Благодаря комплексному подходу, основанному на обеспечении видимости, анализе угроз и их обнаружении, организации могут использовать облачные технологии без ущерба для безопасности, пишет на портале The New Stack Дэвид Пузас, старший директор по маркетингу продуктов облачной безопасности компании CrowdStrike.
Компании переходят в облако ради таких преимуществ, как эффективность и масштабируемость, и задача служб безопасности состоит в том, чтобы это происходило безопасно.
В этой реальности ИТ-руководителям крайне важно понимать, каким образом злоумышленники атакуют их облачную инфраструктуру. Как можно предположить, злоумышленники в первую очередь выбирают «низко висящие фрукты» — системы и приложения, которые легче всего эксплуатировать.
В отчете CrowdStrike «2023 Global Threat Report» отмечается, что атакующие:
- нацеливаются на заброшенную облачную инфраструктуру, которую планируется вывести из эксплуатации и которая все еще содержит конфиденциальные данные;
- используют для утечки данных отсутствие ограничений на исходящие потоки и защиты рабочих нагрузок;
- применяют распространенные облачные сервисы для маскировки вредоносной деятельности.
Заброшенная или неправильно сконфигурированная облачная инфраструктура
Заброшенная и скоро выводимая из эксплуатации инфраструктура является основной мишенью для злоумышленников, зачастую потому, что она больше не получает обновлений конфигурации безопасности и регулярного обслуживания. Такие средства контроля безопасности, как мониторинг, расширенное протоколирование, планирование безопасности, а также управление средствами защиты, перестают существовать для этих активов.
Отсутствие ограничений на исходящие данные и безопасности жизненного цикла контейнеров
К сожалению, до сих пор встречаются случаи, когда заброшенная облачная инфраструктура по-прежнему содержит критически важные бизнес-данные и системы. В результате атак происходят утечки конфиденциальных данных, требующие проведения дорогостоящих расследований и предоставления отчетности. Кроме того, некоторые атаки на заброшенные облачные среды приводят к перебоям в работе сервисов, поскольку в них по-прежнему предоставляются критически важные услуги, которые не были полностью переведены на новую инфраструктуру. Ликвидация, локализация и восстановление после инцидента в таких средах также оказывают огромное негативное влияние на некоторые организации.
Атаки из облака
Злоумышленники не только атакуют облачную инфраструктуру, но и используют облака для повышения эффективности своих атак. За последний год для эксфильтрации данных и проксирования сетевого трафика злоумышленники использовали известные облачные сервисы, такие как Microsoft Azure, и сервисы синхронизации данных, такие как MEGA. Отсутствие ограничений на исходящий трафик в сочетании с недостаточной защитой рабочей нагрузки позволяло злоумышленникам взаимодействовать с локальными сервисами через прокси-серверы на IP-адреса в облаке. Это давало злоумышленникам дополнительное время для опроса систем и эксфильтрации данных из различных сервисов — от веб-интерфейсов API, используемых партнерами, до баз данных — и при этом создавалось впечатление, что атака происходит из сетей жертв. Такая тактика позволяла злоумышленникам избегать обнаружения, практически не оставляя следов в локальных файловых системах.
Как же защитить облачную среду?
Облако привносит новые нюансы в обеспечение надлежащей защиты, которые не во всем совпадают с традиционной моделью локального центра обработки данных. Команды, отвечающие за безопасность, стремясь придерживаться лучших практик, должны помнить о следующих моментах.
- Включайте защиту во время выполнения, чтобы иметь видимость в режиме реального времени. Невозможно защитить то, что не видно, даже если планируется вывести инфраструктуру из эксплуатации. Центральным элементом защиты облачной инфраструктуры от взлома является защита во время выполнения и видимость, обеспечиваемая защитой облачных рабочих нагрузок (CWP). По-прежнему важно защищать рабочие нагрузки с помощью средств защиты конечных точек нового поколения, включая серверы, рабочие станции и мобильные устройства, независимо от того, находятся ли они в локальном дата-центре, виртуальном кластере или в облаке.
- Устраняйте ошибки конфигурирования. Наиболее распространенной причиной вторжений в облако по-прежнему являются человеческие ошибки и упущения, допускаемые при выполнении обычных административных действий. Важно настроить новую инфраструктуру с применением стандартных шаблонов, которые облегчают выполнение безопасных операций. Одним из способов решения этой задачи является использование фабрики облачных учетных записей, позволяющей легко создавать новые субаккаунты и подписки. Такая стратегия обеспечивает предсказуемую настройку новых учетных записей, устраняя распространенные источники человеческих ошибок. Также необходимо настроить роли и группы сетевой безопасности, чтобы разработчикам и операторам не приходилось создавать собственные профили безопасности и случайно делать это некачественно.
- Используйте решение для управления средствами безопасности в облаке (CSPM). Убедитесь в том, что в вашем облачном аккаунте предусмотрены включение подробного протоколирования и CSPM — с оповещением ответственных лиц, включая команды облачных операций и операционных центров безопасности (SOC). Активно ищите неуправляемые подписки на облачные сервисы и, обнаружив их, не рассчитывайте, что они управляются кем-то другим. Вместо этого необходимо определить ответственных лиц и мотивировать их либо вывести из эксплуатации все теневые облачные ИТ-среды, либо передать их под полное управление наряду с CSPM. Затем используйте CSPM для всей инфраструктуры вплоть до полного вывода учетной записи или подписки из эксплуатации, чтобы обеспечить операционным командам постоянную видимость.
Поскольку облако динамично, то и инструменты, используемые для его защиты, должны быть динамичными. Видимость, необходимая для отслеживания типов атак, проходящих от конечной точки к различным облачным сервисам, невозможна при использовании изолированных продуктов безопасности, ориентированных только на определенную нишу. Однако при использовании комплексного подхода, основанного на обеспечении видимости, анализе угроз и их обнаружении, организации могут получить наилучшие возможности для использования облака без ущерба для безопасности.