info@it-solutions.ua пн-пт 09:00 - 18:00 (044) 586-26-76
Головна Блог Хмара ≠ безпека
Figure
22.06.2023

Хмара ≠ безпека

Цифрові показники кібератак на українські організації вражають. У 2022 році їх кількість зросла у 3,5 рази, порівняно з попереднім роком. Паралельно з атаками на ІТ-мережі органів державної влади, хакери штурмують і український бізнес. Найчастіше цілями стають організації, від яких залежить стійкість і життєдіяльність України, а саме –  фінансові установи, логістичні компанії, критична інфраструктура, енергетичний сектор, медіа тощо.

Microsоft у своєму звіті за 2022 рік назвала найпоширеніші галузі для гакерських атак в Україні. Серед них наступні:

27% – державні органи;
10% – ІТ-галузь;
9% – медіа;
8% – енергетика;
7% – транспорт;
7%  – телекомунікації;
5% – фінанси;
3%  – ритейлери.

Ця статистика, а також повномасштабне вторгнення призвели до росту хмарного ринку, в більшості завдяки змозі використовувати міжнародні хмарні сервіси. Якщо звернутися до хронології подій, отримаємо наступне:

  • 8 березня Національний банк врегулював питання щодо використання банками України хмарних послуг у своїй діяльності, випустивши постанову №42. Так, банки отримали можливість надавати банківські послуги, а також здійснювати процесинг, використовуючи хмарні сервіси, що надаються на території держав ЄС, Великобританії, США та Канади. Ця норма діятиме на період воєнного стану та впродовж двох років після його скасування.
  • З 12 березня Кабмін дозволивукраїнським державним установам у воєнний час користуватися хмарними технологіями з розміщенням даних у закордонних дата-центрах. Це рішення діє на час військового стану та шість місяців після скасовування військово стану.
  • 17 березня 2022-го Президент України підписав закон про хмарні послуги.

Це величезний прогрес в області хмар, але хмарні сервіси не гарантують 100% безпеки даних і систем. І ось декілька кейсів, які це демонструють:

Злом Okta став однією з найбільших атак 2022 року. Дані витекли на початку року через одного з постачальників послуг – компанію Sitel, яку було скомпрометовано через незахищений VPN-шлюз, що дістався їй від нещодавно придбаної організації. На щастя для обох організацій, хакером виявився 16-річний підліток, який працював один. Але, на жаль, цей випадок наочно показує, з якою легкістю просунуті зловмисники можуть атакувати популярні платформи (при цьому, швидше за все, залишаючись непоміченими). Okta –  великий постачальник послуг аутентифікації, і можна з упевненістю припустити, що злочинці, які контролюють мережу цієї компанії, зможуть інфікувати пристрої всіх її клієнтів.

28 лютого дослідники з Safety Detectives, використовували веб-сканери для пошуку незахищених сховищ даних. Вони найшли 6,5 Тб даних в сховищі AWS S3 Pegasus Airlines’ “Electronic Flight Bag” (EFB). Закрити цю вразливість вдалося тільки 24 березня.

Хоча не відомо, чи змогли зловмисники знайти критичні для компанії дані, але, як мінімум, PegasusEFB порушило приватність персоналу літака, а заодно і турецьке законодавство про захист даних. Зараз їм світить штраф у розмірі близько $183 000.

У березні 2022-го, угрупуванням Lapsus Hackers була зламана Microsoft Azure. Вони отримали доступ до облікового запису Azure DevOps. Але це тільки вершина айсбергу – є ознаки того, що під атаку потрапили Cortana, Bing та інші проєкти. Обсяг доступу хакерів до баз даних невідомий. Microsoft не розкривало повного обсягу інформації стосовно зламу.

Інша кіберзлочинна група, Mandiant відстежується як “UNC3944”, використовує фішингові атаки та підміну SIM-карт для викрадення облікових записів адміністраторів Microsoft Azure та отримання доступу до віртуальних машин.

