© 1995-2022 Компания «Инфосистемы Джет»
Хмурые будни земных злоумышленников. Актуальные угрозы безопасности облачных сервисов
Информационная безопасность Информационная безопасность

Полет за облаками»? Дешёвый и безопасный бизнес-класс? Всё ли именно так, как нам обещают?

Главная>Информационная безопасность>Хмурые будни земных злоумышленников. Актуальные угрозы безопасности облачных сервисов
Информационная безопасность Тема номера

Хмурые будни земных злоумышленников. Актуальные угрозы безопасности облачных сервисов

30.05.2013

Посетителей: 60

Просмотров: 54

Время просмотра: 0.8 мин.

Авторы

Автор
Антон Новоселов В прошлом - эксперт Центра информационной безопасности компании «Инфосистемы Джет»
Полет за облаками»? Дешёвый и безопасный бизнес-класс? Всё ли именно так, как нам обещают? За что мы платим и действительно ли это того стоит? Сейчас вопросов больше, чем ответов. Мы же пытаемся во всем разобраться.

 

 

Зародившаяся некоторое время назад тенденция популяризации виртуализации и перехода крупных компаний к использованию этих технологий уже принесла свои плоды. Подход оказал существенное положительное влияние на бизнес некоторых крупных компаний финансовой промышленности, а также телеком-операторов.

 

Согласно данным сервиса отслеживания доли виртуализации на предприятиях корпоративного сегмента (V-index) компании Veeam, порядка 94% ИТ-директоров считают, что ее целесообразно использовать не только для эффективного управления ИТ-инфраструктурой (порядка 60%), но и в качестве средства развития основной стратегии ИБ (около 94%). Кроме того, она рассматривается как способ оптимизации финансовых затрат на информатизацию (порядка 52%) и уменьшения сложности ИТ-инфраструктуры. По мнению 87% респондентов, виртуализация на сегодняшний день предлагает также сравнительно эффективные способы защиты критически важных информационных ресурсов компании от стихийных бедствий.

 

Рис. 1. Особенности перехода к использованию технологий виртуализации

Будучи уже достаточно продолжительным, продвижение этих технологий в корпоративном секторе не проходит бесследно. В настоящее время тема продолжает активно развиваться, получив логическое продолжение в виде направления так называемых облачных вычислений. Согласно выводам агентства Gartner, распространение технологий виртуализации в её классическом применении замедляется, в последующие периоды она будет развиваться в облаке.

 

С одной стороны, перенос данных и прикладных сервисов (SaaS), платформ создания и функционирования бизнес-приложений (PaaS), а также инфраструктурных компонент (IaaS) компании в облака активно способствует консолидации ее ИТ-инфраструктуры и развитию бизнеса. С другой, это приводит к возникновению новых угроз информационной безопасности: к росту рисков нарушения ИБ за счет снижения уровня защищенности ИТ-ландшафта. Таким образом, возникающие угрозы способны свести все преимущества от использования облачных сервисов на нет.

 

С какими же угрозами мы можем иметь дело в облаке? Примеров много, и вот некоторые из них. Наш опыт показывает, например, что довольно часто провайдеры cloud-услуг используют для предоставляемых IaaS-сервисов неактуализированные в части критических обновлений безопасности образы предустановленного системного ПО. Эксплуатация злоумышленником уязвимости ПО облачного сервиса может привести к реализации удаленной сетевой атаки. В ее результате может быть произведено внедрение и привилегированное исполнение произвольного кода нарушителя на стороне сервиса. Это, в свою очередь, приведет к компрометации как его самого, так и облака в целом, возможно, будут нарушены доступность сервисов и получение доступа к обрабатываемой конфиденциальной информации. Тем не менее как концепций, так и самих средств обнаружения и предотвращения вторжений со стороны сети в облаке «из коробки» не предусматривается.

 

Рис. 2. Появление новых угроз ИБ

 

Так, функционирующее на одной из виртуальных машин IaaS-сервиса вредоносное ПО, определив факт применения виртуализации, имеет возможность получения несанкционированного доступа к ресурсам ее платформы, используя уязвимости гипервизора. При этом возможны несанкционированное выполнение указанным ПО привилегированных операций на уровне гипервизора, съем конфиденциальной информации с общих ресурсов оперативной памяти либо системы хранения данных аппаратной платформы облака.

 

Не исключен здесь и риск успешного применения методов социальной инженерии. Как показывает практика, риск компрометации облака существенно выше. Например, получив доступ к АТС компании, компании-контрагента либо обслуживающей организации, злоумышленники совершают звонок на Help Desk и прикидываются потерявшими свой пароль пользователями. На практике же выполнение задач социальной инженерии может быть еще более простым. Так, получив доступ к виртуальному рабочему месту скомпрометированного сотрудника или же, что наиболее критично, средствам управления облаком скомпрометированного администратора, злоумышленник может уничтожить либо скомпрометировать все функционирующие в cloud сервисы.

 

Централизация функций управления облаком при отсутствии средств формирования так называемых зон безопасности может привести к возможности преднамеренного хищения конфиденциальной информации, а также нарушения функционирования cloud-сервисов администраторами «смежных подразделений». Формирование зон безопасности предполагает разделение ресурсов и соответствующих администраторов облака на отдельные группы в зависимости от грифа обрабатываемых сведений, а также полномочий доступа, выполняемых задач и др.

 

Существенным минусом консолидации функций управления cloud-средой также является отсутствие возможности оперативного получения данных о работе такой инфраструктуры. Также не получаем мы и возможности достаточно гибкого управления инцидентами, в частности информационной безопасности облака. Журнальные сведения, которые мы получаем от средств виртуализации «из коробки», довольно скудны. Их информативность и детализация часто не удовлетворяют потребностям компаний с точки зрения организации процессов управления инцидентами ИБ.

 

Безусловно, «полет за облаками» привнесет несомненные преимущества в ИТ-инфраструктуру любой крупной компании. Насколько безопасен может быть этот полет? Это мы с вами уже выяснили. В то же время любая компания заинтересована прежде всего в безопасности собственного бизнеса. Следовательно, заинтересована она и в безопасности его опорной инфраструктуры. По этой причине можно однозначно говорить о том, что полет этот должен проходить в условиях обеспечения максимального уровня ИБ.

Уведомления об обновлении тем – в вашей почте

«Облако — важнейший внутренний элемент любой мировой экосистемы»

Насколько российский облачный рынок отстает от западного? Почему Сбер — не основной клиент SberCloud? Можно ли провести цифровую трансформацию без облачных решений?

«Облачные» решения как способ предоставления вычислительных ресурсов

В последние годы в сфере информационных технологий появилось и бурно развивается направление, получившее название «Cloud Computing» («облачные» вычисления).

Как перейти в облако и не облажаться

Свой дата-центр vs публичное облако. Кто кого? Варианты использования публичных облаков в корпоративном ИТ-ландшафте? Что нужно учитывать при переносе приложения в cloud-среду?

Миграция в облако: наш опыт

На сегодняшний день создание частного облака — очень популярное направление развития ИТ-инфраструктуры во многих компаниях.

Интервью с руководителем службы ИТ-архитектуры прикладных систем «Лето Банка» Сергеем Чиковым

Почему «Лето Банк» выбрал для себя путь аутсорсинга в части ИТ-систем, смогут ли российские банки заменить иностранных вендоров отечественными производителями

«Что важнее: качество продукта или новые фичи?»

Зачем Yandex.Cloud планирует экспансию в Казахстан? Какие бизнес-результаты приносит просвещение клиентов? С какими управленческими решениями сталкивается операционный директор Yandex.Cloud?

Программно-определяемые грузоперевозки

Еще недавно слово «аппаратный» было синонимом надежности и производительности. Каждая задача – на своем сервере. Все сетевые устройства непременно аппаратные, в массивных корпусах и с большим количеством лампочек.

Как «Яндекс.Облако» разрабатывает свои сервисы

На что стоит обращать внимание при выборе облачной платформы

«Облачные» решения от EMC

Корпорация EMC в числе первых начала разработку продуктов, предназначенных для построения «облачной» инфраструктуры. В настоящее время EMC является лидером на рынке решений Cloud Ready для СХД.

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня