Комментарии 26
А в США используют для электронной подписи облачные токены PKCS#11?
Смесь мечтаний с полной оторванностью от реальности. Особенно занятна надежда на развитие «железяк», когда техпроцесс подходит к своему техническому минимуму. Никакого революционного прогресса на будет, мировая экономика находится в стадии сжатия, а США — в тяжелом экономическом, а, главное, моральном кризисе. Кому вкладывать деньги в инновации, у кого есть одновременно и достаточный технологический уровень и достаточно большой рынок сбыта? Только у Европы, но у нее проблем и так много.
Прогресс переместился из мира «железяк» в мир виртуализации и облачных сервисов. Это рынок растет даже в России на 20% в год, в отличие от серверов и ПК, продажи которых стагнируют. Вся беседа о новых технологиях, которые двигают экономику, уменьшая затраты бизнеса и повышая его гибкость, адаптируемость к кризисам. Тут еще непаханное поле для новых проектов, чем 5nine и Microsoft с успехом занимаются.
Облачные технологии бесполезны и неудобны для частных пользователей, они предназначены сугубо для компаний у которых гигабитные каналы связи. Да и для компаний в случае хранения информации облако не капли не выход. Ну а обычный человек должен быть прямо таки не в своем уме, чтобы отправлять ценную для него информацию «на деревню бабушке».
Продажи ПК падают из-за соответствующей фазы кризиса в мире, у людей нету денег на частые обновления оборудования. Плюс, часть населения справедливо осознав, что им от компьютера нечего не нужно кроме веб-серфинга, прослушивания музыки и просмотра фильмов, перешла на иные устройства. Как между этим и облачными технологиями можно прочертить связь непонятно.
Продажи ПК падают из-за соответствующей фазы кризиса в мире, у людей нету денег на частые обновления оборудования. Плюс, часть населения справедливо осознав, что им от компьютера нечего не нужно кроме веб-серфинга, прослушивания музыки и просмотра фильмов, перешла на иные устройства. Как между этим и облачными технологиями можно прочертить связь непонятно.
Хотя история про облака, затронутая в интервью касается крупных компаний и организаций, потребление облачных сервисов растет и у частников. Фактически каждый пользователь смартфона использует облачный сервисы, прежде всего хранение информации. Но основной драйвер роста облаков — это перенос в них нагрузок крупными компаниями. Только что появились интересные цифры, с которыми не поспоришь: в 2016 году глобальный рынок облачных сервисов составил 209 млрд долл., показав рост в 20% (!). по вопросу сжатия цифровой экономики Штатов: Каждая американская компания планирует потратить на облачные сервисы в среднем около $1,77 млн в 2017 году, в то время как компании из других стран — $1,3 млн (оценка американского холдинга IDG). Так что показатели мировой ИТ-индустрии возможно стагнируют в терминах традиционного подхода (продажи серверов, хранилищ, сетевого оборудования), но они экспоненциально растут, переходя на сервисную, облачную модель. И чем быстрее российские компании приспособятся к новым тенденциям рынка ИТ, тем более конкурентными на международной арене они будут. Тем более сейчас в России у облачных провайдеров таких как Ростелеком, Даталайн, Софтлайн, Контур построена современная облачная инфраструктура, почти не уступающая зарубежной по возможностям и легко масштабируемая. А через такие технологии как Azure Stack легко адаптировать продвинутые мировые сервисы, такие как ИИ, в местных ЦОД.
Злоумышленники с помощью похожих систем могут отслеживать паттерны поведения, что делают секьюрити-администраторы конкретной сети, какие у них тренды, как они осуществляют анализ и мониторинг своей сети. Имея эти знания, они могут предпринимать какие-то шаги в обход этой защиты. Борьба будет продолжаться.Похоже, что это инфинитная война. При том, что злоумышленник всегда на шаг опережает защитника: происходит одно или несколько нападений и тогда предпринимаются ответные меры. Вчера написал про книгу Дэвида Минделла «Восстание машин отменяется! Мифы о роботизации», где высказал мнение, что инфинитность войны со взломщиками делает угрозу бунта роботов вполне вероятной.
Да, это общая проблема борьбы «воров и полицейских». Вопрос в сроках и затратах на взлом. А это зависит от конкретной ниши или технологии. Для преодоления традиционных СЗИ не требуется серьезных затрат и времени, как показали многочисленные инциденты последних лет. Все пострадавшие имели стандартный набор популярных продуктов, уязвимости которых широко известны. Перед злоумышленниками встает вопрос, подбирать ключи к новой технологии или использовать уже имеющийся набор шаблонов для атаки? Ответ очевиден. Новые технологии СЗИ, безопаснее не только за счет своих инженерных решений, но и из-за того, что с ними нужно дольше возится, чтобы найти уязвимости. Злоумышленники тоже мыслят экономическим категориями и идут к тому, у кого защита с хорошо известными дырками.