Це все доказ того, що навіть великі хмарні провайдери не завжди захищенні від кіберзлочинців. Тому для захисту від загроз хмарним провайдерам і користувачам хмарних сервісів необхідно дбати про кібербезпеку на всіх рівнях – від фізичної безпеки дата-центрів до шифрування та тонкого налаштування доступу.

 

Відповідальність за безпеку у хмарі = провайдер + користувач

Великі хмарні провайдери – Azure, AWS і Google Cloud приділяють багато уваги кібербезпеці своїх сервісів. Вони мають засоби захисту на всіх рівнях – від фізичної безпеки дата-центрів до передових технологій кіберзахисту. Однак, цього не достатньо для повного захисту замовників. Чого ж не вистачає?

  • Замовники повинні вміти правильно налаштовувати і використовувати хмарні сервіси. В разі помилок в налаштуваннях, недостатній обізнаності персоналу безпека систем може бути порушена.
  • Відповідальність за доступ до даних і налаштування доступу до сервісів лежить на замовниках. Якщо це питання не буде враховано, то зловмисники зможуть скористатися наданими їм правами.
  • Замовники повинні подбати про безпеку рішень, які працюють з хмарними сервісами. Наприклад, веб-додатків або мобільних додатків. Якщо в них є вразливості, то хмарні сервіси також можуть постраждати.
  • Дані замовників повинні бути захищені, навіть якщо вони зберігаються в хмарі. Необхідно використовувати шифрування, тонкі налаштування доступу тощо.
  • Потрібно проводити перевірки безпеки власних хмарних рішень, щоб виявити можливі уразливості до того, як це зроблять зловмисники.

Тому, незважаючи на те, що хмарні сервіси великих провайдерів мають сильний рівень захисту, замовники повинні приділяти значну увагу питанням кібербезпеки, щоб зменшити ризики використання цих сервісів. Спільні зусилля провайдерів і замовників дозволять отримати максимальну безпеку.

Безпека = технічні заходи захисту + політика безпеки + навчання

Для забезпечення належного рівня безпеки у хмарі потрібно:

Вживати технічні заходи захисту

  • Використовувати шифрування даних і засоби контролю доступу
  • Встановлювати засоби захисту периметру мережі (мережеві екрани, системи превенції втрати даних)
  • Слідкувати за оновленнями і швидко усувати вразливості
  • Проводити регулярні перевірки безпеки і тестування на проникнення
  • Розробляти і впроваджувати належну політику безпеки:
  • Визначити відповідальних за безпеку і їх ролі
  • Створити формальний процес управління ризиками
  • Розробити політики доступу до даних, сервісів і систем
  • Встановити процедури реагування на інциденти
  • Проводити аудити дотримання політик безпеки

Навчати персонал з питань кібербезпеки

  • Навчати адміністраторів, розробників і користувачів безпечним практикам роботи з хмарними сервісами
  • Проводити тренінги з питань кібергігієни і соціальної інженерії
  • Роз’яснювати політики безпеки всім працівникам

Вимагати підписання угод про нерозголошення для усіх, хто має доступ до хмарних сервісів

Комплексний підхід, що поєднує перелічені елементи, забезпечить міцний захист хмарним рішенням.

У разі відсутності хоча б одного з цих елементів – безпека може бути порушена.

Фізичний рівень + віртуальний + рівень додатків + рівень даних = комплексний підхід до безпеки 

Головне для безпеки в хмарі – Ви маєте пам’ятати, що вона забезпечуватися на кількох рівнях.

Фізичний рівень – це безпека дата-центрів, де розгорнуті хмарні сервіси. Включає контроль фізичного доступу, системи відеоспостереження, пожежогасіння, резервне живлення тощо.

Віртуальний рівень – безпека віртуальної інфраструктури, що забезпечує роботу хмарних сервісів. Включає використання безпечних гіпервізорів і віртуальних машин, мережеву безпеку, шифрування тощо.

Рівень додатків – це безпека самих хмарних сервісів і додатків. Вимагає безпечного програмування, вчасного патчингу вразливостей, перевірок на проникнення тощо.

Рівень даних – безпека даних, що зберігаються і обробляються в хмарі. Включає шифрування даних, резервне копіювання, контроль доступу та інші механізми.

Цей комплексний підхід забезпечує багаторівневу оборону. Вразливість на одному рівні компенсується захистом на іншому. Наприклад, якщо хакер отримав доступ до фізичного рівня, шифрування даних на рівні даних перешкоджатиме крадіжці. Якщо є вразливість у віртуальному середовищі, то політики контролю доступу обмежать можливі наслідки.

Такий підхід до безпеки ускладнює роботу зловмисників, а для подолання такого захисту вимагається комбінація вразливостей і атак на різних рівнях. Це робить хмарні рішення більш стійкими до кібератак.

Критичні системи – в межах власної ІТ-інфраструктури

Хмарні сервіси дійсно корисні для багатьох додатків та зберігання даних, однак важливо розуміти, що їхня безпека може бути компрометована.

Хмарні сервіси можуть бути корисними для некритичних додатків та даних, оскільки забезпечують зручний доступ до даних та можуть бути більш ефективними та економічними, ніж власна ІТ-інфраструктура.

Однак, високий рівень безпеки не може бути гарантований у хмарних сервісах, особливо якщо вони не є приватними. Це може створювати загрозу для конфіденційності та цілісності даних.

Особливо критичні системи, які зберігають важливі дані, краще зберігати в межах власної ІТ-інфраструктури, де можна забезпечити високий рівень безпеки та контролювати доступ до даних.

Перш ніж використовувати хмарні сервіси для зберігання даних, важливо ретельно перевірити умови користування, політику конфіденційності та безпекові механізми, щоб забезпечити безпеку та захист персональних даних. Загалом, використання хмарних сервісів повинно бути обґрунтоване та максимально безпечним, враховуючи ризики та потенційні загрози для безпеки даних.

Хмара ≠ Безпека. IT-Solutions знає, як захиститись!

Загальні висновки з цих пунктів можуть бути наступними:

  • Хмарні сервіси не є повністю безпечними, і навіть провайдери хмарних сервісів можуть мати проблеми з безпекою. Отже, при використанні хмарних сервісів важливо враховувати ризики та постійно працювати над захистом даних.
  • Відповідальність за безпеку даних у хмарі лежить як на провайдері хмарних сервісів, так і на самій організації, яка використовує ці сервіси. Отже, важливо встановити чіткі політики безпеки та виконувати їх, а також забезпечити навчання персоналу.
  • Для забезпечення належного рівня безпеки у хмарі потрібно вживати як технічні заходи захисту, так і проводити належну політику безпеки та навчання персоналу. Це може включати захист на різних рівнях, від фізичного до рівня даних.
  • Безпека у хмарі має забезпечуватися на кількох рівнях, що потребує комплексного підходу. Для цього можна використовувати різноманітні технічні та організаційні заходи.
  • Хмарні сервіси можна використовувати для некритичних додатків та даних, але для критичних систем краще залишати їх в межах власної ІТ-інфраструктури. Однак, при цьому важливо мати належний рівень безпеки, незалежно від того, де зберігаються дані.
  • Зверніться до IT-Solutions і наші експерти проконсультують Вас щодо хмарних сервісів і їх безпеки.

 

 

 

Валерій Яцківський
Керівник напрямку з інформаційної безпеки
Досвід роботи в ІТ-сфері більше 18-ти років. З них 7+ в інформаційні безпеці. Аналізує та оцінює ризики, виявляє загрози та розробляє стратегії захисту для провідних українських компаній. Робить інформаційну безпеку пріоритетом №1.
Відповідальність за доступ до даних і налаштування доступу до сервісів лежить на замовниках. Якщо це питання не буде враховано, то зловмисники зможуть скористатися наданими їм правами.