«Облачные» технологии: риски, мифы и инструкции по безопасности

Многие компании все еще не вернулись в докарантинный офлайн-режим работы и оставили сотрудников на удаленке. Как обеспечить безопасный доступ к данным в домашней сети? Один из способов — облачные сервисы. Однако исследования показывают, что не все спешат хранить там бизнес-информацию.

1255 просмотров

Директор по информационной безопасности ИТ-холдинга ТalentТech Иван Дмитриев объяснил, как избежать рисков и безболезненно перейти на облачные сервисы.

Что останавливает компании от широкого использования облачных хранилищ

• 61% — никто не застрахован от прекращения работы провайдера,
• 49% — отсутствие вменяемой финансовой ответственности поставщика решения за ненадлежащую работу,
• 60% — перспектива передачи ответственных приложений и данных внешним дата-центрам.

Последний пункт логичен, но безоснователен. Утечки происходят и во внутренних системах. Просто часто они не получают большой огласки.

Облачные провайдеры вкладывают больше ресурсов в информационную безопасность, чем их потенциальные заказчики, потому что это основа их бизнеса. На 1,5-2 тысячи сотрудников в компании-клиенте приходится один специалист по ИБ.

Что дает компании переход на облачные сервисы

• Получаете доступ к данным с любого устройства. Достаточно всего лишь подключиться к сети.
• Быстро организуете совместную работу. Например, сервис «Компас» помогает управлять работой команды, устанавливать цели для каждого в связке с глобальными целями компании и отслеживать результаты.
• Платите только за то место в хранилище, которое используете. При этом не тратитесь на аренду серверов и неиспользуемые ресурсы.
• Отпадает обслуживание собственной инфраструктуры.
• Не отвечаете за резервирование и сохранение целостности данных. Это забота облачного провайдера

Правила работы с облачным провайдером

Цель облачных сервисов — упростить рабочие процессы компании. Например, сервис Potok за счет сбора всех данных в едином окне ускоряет процесс найма до 45%, как это было при работе с финансовым институтом ДОМ.РФ.

Дашборд ДОМ.рф Potok.io

• Проверьте, инвестирует ли компания в облачные решения, как обеспечивает безопасность, работает ли в России, есть ли успешные клиентские кейсы и репутация бренда. Например, мы предоставляем изоляцию и криптографическое преобразование данных. Они помогают защитить информацию TalentTech и клиентов компании от несанкционированного доступа со стороны персонала. Проверить это можно только экспертно – за это отвечают специалисты по инфобезопасности и ИТ.

• Оцените уровень сервиса (SLA): гарантированное время доступности, порядок резервного копирования, обязанность обеспечения доступности информации при форс-мажоре. Опять же, оценивать это должен эксперт по инфобезопасности. Обычно на стороне потребителя есть некий опросник и понимание уровня сервиса, который хочется получить, а также, насколько приобретаемое решение впишется в систему.

• Проанализируйте риски конфиденциальности и доступности данных при переезде на облачный сервис, а также предложенные провайдером меры управления.

• Проверьте, соответствуют ли правила провайдера вашим требованиям к ИБ. Поставщик должен обеспечить контроль рисков целостности, конфиденциальности и доступности принадлежащей вам информации. Например, в TalentTech для анализа защищенности используют Qualys, Nessus, App Screener, Supply chain security. Также мы выстраиваем процесс безопасной разработки и CI/CD-процессы.

• Убедитесь, что ЦОД сервиса находится в России и соответствует уровню защищенности, указанном в ФЗ-152 и приказе ФСТЭК № 2. Для подтверждения у компании должен быть свой аттестат или заключение от лицензиата ФСТЭК.

Цифровые навыки сотрудников – залог успеха

При работе в офисе достаточно было настроить правила на уровне корпоративной сети. Теперь, когда все дома, нужно искать другие способы защитить данные, потому что информация хранится у сотрудников.

Пока еще нет универсальных советов или способов защитить устройства персонала от киберугроз. Но есть несколько правил, которые помогут снизить шансы отдать данные злоумышленникам.

Организуйте с сотрудниками встречу или напишите подробный мануал по основам информационной безопасности, где расскажете:

• о возможных угрозах,
• почему нельзя вводить рабочие данные на сторонних сайтах,
• как выглядят фишинговые письма,
• почему нельзя скачивать антивирус из первой ссылки поиска,
• зачем нужен антивирус, сложные пароли и двухфакторная авторизация.

С помощью технологий адаптивного тестирования можно проверить уровень владения цифровыми навыками и основами кибербезопасности. Например, сеть “Магнит” во время карантина 2020 использовала решение TalentTech.Обучение для оценки знаний команды. Помимо основ кибербезопасности, оценивалось владение статистическим аппаратом, Excel и удаленной коммуникацией.

Инструкция для отделов информбезопасности

• Пропишите порядок доступа к информации.
• Используйте облачные сервисы в enterprise-версии. В ней гораздо больше механизмов ИБ.
• Купите сертификат удостоверения подлинности соединения и установите доверенные сертификаты на все сервисы, которыми сотрудники пользуются удаленно. Объясните им, что если соединение предупредит о недостоверности, то его нужно немедленно разорвать.
• Настройте контроли с максимальной прозрачностью. У вас должна быть возможность в любой момент узнать, кто и откуда подключился, с помощью чего и легитимно ли работает.
• Организуйте дежурство специалистов по информационной безопасности и перераспределите зоны ответственности и мониторинга.
• Требуйте, чтобы сотрудники регистрировались на корпоративных облачных ресурсах только с помощью рабочих имейлов. Исключите личные электронные адреса и телефоны. Иначе рискуете потерять доступ к собственной информации.
• Следите за настроиками облачных сервисов. Доступ всегда должен быть только по белым спискам.
• Разработайте минимально необходимый и достаточный чек-лист требований для используемых удаленно сервисов. Это позволит не потерять оперативность при внедрении и контролировать большинство рисков.

Невозможно быть уверенным на 100% в защищенности. Но даже эти небольшие правила помогут снизить риски утечки, кражи и потери данных.

10 рекомендаций по защите облачных данных для клиентов

27.02.2020, г. Москва — Когда дело доходит до вопросов конфиденциальности данных, большинство из нас не знает точно, как много организаций хранят наши данные — не говоря уже о том, каким образом они её собирают и для чего используют. К сожалению, ставки очень высоки, особенно когда соответствующие меры по защите персональных данных не применяются. Как следствие, у вас могут украсть вашу цифровую личность, деньги и многое другое.

Несмотря на то, что облако предоставляет широкие возможности для увеличения производительности, связи и удобства работы, оно также требует новых способов обеспечения безопасного использования. Существует много рекомендаций, ниже 10 лучших на наш взгляд.

1. Не используйте один пароль для всего

Повторное использование пароля является распространенной проблемой, особенно в потребительских облачных сервисах. Если вы повторяете один пароль везде, потребуется взломать лишь один облачный сервис — и после того, как преступники украдут ваши учетные данные через один сервис, они потенциально получат доступ ко всем записям, имеющим те же учетные данные, включая банковские платформы, электронную почту и другие службы, где хранится конфиденциальная информация. При первом использовании облачного сервиса легко подумать, что если данные, которые вы вводите в этом конкретном сервисе, не являются конфиденциальными, то не имеет значения, используете ли вы свой любимый пароль. Но правильно думать так: много паролей, одно нарушение. Один пароль (потенциально) много нарушений. Если вы беспокоитесь о способности запомнить их, подумайте об установке менеджера паролей.

1. Не делитесь папками, делитесь файлами

Многие облачные сервисы позволяют осуществлять совместную работу или обмен файлами. Если вы хотите поделиться только несколькими файлами, делитесь ими, а не полной папкой. Слишком легко открыть общий доступ, не осознавая, что еще находится в папке, или забыть, с кем вы этим делитесь (или что делились этим вообще!), а позже добавить личные файлы, которые никогда не предназначались для распространения.

1. Будьте осторожны с автосинхронизацией (это может привести к появлению вредоносных программна вашем компьютере)

Если вы делитесь папкой с кем-то, многие облачные службы обеспечивают автоматическую синхронизацию, поэтому, когда другой пользователь добавляет новые файлы, они синхронизируются со всеми в общей папке. Опасность заключается в том, что, если тот, с кем вы делитесь, заражается вредоносной программой — эта вредоносная программа может быть загружена в облако и тогда автоматически попадет на ваши устройства.

1. Будьте осторожны с сервисами, которые запрашивают ваши данные

При входе в новый сервис вас могут попросить указать некоторые личные данные, например, дату рождения. Почему они это спрашивают и что они будут делать с этой информацией? Они могут связать это с электронным адресом, другой сервис потребует ваш почтовый индекс, а третий запросит номер мобильного телефона. Вы можете сами увидеть, что этого достаточно, чтобы попытаться украсть вашу цифровую личность любому, кто сопоставит все данные. Если нет причин предоставлять сервису эти данные, используйте другой сервис (или введите неверную информацию).

1. Ознакомьтесь с лицензионным соглашением и политикой конфиденциальности — кому принадлежат данные?

Знаем, что это звучит тяжело, но это важно. Облачный провайдер заявляет, что владеет данными, которые вы загружаете? Это может дать им право или, по крайней мере, достаточно прав, по их мнению, продавать ваши данные информационным брокерам. Это происходит чаще, чем вы думаете — никогда не используйте сервис, который утверждает, что владеет вашими данными.

1. Подумайте дважды о мобильных приложениях и их сборе данных

Многие облачные сервисы имеют свое мобильное приложение. Перед использованием мобильного приложения посмотрите пример данных, которые оно собирает. Часто приложение собирает больше данных, чем в случае доступа к сервису через браузер.

IT-отделы некоторых организаций, перед разрешением использовать ту или иную облачную службу в рамках предприятия, самостоятельно её изучают. В их интересах обеспечить безопасность своих пользователей, тем более многие устройства теперь содержат как личные, так и рабочие данные. Спросите у них, проверяли ли они облачную службу, прежде чем позволять сотрудникам ей пользоваться.

1. Не используйте общественные точки доступа Wi-Fi без приложения VPN для шифрования

Общественный Wi-Fi может быть местом перехвата данных. Всегда используйте VPN или другую технологию, чтобы обеспечить шифрование данных между вашим устройством и облачными службами, подключаясь к общественной Wi-Fi сети.

1. Включите многофакторную аутентификацию

Хорошо спроектированные облачные сервисы будут предлагать дополнительные способы обеспечения безопасности, такие как многофакторная аутентификация. Используйте эти и любые другие способы, которые вы знаете.

1. Не делите одну учетную запись с друзьями или семьей

Наша вторая природа — делиться с друзьями и семьей. Но заботятся ли они о безопасности так же, как и вы? Не делите один аккаунт, иначе, когда они лишатся защиты, ваши данные тоже могут быть скомпрометированы.

Данный материал является частной записью члена сообщества Club.CNews.
Редакция CNews не несет ответственности за его содержание.

«Облако для начинающих»: Как защитить IaaS-инфраструктуру

Сегодня треть компаний Соединенных Штатов использует облако в своей работе. При этом ожидается, что к 2020 году количество облачных потребителей как минимум удвоится. Согласно опросу, в котором приняли участие более 250 тыс. представителей сообщества информационной безопасности, 71% респондентов планируют переходить на облачные технологии или уже активно их используют.

Похожая ситуация наблюдается и в России. Фокус постепенно смещается в сторону облаков, поэтому компаниям приходится уделять внимание вопросам безопасности. В нашем сегодняшнем материале мы бы хотели остановиться на этом моменте поподробнее и привести несколько рекомендаций, которые позволят защитить облачную среду.

/ фото Henri Bergius CC

Физическая защита облака

Поскольку речь идет об облачной инфраструктуре, то задачи по контролю физического доступа ложатся на плечи облачного провайдера. Поэтому стоит убедиться, что к хостам не допускаются посторонние. Если вам отказывают в проведении экскурсий или не предоставляют важную информацию о том, как обеспечивается защита инфраструктуры от неавторизованного доступа, то это повод забеспокоиться.

Если же провайдер демонстрирует машинные залы, инженерные и другие сервисные помещения, позволяя вам посмотреть на «кухню» изнутри, то это хороший знак. Например, провайдер, услугами которого пользуется компания «ИТ-ГРАД», предоставил исчерпывающую информацию о том, где размещается облако, как работают системы связи, обеспечивается безопасность на объекте. Все это мы описывали в одном из наших материалов.

Стоит отметить, что нужно доверять свои данные только дата-центрам, прошедшим сертификацию. Оценить состояние ЦОД возможно и самостоятельно, но на это может уйти очень много времени. Дополнительно следует изучить юридический статус дата-центра и узнать, есть ли у провайдера все необходимые государственные лицензии и контракты на поддержку систем в случае наступления аварийной ситуации.

Наши материалы по теме

Защита от утечек данных

«Организации страдают от широкого и масштабного спектра угроз, что, безусловно, является поводом для беспокойства. Успешно реализованные атаки оказывают непосредственное влияние на бизнес клиентов и носят деструктивный характер», – говорит представитель компании Arbor Networks Даррен Ансти (Darren Anstee).

Поэтому данные, передаваемые в облако провайдера, должны быть защищены. Вам нужно знать, кто получил доступ к информации, какие операции были с ней проведены, с какого адреса пришел запрос. Все эти вопросы могут быть решены с помощью сервисов управления правами доступа к бизнес-критическим данным. Также стоит задуматься о создании политики «самоуничтожения» для важной информации, которой не нужно «жить» бесконечно долго за пределами корпоративного дата-центра.

Одним из способов защиты передаваемых данных является шифрование. Чтобы защитить информацию должным образом, стоит внедрить шифрование на каждом этапе жизненного цикла данных. Если приложения на мобильных корпоративных устройствах кэшируют данные, такой подход позволит предотвратить утечку в случае потери гаджета.

На рынке представлено множество решений для обеспечения шифрования данных в облаке. Например, одним из них является SecureCloud от Trend Micro. Система шифрует диски виртуальных машин с использованием ключей шифрования, хранимых в SecureCloud, который инициирует процессы шифрования/расшифровывания защищаемых модулей хранения. Архитектурно решение состоит из системы управления, предоставляемой как сервис с доступом через консоль и агентов, установленных на защищаемых виртуальных машинах.

Несколько других популярных сервисов для шифрования данных в облаке предложили пользователи Reddit.

Защита доступа по API

Стоит ограничить доступ к веб-консоли, поскольку неавторизованный доступ по API может быть крайне разрушительным для систем. Тем, кто пользуется интерфейсами программирования приложений, стоит воспользоваться функциями настройки доступа и управления аутентификацией.

Пожалуй, самым мощным инструментом остается «белый список» IP-адресов, позволяющий обозначить ограниченное количество адресов для каждого API-вызова. Вдобавок к этому имеет смысл использовать иные способы подключения к API. Например, вы можете применять комбинацию ключей UUID / API вместо логина и пароля, чтобы разделить доступ к API и веб-консоли.

Аутентификация и авторизация

Здесь следует рассмотреть использование многофакторных типов аутентификации. Введение дополнительного уровня безопасности обеспечивает более эффективную защиту систем от несанкционированного доступа.

При этом облачные провайдеры должны предоставлять свои клиентам возможность настройки уровней доступа для каждого пользователя в соответствии с политиками безопасности компании. Например, один сотрудник может генерировать запросы на покупку товара, а другой, обладая иными правами доступа, их подтверждать.

Наши материалы по теме

Мониторинг активности

Когда виртуальные машины создаются и переносятся между серверами автоматически, вы не можете знать наверняка, где находится ваша информация. Поэтому для эффективной работы облачной среды необходимо настроить системы логирования и составления отчетов.

Такие системы важны для управления сервисами и оптимизации. Убедитесь, что все операции с СХД и памятью записываются в журналы событий, которые хранятся в нескольких защищенных местах с ограниченным доступом.

Также имеет смысл обратить внимание на технологию глубокого анализа трафика DPI (Deep Packet Inspection) и технологию CASB (Cloud Access Security Broker). Что касается DPI-решений, то они способны проводить поведенческий анализ пакетов. Изучая протоколы, порты и сигнатуры, такая система категорирует поступающие пакеты и применяет к ним соответствующие меры.

Наши материалы по теме

CASB же представляет собой инструмент безопасности для администраторов, позволяющий выявлять потенциальные риски системы и обеспечивать высокий уровень защиты. Решение является единой точкой контроля облачных приложений, используемых компанией, и работает в связке с ИТ-инфраструктурой провайдера, предлагая возможности по мониторингу расшаренных файлов. Это дает администраторам всю информацию о том, когда и кому передается контент.

Список других инструментов для мониторинга предложили пользователи платформ Quora и Reddit. Их вы можете найти по ссылкам здесь и здесь.

Стратегия безопасности

В качестве заключения отметим, что важнейшим аспектом работы любой среды, не только облачной, является развивающийся план поддержания безопасности инфраструктуры. На изображении ниже представлена схема, на которой отмечены основные компоненты обеспечения облачной безопасности. Среди них можно выделить несколько наиболее важных.

• Это контроль физического доступа, чтобы убедиться в безопасности среды, в которой находится «железо».
• Это регулярное обновление программного обеспечения. Программное обеспечение, поставляемое вендорами, гипервизоры, компоненты систем обеспечения безопасности должны иметь актуальные версии. При этом любые изменения необходимо фиксировать и анализировать.
• Это централизованный мониторинг компонентов системы: наличие команды специалистов, использование инструментов мониторинга (например систем DPI), оценка активности решений. Все это позволит быстро реагировать на возникающие угрозы и проблемы.
• Это проведение тестов на определение уязвимостей.

При подготовке материала использовались источники:
https://vc.ru/tech/145762-oblachnye-tehnologii-riski-mify-i-instrukcii-po-bezopasnosti
https://club.cnews.ru/blogs/entry/10_rekomendatsij_po_zashchite_oblachnyh_dannyh_dlya_klientov
https://habr.com/ru/companies/cloud_mts/articles/322306/