Захист хмарного середовища потребує інших підходів

5 август, 2024 - 19:36Олександр Савушкін

Усе почалося близько 12 років тому, коли з'явилася можливість запускати набагато потужніші алгоритми. Ми нарешті змогли збирати й аналізувати дані у великому обсязі, власне, так це і назвали: великі дані, big data. Але нам також потрібен був спосіб зберігати ці дані з мінімальними витратами, і так з'явилися віртуальні мережі.

Водночас коли мобільні застосунки поширилися по всьому світу, даним раптом знадобилося переміщатися, бути скрізь. Так ми отримали хмарних провайдерів. Проблеми хмарних обчислень розв'язували за допомогою масштабованого коду, розбитого на сервіси, що працюють на віртуальних машинах, які стають активними за викликом.

До цього часу з'явилося машинне навчання для оптимізації даних і отримання глибоких висновків. З'явилася система Kubernetes, що забезпечує додаткову гранулярність кодування і запуску сервісів.

Криптовалюти призвели до зростання обчислень на GPU, а генеративний AI став реальністю. І нарешті, саме пандемія ковіду дала хмарам найбільший поштовх.

Віддалені кінцеві точки, дані, що доступні звідусіль, і швидкість розвитку технологій - все це вимагає хмарних сервісів. Сьогодні компанії від малого до великого або вже працюють у хмарі, або збираються це зробити.

Хмара стала невіддільною частиною нашого повсякденного життя і досягла такого рівня розвитку, що її присутність стала повсюдною. Хмара надала нам безліч переваг і можливостей, які раніше неможливо було навіть уявити. Зрозуміло, не обійшлося і без проблем. Однак нам необхідно зрозуміти, що хмара - це не проблема, а її рішення. Використовуючи переваги хмари, ми зможемо поліпшити заходи безпеки найближчими роками та вивести нашу роботу на новий рівень.

Додатки засновані на двох основних каналах обміну даними: вхід до хмари, де користувачі надсилають запити на різні послуги з хмарного додатка через публічний інтернет, мобільні мережі та VPN. Потім є службовий вхід - з нього постійно надходять код і дані для підтримки роботи застосунку. Отже, по суті, ми захищаємо “дроти” комунікації. Ми намагаємося зрозуміти кожен зроблений запит, і у нас є набір інструментів, щоб підтвердити, що обмін безпечний.

Але така велика кількість обміну даними по різних каналах і в гібридних хмарах також може призвести до неприємностей. Якщо подивитися на цю спрощену схему ланцюжка постачання, то одразу побачимо безліч компонентів, які обмінюються даними та потенційно можуть слугувати чорним ходом для проникнення хакерів у ваше середовище.

Щоразу, коли дані обмінюються між компонентами, існує ризик, що вони будуть порушені або піддані маніпуляціям. Додайте до цього той факт, що ви покладаєтеся на безліч сторонніх каналів і служб, що обмінюються даними, які також можуть мати свій власний набір вразливостей.

Щоб захистити бізнес, ми використовуємо різні заходи безпеки, як-от WAF для вхідних даних, CSPM і захист робочих навантажень для хмарного вмісту, а також застосовуємо сканування коду та мережеву безпеку для кінцевих точок. Завдяки цим заходам ми впевнені, що зможемо впоратися з будь-якими відомими ризиками. Однак ми не можемо виключати те, що є можливість виникнення невідомих ризиків, тому необхідно зберігати пильність і адаптованість у підході до безпеки.

Спробуймо зрозуміти, від чого іде захист, почавши з базових визначень. Відомі вразливості означають і те, що ми робимо самі, наприклад:

- неправильна конфігурація або приховані облікові дані,
- відомі вразливості, які можуть дозволити шкідливу активність доти, доки не будуть виправлені та...
- динамічні індикатори ризику, засновані на широкій базі даних індикаторів атак, таких як підозрілі моделі поведінки, шкідливі IP-адреси, шаблони атак і т.д.

Постійний пошук цих проблем та індикаторів дозволяє нам забезпечувати безпеку, захист та нетерпимість у мережі додатків.

