© 1995-2022 Компания «Инфосистемы Джет»
Хмурые будни земных злоумышленников. Актуальные угрозы безопасности облачных сервисов
Информационная безопасность Информационная безопасность

Полет за облаками»? Дешёвый и безопасный бизнес-класс? Всё ли именно так, как нам обещают?

Главная>Информационная безопасность>Хмурые будни земных злоумышленников. Актуальные угрозы безопасности облачных сервисов
Информационная безопасность Тема номера

Хмурые будни земных злоумышленников. Актуальные угрозы безопасности облачных сервисов

30.05.2013

Посетителей: 36

Просмотров: 33

Время просмотра: 2.3

Авторы

Автор
Антон Новоселов В прошлом - эксперт Центра информационной безопасности компании «Инфосистемы Джет»
Полет за облаками»? Дешёвый и безопасный бизнес-класс? Всё ли именно так, как нам обещают? За что мы платим и действительно ли это того стоит? Сейчас вопросов больше, чем ответов. Мы же пытаемся во всем разобраться.

 

 

Зародившаяся некоторое время назад тенденция популяризации виртуализации и перехода крупных компаний к использованию этих технологий уже принесла свои плоды. Подход оказал существенное положительное влияние на бизнес некоторых крупных компаний финансовой промышленности, а также телеком-операторов.

 

Согласно данным сервиса отслеживания доли виртуализации на предприятиях корпоративного сегмента (V-index) компании Veeam, порядка 94% ИТ-директоров считают, что ее целесообразно использовать не только для эффективного управления ИТ-инфраструктурой (порядка 60%), но и в качестве средства развития основной стратегии ИБ (около 94%). Кроме того, она рассматривается как способ оптимизации финансовых затрат на информатизацию (порядка 52%) и уменьшения сложности ИТ-инфраструктуры. По мнению 87% респондентов, виртуализация на сегодняшний день предлагает также сравнительно эффективные способы защиты критически важных информационных ресурсов компании от стихийных бедствий.

 

Рис. 1. Особенности перехода к использованию технологий виртуализации

Будучи уже достаточно продолжительным, продвижение этих технологий в корпоративном секторе не проходит бесследно. В настоящее время тема продолжает активно развиваться, получив логическое продолжение в виде направления так называемых облачных вычислений. Согласно выводам агентства Gartner, распространение технологий виртуализации в её классическом применении замедляется, в последующие периоды она будет развиваться в облаке.

 

С одной стороны, перенос данных и прикладных сервисов (SaaS), платформ создания и функционирования бизнес-приложений (PaaS), а также инфраструктурных компонент (IaaS) компании в облака активно способствует консолидации ее ИТ-инфраструктуры и развитию бизнеса. С другой, это приводит к возникновению новых угроз информационной безопасности: к росту рисков нарушения ИБ за счет снижения уровня защищенности ИТ-ландшафта. Таким образом, возникающие угрозы способны свести все преимущества от использования облачных сервисов на нет.

 

С какими же угрозами мы можем иметь дело в облаке? Примеров много, и вот некоторые из них. Наш опыт показывает, например, что довольно часто провайдеры cloud-услуг используют для предоставляемых IaaS-сервисов неактуализированные в части критических обновлений безопасности образы предустановленного системного ПО. Эксплуатация злоумышленником уязвимости ПО облачного сервиса может привести к реализации удаленной сетевой атаки. В ее результате может быть произведено внедрение и привилегированное исполнение произвольного кода нарушителя на стороне сервиса. Это, в свою очередь, приведет к компрометации как его самого, так и облака в целом, возможно, будут нарушены доступность сервисов и получение доступа к обрабатываемой конфиденциальной информации. Тем не менее как концепций, так и самих средств обнаружения и предотвращения вторжений со стороны сети в облаке «из коробки» не предусматривается.

 

Рис. 2. Появление новых угроз ИБ

 

Так, функционирующее на одной из виртуальных машин IaaS-сервиса вредоносное ПО, определив факт применения виртуализации, имеет возможность получения несанкционированного доступа к ресурсам ее платформы, используя уязвимости гипервизора. При этом возможны несанкционированное выполнение указанным ПО привилегированных операций на уровне гипервизора, съем конфиденциальной информации с общих ресурсов оперативной памяти либо системы хранения данных аппаратной платформы облака.

 

Не исключен здесь и риск успешного применения методов социальной инженерии. Как показывает практика, риск компрометации облака существенно выше. Например, получив доступ к АТС компании, компании-контрагента либо обслуживающей организации, злоумышленники совершают звонок на Help Desk и прикидываются потерявшими свой пароль пользователями. На практике же выполнение задач социальной инженерии может быть еще более простым. Так, получив доступ к виртуальному рабочему месту скомпрометированного сотрудника или же, что наиболее критично, средствам управления облаком скомпрометированного администратора, злоумышленник может уничтожить либо скомпрометировать все функционирующие в cloud сервисы.

 

Централизация функций управления облаком при отсутствии средств формирования так называемых зон безопасности может привести к возможности преднамеренного хищения конфиденциальной информации, а также нарушения функционирования cloud-сервисов администраторами «смежных подразделений». Формирование зон безопасности предполагает разделение ресурсов и соответствующих администраторов облака на отдельные группы в зависимости от грифа обрабатываемых сведений, а также полномочий доступа, выполняемых задач и др.

 

Существенным минусом консолидации функций управления cloud-средой также является отсутствие возможности оперативного получения данных о работе такой инфраструктуры. Также не получаем мы и возможности достаточно гибкого управления инцидентами, в частности информационной безопасности облака. Журнальные сведения, которые мы получаем от средств виртуализации «из коробки», довольно скудны. Их информативность и детализация часто не удовлетворяют потребностям компаний с точки зрения организации процессов управления инцидентами ИБ.

 

Безусловно, «полет за облаками» привнесет несомненные преимущества в ИТ-инфраструктуру любой крупной компании. Насколько безопасен может быть этот полет? Это мы с вами уже выяснили. В то же время любая компания заинтересована прежде всего в безопасности собственного бизнеса. Следовательно, заинтересована она и в безопасности его опорной инфраструктуры. По этой причине можно однозначно говорить о том, что полет этот должен проходить в условиях обеспечения максимального уровня ИБ.

Уведомления об обновлении тем – в вашей почте

«Облачные вычисления»

Все слышали про Большой Адронный Коллайдер. Мало кому известны все "тонкости" его работы. Почти никто не может сказать, как он устроен. Потому что это «высокая наука», так сказать, физика «haute couture». А ведь коллайдер (или его вариант) раньше стоял в каждом доме.

Курс на облако с минимальным PUE

Если сравнивать современные принципы ЦОДостроения с теми, что были на коне лет 5 назад, можно проследить принципиальные отличия

Миграция в облако: наш опыт

На сегодняшний день создание частного облака — очень популярное направление развития ИТ-инфраструктуры во многих компаниях.

Облако: Проверено на себе

Последние два года тема облачных вычислений не сходит со страниц отраслевых изданий. Что касается непосредственно бизнеса, то и здесь наблюдается некоторый сдвиг в сторону cloud – имеют место первые осторожные попытки использовать эти технологии в реальной жизни.

Мониторинг приложений в стиле SaaS

Сегодня инструменты мониторинга приложений, предоставляемые по модели SaaS (есть даже термин MaaS, Monitoring As A Service), не очень востребованы крупными и средними российскими компаниями

«Облака»: мифы, ландшафт, стратегия

Шум вокруг «облаков» продолжает расти. На этой волне многие производители стремятся показать, что они современны и держат руку на пульсе. В результате почти на всем появляется лейбл «облачно».

«Облачные» решения как способ предоставления вычислительных ресурсов

В последние годы в сфере информационных технологий появилось и бурно развивается направление, получившее название «Cloud Computing» («облачные» вычисления).

Как перейти в облако и не облажаться

Свой дата-центр vs публичное облако. Кто кого? Варианты использования публичных облаков в корпоративном ИТ-ландшафте? Что нужно учитывать при переносе приложения в cloud-среду?

Обл'исполком

Рисунок «облака» всегда был стандартной метафорой для обозначения некоего общего для определённых терминальных устройств источника существования. Терминальные устройства менялись, метафора оставалась.

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня