`

СПЕЦІАЛЬНІ
ПАРТНЕРИ
ПРОЕКТУ

Чи використовує ваша компанія ChatGPT в роботі?

BEST CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Грозовые облака

+11
голос

Поскольку организации все чаще используют облачные среды для масштабирования и ускорения операций, понимание уникального ландшафта киберугроз в этой области имеет важное значение. Для лучшего понимания кто, как и зачем атакует облачные ресурсы предприятий, специалисты IBM Security проанализировали соответствующие инциденты кибербезопасностии последнего времени и подготовили отчет об актуальных угрозах облачных сред.

Грозовые облака

По данным аналитиков, основным мотивом злоумышленников остается финансовая выгода. При этом наиболее распространенными (45% случаев) векторами атак являются брутфорс и эксплуатация облачных приложений. Неправильная конфигурация облачных сред привела к потере более 1 млрд. записей в 2019 г. Кража данных – например, присвоение личной информации (PII) – является ключевой целью киберпреступников.

Основным видом используемого вредоносного ПО являются вымогатели, на которых приходится втрое больше случаев, чем на идущих следом криптомайнеров и зловредов для ботнетов. Причем зловреды, как и на физической инфраструктуре, постепенно учатся блокировать распространенные продукты облачной безопасности, оставляя компании уязвимыми по незнанию.

Одной из любимых уловок злоумышленников является использование захваченных облачных ресурсов в качестве вредоносной инфраструктуры для последующих атак. Поскольку это позволяет им расширять свою деятельность за чужой счет, и маскируясь под легитимные источники.

Ввиду этого переходя на облачные технологии важно осознавать, что помимо известных преимуществ, гибридные и мультиоблачные среды, имеют также и свои особенности с точки зрения обеспечения кибербезопасности, как уникальные, так и унаследованные.

В результате расширения облачной интеграции взаимодействие между облаками позволяет потенциальным заражениям распространяться по всему предприятию даже быстрее, чем локальные атаки, а огромные объемы данных, размещенные в облаках, лишь увеличивают масштаб потенциальной угрозы.

Кто отвечает за безопасность в облаке?

Исследование IBM Institute for Business Value показало, что в плане обеспечения безопасности опрошенные организации в основном полагаются на поставщиков облачных решений. При этом наиболее частой причиной взлома являются ошибки конфигурации (на их долю среди опрошенных в 2019 г. организаций пришлось более 85% всех случаев взлома систем), что обычно является сферой ответственности пользователей.

Выяснилось также, что восприятие распределения ответственности респондентами сильно различается в зависимости от используемых платформ и приложений. Так, большинство респондентов (73%) считают, что поставщики облачных решений должны обеспечивать безопасность, если используется ПО как услуга (SaaS), и лишь 42% думают, что поставщики отвечают за безопасность облачных инструментов, если используется инфраструктура как услуга (IaaS).

Безусловно, некая схема распределения ответственности необходима в эру применения гибридных мультиоблачных сред. Однако при этом политики безопасности могут получаться несогласованными и может снижаться прозрачность их применения в облачных средах. Если организация сможет согласовать применение облачных систем и средств безопасности, то этот риск можно будет минимизировать – за счет применения четко определенных политик, действующих во всех компонентах ИТ-инфраструктуры.

Кто атакует облачные системы?

Специалисты IBM Security в своем исследовании обозначили несколько категорий злоумышленников, нацеленных на облачные системы. Согласно их выводам, основную часть атакующих составляют преступники, имеющие финансовую мотивацию. Однако субъекты национального государства также подвергаются постоянному риску.

Отдельное исследование, проведенное в сотрудничестве с DarkOwl, компанией, занимающейся изучением даркнета, выявило процветающий рынок учетных записей на подпольных форумах, где широко предлагается доступ к облачным ресурсам по сниженным ценам. Это позволяет злоумышленникам использовать дешевый и практически неограниченный ресурс для своей преступной деятельности. Причем зачастую под видом легитимных пользователей. Также в даркнете предлагают помощь в проникновении в определенные облачные аккаунты.

Отдельную категорию представляют хакеры, действующие на национальном уровне. Они активно используют облачные среды для шпионажа и достижения своих стратегических целей. Очевидно, что по мере перемещения все большего количества ИТ-ресурсов в облако эта тенденция будет только усиливаться.

Группа IBM Security Intelligence использовала данные реагирования на инциденты X-Force IRIS для выявления наиболее распространенных способов атак на облачные среды. Тут стоит отметить, что зачастую злоумышленники используют сразу несколько методов для получения доступа и последующего повышения своих прав на той или иной облачной платформе или на связанных ресурсах.

Эксплуатация облачных приложений

Наиболее распространенным вектором заражения, который эксперты IBM наблюдали в облачных средах с января 2019 г. по май 2020 г., была удаленная эксплуатация облачных приложений, на которую приходится 45% изученных инцидентов. Поскольку, как правило, эти приложения необходимы для бизнес-операций, они являются основной целью для атак.

За последние два года команда IBM Security неоднократно реагировала на инциденты, когда уязвимые приложения присутствовали в среде, но оставались незамеченными. Иногда это происходит из-за недостаточной зрелости безопасности в облаке, а часто из-за «теневых ИТ», когда сотрудник выходит за пределы утвержденных рамок и правил использования облачных ресурсов, подвергая тем самым опасности всю инфраструктуру.

Неправильная настройка

Неправильная конфигурация облачных сред и последующие утечки данных остаются одним из главных источников потери учетных записей. По оценкам IBM, в 2019 г. за счет этого киберпреступники смогли похитить из скомпрометированных сред более 1 млрд. записей.

Кросс-облачная компрометация

Злоумышленники могут проникать в облачные среды, заражая одну из них, а затем, используя доверенное соединение, проникать в связанные сервисы. Такая кросс-облачная компрометация может быть очень коварной и труднообнаружимой, ввиду огромных объемов перемещаемых данных, особенно в случае публичных облаков.

Плавание вверх по течению

Также известны случаи, когда киберпреступники старались получить привилегированный доступ к облачным репозиториям путем проникновения на базовое оборудование. Этот метод «плавания вверх по течению» предполагает, что хакер сначала получает доступ к облачной среде, потом к базовому хосту, а затем к системе управления для перемещения между клиентскими средами. Причем со стороны это может выглядеть как действия легитимного администратора.

Как атакующие используют облако для нанесения вреда

Хотя теоретически в облачной среде существует множество методов причинения вреда, IBM Security обнаружила, что злоумышленники довольно активно используют различные традиционные тактики атак, чтобы извлечь выгоду из расширенных возможностей этой новой технологии.

Программы-вымогатели, кража данных и майнеры наносят вред организациям, используя облака. Однако размещение вредоносных и мошеннических сайтов в облачных средах или использование доступа к червям в других облаках позволяет киберпреступникам нанести организации больший ущерб, что также увеличивает потенциальный риск для связанных сторон.

Вымогатели

В изученных случаях реагирования на инциденты IBM X-Force IRIS за полтора года вымогатели стали наиболее распространенным типом вредоносного ПО, развертываемого в облаке – они использовались втрое чаще любых других зловредов.

В отличие от атак вымогателей на традиционные конечные точки, вымогатели в облаке могут оказывать более разрушительное воздействие. Это связано с более широким диапазоном операций, поддерживаемых облачными средами, их потенциальным воздействием на критически важные приложения и огромным объемом данных, перемещающихся в облаках каждый день.

Кража данных

Облачные среды содержат большие объемы информации, которая может быть украдена и продана на подпольных торговых площадках. При этом злоумышленников интересуют разные типы данных. Это могут быть персональные данные PII (включая номера кредитных карт) или переписка с клиентами – зависит от мотивации и навыков взломщика.

Как бы там ни было, кража данных является второй наиболее распространенной угрозой, среди зафиксированных в скомпроментированных облачных средах в 2019 г.

Криптомайнинг

Далее следуют майнеры – вредоносы, использующие захваченные вычислительные ресурсы для добычи криптовалют. В случае традиционных компьютеров и серверов это как правило приводит к росту расходов жертвы на электроэнергию, снижению производительности и более быстрой деградации аппаратных компонентов. В случае же облачных ресурсов заражение криптомайнером может обернуться ростом расходов на аренду мощностей и увеличением времени отклика сервисов.

Хостинг вредоносных программ или сайтов

Киберпреступники также используют зараженные облака для размещения вредоносных сайтов (фишинговых, например) или программ, которые впоследствии могут распространяться на другие среды. Это дает хакерам возможность придать своей деятельности вид легитимной, а также упрощает обход защитных решений и блокировок. Это может нанести как прямой, так и репутационный ущерб организации на чьих облачных ресурсах размещается чужое вредоносное ПО или сайты.

DNS-компроментация

В IBM X-Force IRIS наблюдались многочисленные инциденты, в ходе которых злоумышленники компроментировали облачные DNS-сервисы для перенаправления пользователей на другие сайты (например фишинговые или для накрутки рекламы). Опираясь на концепцию отравления кэша DNS, этот метод атаки использует существующий облачный доступ, чтобы нанести дополнительный вред организации и может быть трудным для обнаружения пользователями.

Боковое распространение

Атакующие используют различные методы для перехода от первоначального заражения к другим частям облачной среды или конечным точкам, которые обращаются к облачным ресурсам. В прошлом году IBM X-Force IRIS отреагировала на инцидент, когда вредоносное ПО, развернутое в облачной среде, пыталось с помощью брутфорсинга SSH распространиться на внешние локальные машины.

Подобный тип бокового распространения может усугубить воздействие заражение облачной среды и перенести ее во внутреннее сетевое пространство организации.

Рекомендации

Реагирование на инцидент безопасности в облачной среде требует некоторых особых соображений. На основе обширного опыта X-Force IRIS сформулированы ключевые рекомендации.

Начните с конца

Прежде чем рассматривать перемещение рабочих нагрузок или данных в облако, разработайте план относительно его назначения. Встраивайте средства контроля безопасности в процесс разработки концепции и учитывайте критичность и чувствительность операций, выполняемых в облаке. Подумайте о привлечении партнера, который предоставляет комплексные услуги, чтобы помочь вам получить представление и контролировать все аспекты вашей гибридной облачной безопасности.

Используйте проактивное моделирование

Смоделируйте как ожидаемые, так и внезапные события безопасности в облачной среде, чтобы понять эффективность вашей подготовки. Сосредоточив внимание на тестировании и улучшении как технических, так и эксплуатационных навыков реагирования, организации могут быстро перейти к устранению проблем до того, как ущерб будет нанесен или увеличен.

Предотвратите появления «мертвых зон»

Облачный хостинг редко является услугой «настроить и забыть» и требует усилий по обеспечению безопасности, как со стороны поставщика облачных услуг, так и организации их использующей. Определение роли каждого в ходе переговоров по контракту поможет заранее распределить ответственность, средства контроля, мониторинг и пр. Это может помочь предотвратить инциденты, возникающие из-за пробелов в политике, а также обеспечить более эффективное их обнаружение и реагирование.

Применяйте лучшие практики

Облачная безопасность имеет свои особенные подходы, но они также отчасти схожи с сетевой защитой. Поэтому организациям необходимо применять передовые методы обеспечения безопасности в своих облачных средах, поскольку облака те не имеют иммунитета от компрометации. Чтобы уменьшить угрозу несанкционированного доступа, реализация многофакторной аутентификации способна помочь предотвратить проникновение с использованием украденных учетных данных.

Управление привилегированными учетными записями (PAM) – еще одна важная концепция, обеспечивающая лучшую защиту облаков. Ограничьте учетные записи наименее необходимыми привилегиями, чтобы минимизировать ущерб от взлома учетных записей и рассмотреть возможность использования модели с нулевым доверием. Внедряя эти методы в облачных средах, организации могут снизить риски инцидентов или уменьшить влияние потенциальных событий безопасности.

Мониторинг и журнал событий

Надлежащий мониторинг поможет обнаружить вредоносные программы и первые признаки атаки. Пользователи облака должны поддерживать надежную регистрацию событий в облачной среде для криминалистического расследования вредоносных действий. Ответственность за это также должна быть оговорена между потребителем и провайдером облачного хостинга перед запуском сервисов для предотвращения мертвых зон политики.

Резюме

Для тех, кто размещает свою инфраструктуру у поставщика, облачная безопасность является совместным усилием, как провайдера, так и потребителя. Организации, работающие в облаке, должны быть осведомлены о специфических угрозах, чтобы должным образом защитить свои данные и сервисы.

Опыт IBM X-Force показывает, что злоумышленники также хорошо знают о растущей популярности облачной инфраструктуры и подготовлены соответствующим образом. Поскольку ущерб от нарушений безопасности в облаке только увеличивается, организациям необходимо принять меры для защиты своих облачных активов.

Мартин Спыхала (Marcin Spychala)

архитектор IBM Security

Грозовые облака«Можно выделить три основных момента в отчете IBM X-Force IRIS Cloud Security Landscape Report, которые сильнее проявляются в регионе стран Центральной и Восточной Европы, поскольку переход в облако здесь в целом является более резким и менее планомерным.

Первый вывод, который относится к внедрению практически любой новой технологии, напрашивается сам. Если вы не можете обеспечить надлежащую ИБ на своих объектах, вы потерпите неудачу и в облаке. Я наблюдал это много раз, особенно среди компаний малого и среднего бизнеса. Тот факт, что вы переместили свои рабочие нагрузки в облако, не делает вас – и, особенно, ваши данные – защищенными.

Увы, но внедрение облачных технологий идет быстрее, чем развитие лучших практик или стандартов построения корпоративной архитектуры. И даже если внедрять правильную архитектуру, можно столкнуться с ситуацией нехватки квалифицированных специалистов для управления ею или же ее поддержки.

Это обрисовывает в общих чертах вторую проблему, которая очень заметна в странах Центральной и Восточной Европы, но проявляется во всем мире. Современная контейнерная архитектура, на которую приходится большинство облачных рабочих нагрузок, постоянно развивается и изменяется. Наблюдается нехватка специалистов по управлению облачной безопасностью и, если быть более точным, ИБ в Kubernetes. Что может поставить под угрозу проекты по переходу в облако, если они не будут выполнены с участием квалифицированного технологического партнера.

Наконец, многие компании, работающие в гибридной облачной среде, пытаются защитить свои данные в облаке. Или, проще говоря, они уже потеряли контроль над данными, хранящимися в облаке, – не столько благодаря бизнес-приложениям, сколько из-за действий сотрудников. Это может подвергнуть такие компании не только атакам вымогателей, но и штрафам со стороны органов, контролирующих защиту данных».

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365

+11
голос

Напечатать Отправить другу

Читайте также

 

Ukraine

 

  •  Home  •  Ринок  •  IТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Мережі  •  Безпека  •  Наука  •  IoT