`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Виталий Кобальчинский

Люди — слабейшее звено облачной безопасности

+11
голос

Согласно отчёту 2020 Data Breach Report корпорации Verizon, человеческие ошибки, и, в первую очередь, ошибки настройки конфигураций, занимают второе место среди самых распространённых причин нарушений безопасности. Однако два новейших исследования, представленные на днях провайдерами информационной безопасности Accurics и Orca Security, демонстрируют растущие риски ошибок конфигурации и называют их самой большой угрозой, с которой сталкиваются пользователи в облаке.

Accurics обнаружила, неправильно сконфигурированные службы облачного хранения в 93 процентах проанализированных ею облачных развёртываний. Большинство из них имели по меньшей мере одну «дыру» в сетевой безопасности, возникшую из-за неверно настроенных правил маршрутизации. В результате этого частные подсети, обычно используемые для защищённых коммуникаций между приложениями и базами данных, оказались открытыми для Интернета.

Эти свидетельства Accurics перекликаются с выводами Orca Security. По её сведениям, более 80 процентов организаций имеют не менее одной общедоступной рабочей нагрузки, под управлением операционной системы с истёкшим периодом технической поддержки, либо не получавшей обновлений безопасности последние 180 дней. Почти каждая вторая пренебрегает установкой актуальных патчей хотя бы на один из своих веб-серверов — именно такая небрежность стала главной причиной массовой утечки конфиденциальных данных из агентства кредитной отчётности потребителей, Equifax, три года назад.

Генеральный директор Orca, Ави Шуа (Avi Shua) считает, что большинство компаний всеми силами стараются поддерживать хорошую ИТ-гигиену, однако «всегда есть области, находящиеся за пределами видимости их радара».

Расширению эпидемии конфигурационных ошибок благоприятствует плохое понимание основ настройки политик доступа в сочетании с наивной верой в то, что облачные провайдеры сами позаботятся о полной безопасности клиентов.

Лишь за первую половину прошлого года Risk Based Security зарегистрировала 149 случаев неправильной настройки облачных баз данных и сервисов, которые в совокупности привели к раскрытию более 3,2 миллиардов приватных записей.

Один из типичнейших инцидентов, имевший место осенью прошлого года в компании CenturyLink, демонстрирует целый комплекс ошибок, вызванных небрежностью и некомпетентностью. Утечкой 2,8 млн клиентских записей обернулась ошибка конфигурирования облачной сети, в результате которой база данных MongoDB оставалась открытой для доступа из Интернета в течение 10 месяцев. На эту ошибку наложилось существование неадминистративной учётной записи с чрезмерными привилегиями идентификации и управления доступом. С такими админами не нужны никакие хакеры: ведь эта база даже не была зашифрована.

Впрочем, от шифрования не будет никакой пользы если криптографические ключи не спрятаны в надёжном месте, а этим грешили 72% клиентов фирмы Accurics. Аудит их безопасности показал, что незащищенные идентификационные данные часто хранились в файлах конфигурации в программных контейнерах, в которых размещается множество общедоступных приложений.

Orca обнаружила, что 44% исследованных организаций используют рабочие нагрузки с выходом в Интернет, которые содержат секреты и идентификационные данные, включая текстовые пароли и ключи прикладных программных интерфейсов (API), которые могли использоваться киберпреступниками для проникновения в защищённые компьютеры, а оттуда — во внутренние сети. Четверть клиентов Orca не защитили многофакторной аутентификацией облачные аккаунты, обладающие суперадминистративными или root-привилегиями.

Криворукие администраторы это лишь часть проблемы, ведь в целях снижения нагрузки на провайдеров ИТ и более быстрого удовлетворения потребностей, бизнес-пользователям всё чаще разрешают самостоятельно запускать собственные облачные сервисы.

Accurics сообщила, что в 90% исследованных организаций пользователи могли вносить изменения в действующую облачную инфраструктуру. Изменения политики управления доступом были отмечены в 82% внедрений, и почти половина пользователей создавали новые облачные экземпляры.

По прогнозам Gartner 99 процентов отказов облачной безопасности в течение следующих пяти лет будут обусловлены ошибками пользователей. Таким образом, человеческий фактор имеет неплохие шансы превратиться из основной практически в единственную угрозу облачной безопасности.


Все про современные облачные технологии!
Онлайн-конференция Google Cloud Next 20’ OnAir — старт 29 сентября!

+11
голос

Напечатать Отправить другу

Читайте также

 

Slack подает жалобу на Microsoft и требует антимонопольного расследования от ЕС

 
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT