоумышленники используют этот канал также для майнинга криптовалют и внедрения вирусов-вымогателей — облачные ресурсы позволяют масштабировать эффекты подобных атак.

«Облачные технологии несут в себе огромный потенциал для модернизации и повышения эффективности бизнеса, но также могут привести к «дикому западу» более широких и распределенных сред, которые организациям придется контролировать и защищать, — отметил Абхиджит Чакраворти, руководитель практики Cloud Security в подразделении IBM Security Services. — Если все сделать правильно, то и безопасность в облачной среде будет более масштабируемой и адаптивной. Но для начала организациям нужно отказаться от старых привычек и перейти к более современным подходам к кибербезопасности, соответствующим новому технологическому рубежу, используя автоматизацию везде, где это возможно. И первый шаг на этом пути — составить четкое представление о нормативных требованиях и комплаенсе, уникальных технических сложностях и трудностях в обеспечении политик, а также внешних угрозах, нацеленных на облачные среды».

Исследование IBM Institute for Business Value показало, что в плане обеспечения безопасности опрошенные организации в основном полагались на поставщиков облачных решений, даже несмотря на то, что наиболее частой причиной взлома являлись ошибки конфигурации (на их долю среди опрошенных в 2019 году организаций приходилось более 85% всех случаев взлома систем), что обычно является сферой ответственности пользователей.

Выяснилось также, что восприятие распределения ответственности респондентами сильно различается в зависимости от используемых платформ и приложений. Так, большинство респондентов (73%) считают, что поставщики облачных решений должны обеспечивать безопасность, если используется программное обеспечение как услуга (SaaS), и лишь 42% думают, что поставщики отвечают за безопасность облачных инструментов, если используется инфраструктура как услуга (IaaS).

Некая схема распределения ответственности необходима в эру применения гибридных мультиоблачных сред, однако при этом политики безопасности могут получаться несогласованными и может снижаться прозрачность их применения в облачных средах. Если организация сможет согласовать применение облачных систем и средств безопасности, то этот риск можно будет минимизировать — за счет применения четко определенных политик, действующих во всех компонентах ИТ-инфраструктуры.

Чтобы составить более полное представление о том, как злоумышленники атакуют облачные среды, эксперты из X-Force IRIS провели подробный анализ инцидентов в этой сфере за последний год. Основные выводы.

Киберпреступники возглавляют атаки: в основном на облачные системы нападают злоумышленники, имеющие финансовые интересы, хотя политическая мотивация также присутствует.

Атаки через облачные приложения: чаще всего преступники проникают в систему через облачные приложения. Используются методы перебора паролей, эксплуатация уязвимостей и ошибок в конфигурации. Уязвимости часто остаются незамеченными из-за теневых ИТ-ресурсов, когда сотрудники игнорируют корпоративные политики и запускают уязвимые облачные приложения. Управлять уязвимостями в облачной среде довольно сложно, поскольку они не включались в общеизвестные списки уязвимостей и рисков (CVE) вплоть до 2020 года.

Программы-вымогатели в облачной среде: согласно анализу инцидентов, реагирование на которые производилось сервисным подразделением IBM, в облачной среде программы-вымогатели использовались в три раза чаще других вредоносных программ. Далее в рейтинге шли программы для майнинга криптовалют и ботнеты.

Кража данных: если не считать вредоносных программ, то самой распространенной угрозой в облачных средах за последний год, по данным IBM, была кража данных — самых разных, от персональных данных до корпоративных писем.

Экспоненциальный рост: злоумышленники используют облачные ресурсы для масштабирования эффектов атак, будь то майнинг криптовалют или DDoS-атаки. В облаке размещаются также вредоносные компоненты инфраструктуры и проводятся преступные операции, и из-за облачной реализации создается дополнительный уровень анонимизации, что помогает преступникам остаться незамеченными.

«Учитывая тенденции, выявленные по результатам анализа выявленных инцидентов, скорее всего число случаев применения вредоносного ПО в облачной среде будет расти и расширяться по мере увеличения количества используемых облачных инструментов, — отметил Чарльз Дебек, IBM X-Force IRIS. — Наша команда обратила внимание, что создатели вредоносного ПО уже начали разрабатывать программы, нарушающие работу наиболее распространенных средств защиты облачных систем, и пользуются преимуществами облачных решений, такими как масштабируемость и гибкость».

Облачная революция ставит новые задачи перед специалистами по информационной безопасности. Но организации, способные сформировать более зрелую и логичную модель управления защитой, могут повысить свою оперативность и способность противостоять угрозам.

Исследование IBM Institute for Business Value показало, что компании-респонденты, имеющие более высокий уровень зрелости в плане владения облачными технологиями и технологиями защиты, выявляют и пресекают попытки кражи данных быстрее тех, кто находится лишь на начальных стадиях освоения облачных решений. Если говорить о скорости реагирования, то наиболее продвинутые из опрошенных организаций могли выявить и остановить попытку кражи данных в два раза быстрее наименее продвинутых компаний (средний жизненный цикл угроз составил 125 дней и 250 дней соответственно).

Поскольку облачные инструменты становятся неотъемлемой частью бизнеса и основой для удаленной работы, которая применяется все чаще, IBM Security рекомендует организациям для повышения информационной безопасности в гибридной мультиоблачной среде сфокусироваться на следующих аспектах.

Введение совместного управления и культуры ответственности: нужно внедрить единую стратегию, объединяющую операционную деятельность в облачных средах с учетом вопросов защиты информации, для всех разработчиков приложений, специалистов по ИТ и ИБ. Четко сформулировать политики и распределить обязанности с учетом уже используемых облачных ресурсов и в расчете на то, что их количество будет расти.

Риск-ориентированный подход: нужно определить, какие типы процессов и данных вы планируете перенести в облако, и сформулировать подходящие правила обеспечения защиты информации. Лучше всего начать с оценки понимания вашей инфраструктуры с учетом рисков и составить поэтапный план внедрения облачных инструментов.

Строгий контроль доступа: нужно использовать политики и средства управления доступом к облачным ресурсам, в том числе многофакторную аутентификацию, для предотвращения вторжения с использованием украденных учетных записей. Лучше ограничить число привилегированных учетных записей и по умолчанию выдать всем группам пользователей минимальные права — это поможет уменьшить урон в случае взлома учетной записи (принцип «нулевого доверия»).

Правильный выбор инструментов: нужно убедиться в том, что средства мониторинга событий информационной безопасности, состояния объектов инфраструктуры и реагирования на инциденты были эффективны во всех используемых облачных системах и для всех корпоративных ресурсов, рассмотреть возможность перехода на открытые технологии и стандарты, чтобы повысить совместимость инструментов.

Автоматизация процессов безопасности: эффективная автоматизация средств безопасности может помочь повысить шансы выявления угроз и реагирования на атаки (по сравнению с реагированием на события безопасности вручную).

Проведение киберучений для подготовки к различным сценариям вторжения — это поможет выявить «слепые зоны» и устранить потенциальные проблемы в аналитике, которые могут возникнуть в ходе расследования атак.

Источник