Але можуть бути й невідомі вразливості, наприклад:

- невиявлені вразливості програмного забезпечення, які можуть призвести до того, що програмний компонент відхилиться від свого початкового призначення та дозволить отримати доступ або маніпулювати ним;
- вразливі «чорні ходи», деякі з яких створені спеціально (наприклад, функція "забув пароль"), та ненавмисні «чорні ходи», виявлені зловмисниками, або, нарешті, просто нові техніки та методи атак, які хакери постійно винаходять, а ми про них поки що не знаємо. Тому що ми не знаємо, як захиститися від цих невідомих ризиків - а вони, звісно ж, саме те, що шукають зловмисники, і тому експлойти нульового дня стали так поширені.

Основний спосіб, за допомогою якого йдуть повідомлення про невідомі уразливості, - це використання CVE або Common Vulnerability and exposure - це спосіб тримати команди безпеки в курсі останніх проблем, а найчастіше і їхніх рішень та виправлень.

Тільки у 2022 році користувачами Інтернету по всьому світу було виявлено понад 25000 нових CVE - це найвищий річний показник на сьогодні. Це означає, що в середньому спеціаліст з безпеки розпочне свій ранок з 68 CVE, третина з яких представлятиме високий чи критичний ризик. Це 68 нових CVE щодня на рік.

Але також цікаво відзначити, що дозвіл CVE займає в середньому 65 днів, тому доти, доки не вийде стабільна латка, що усуває основну проблему, єдина лінія захисту, яка у вас є, - це WAF, а ваш WAF сліпий до невідомих атак поки не буде випущена сигнатура.

У минулому штучний інтелект дозволяв нам робити великі речі - починаючи зі здатності оптимізувати роботу з великими обсягами даних чи покращувати процеси, а з розвитком CNAPP та консолідації даних ми тепер можемо розглядати дані про загрози як єдине ціле та отримувати висновки, які допомагають нам покращувати та масштабувати нашу безпеку.

Але що якщо використовувати той же AI, щоб дивитися не зовні, а всередину? Якщо ми отримаємо глибоке розуміння нормальної поведінки програми, ми зможемо виявити все, що виходить за межі цієї норми, і просто заблокувати це.

Наприклад Check Point CloudGuard WAF використовує запатентований механізм машинного навчання для безперервного аналізу вебзапитів та API-запитів користувачів за протоколом HTTP. AI-движок WAF вивчає, як користувачі зазвичай взаємодіють з  вебдодатком, і автоматично виявляє запити, що виходять за межі звичайних операцій. Ці запити далі аналізуються, щоб вирішити, чи є запит шкідливим, чи ні. Така точність забезпечує практично повну відсутність помилкових спрацьовувань і дозволяє блокувати проблеми, не покладаючись на сигнатури чи правила.

CloudGuard WAF – це нове покоління брандмауерів вебдодатків. Він поширюється у вигляді нано-агентів у хмарному середовищі, ефективно перехоплюючи всі HTTP-взаємодії та аналізуючи їх у режимі реального часу. Це рішення не покладається на сигнатури або правила для блокування атак, а використовує два етапи для забезпечення захисту від відомих та невідомих ризиків.

На першому етапі механізм впровадження, що базується на машинному навчанні, шукає індикатори атак у HTTP-запиті. Оцінка заснована на моделі, яка ідентифікує індикатори та пов'язує їх з певною статистичною ймовірністю або "балом" того, що вони є частиною атаки.

Бали надаються кожному індикатору окремо і парам індикаторів. З іншого боку, індикатори асоціюються з певними сімействами атак, у яких зазвичай зустрічаються. Процес підрахунку балів дозволяє CloudGuard прийняти точне початкове рішення про можливість атаки на HTTP-запит.

На цьому традиційні WAF закінчуються. А ось у другій частині відбувається найцікавіше. Підозрювані запити аналізуються за допомогою механізму оцінки контекстного машинного навчання, щоб отримати додаткову впевненість у тому, що будь-який HTTP-запит, визнаний потенційно шкідливим, дійсно є атакою. Зіставляються додаткові параметри, такі як: структура програми, поведінка користувача/групи, контент користувача та транзакції, а також багато іншого. Це дозволяє досягти надзвичайно точного виявлення, ефективно виявляючи будь-який нерегулярний або шкідливий запит і блокуючи його.

Слід зазначити, що CloudGuard WAF успішно блокував ВСІ великі атаки нульового дня за останні роки, включаючи Log4Shell, Spring4Shell та MOVEit. Наші клієнти були захищені з першого дня, їм навіть не потрібно було запускати оновлення.

Сьогодні для захисту хмарного середовища необхідні рішення, засновані на запобіганні загрозам, які боронять бізнес від відомих та невідомих ризиків, незалежно від їхнього походження.