Злоумышленники тоже мыслят экономическим категориями и идут к тому, у кого защита с хорошо известными дырками.Да, в случаях, когда взлом осуществляется ради обогащения — воровства паролей к банковским счетам или шантажа. Но бывают случаи промышленного шпионажа, дискредитации конкурента. Тогда целью является конкретный адресат, и заказчик взлома может не постоять за ценой. А еще существуют сообщества хакеров, где ломают ради престижа: чем сложнее защита — тем престижней ее сломать.
Согласен. Но компьютерные преступления стали регулярным нелегальным бизнесом, с законами как в обычном: косты, сроки проекта и т.п. )) Поэтому устанавливая современные СЗИ, перенося часть нагрузок в облако, большинство компаний диверсифицируют и уменьшают риски. Конечно, остаются штучные клиенты, где злоумышленники за ценой не стоят. Но в этом случае проще и дешевле тупо купить инсайд (
Многие ли компании владельцы облаков готовы взять на себя полную ответственность за безопасность своих клиентов? Нпр., если крупный банк разместит в облаке систему обслуживания своих клиентов, и произойдет серьезный взлом, то возместит ли владелец облака украденные деньги? И найдется ли у него достаточно денег, чтобы возместить полностью?
Конечно нет. Оператор связи, который предоставляет каналы банку для передачи данных тоже не возмещает ущерб от перехвата, если таковой произойдет. Но пока мы регулярно читаем истории как банки хакают в их собственных ЦОДах, в т.ч. на изолированных АРМ ЦБ )))) Про истории компрометации банковских систем у облачного провайдера я пока не слышал. Специализированный облачный провайдер в состоянии предоставить более высокий уровень безопасности прежде всего за счет устранения «человеческого фактора». Для надежной изоляции, контроля и поддержания политик безопасности в облаке, провайдеры предлагают новую услугу Безопасность как сервис (SECaaS).
Не понял про устранение человеческого фактора. Облачные серверы обслуживают люди, в том числе и системные программисты с максимальными правами доступа. В случае подкупа или шантажа такого программиста он может умышленно сделать дыру в системе для взломщика, а потом постараться замести следы. Так называемая социальная инженерия, к сожалению, и здесь работает на руку злоумышленнику.
И кроме того, в случае облаков возникает опасение: не получится ли ситуация с дитем, у которого семь нянек? Т.е. при разделении обязанностей между службами безопасности банка и облака? Исходя из общих соображений, система надежнее, когда всё сосредоточено в одних руках. Две службы могут просмотреть уязвимость только потому, что каждая из этих служб будет считать, что за данную область отвечает не она.
И кроме того, в случае облаков возникает опасение: не получится ли ситуация с дитем, у которого семь нянек? Т.е. при разделении обязанностей между службами безопасности банка и облака? Исходя из общих соображений, система надежнее, когда всё сосредоточено в одних руках. Две службы могут просмотреть уязвимость только потому, что каждая из этих служб будет считать, что за данную область отвечает не она.
Да, устранение- неправильный термин. Скорее -уменьшение. Когда данные у вас в ЦОД, доступ к ним имеет больше людей и есть физический доступ к данным. Получение доступа к данным клиентов у серьезного провайдера намного сложнее как организационно, так и технически. А как получить доступ к данным российских клиентов в Azure/AWS через их админов, вообще сложно представить. Кроме того в WS 2016 появилась технология Shielded VM которая шифрует данные клиента в т.ч. от админа. Площадь атаки в случае облака значительно меньше, что подтверждается статистикой инцидентов. По разделению прав — несомненно собственная служба ИБ должна иметь возможность контроля и управления безопасностью своих данных в облаке. Сейчас такая возможность появилась. До SECaaS Azure Pack клиентам приходилось верить провайдеру «на слово», что конечно недопустимо. Разграничение зон ответственности всегда можно описать в договоре и реализовать. В реальной жизни разграничить зоны ответственности между собственными службами ИТ и ИБ тоже весьма непросто. 5nine уже 2 года совместно с Microsoft защищает данные клиентов в облаках хостинг провайдеров. Накопилось много успешных проектов и за 2 года не было инцидентов по ИБ с клиентами, использующими SECaaS в облаке на технологиях Microsoft
Спасибо за подробные ответы. Еще один интересный вопрос: подключить SWIFT к облакам возможно? И стоит ли это делать? Может уже сделано?
Да, конечно. SWIFT давно мигрировал с начального X.25 на VPN, а теперь и в облака. Пока мы спорим можно использовать облака или нет, весь мир получает преимущества, применяя новые технологии. Сервисы SWIFT доступны теперь и по облачной модели использования: https://www.swift.com/our-solutions/interfaces-and-integration/alliance-lite2
Спасибо.
Надеюсь, что спорим мы не об этом — если используют, значит можно. Мы просто выясняем преимущества и недостатки.
Возвращаясь немного назад. Вы сказали:
Извините за критику Вашего партнера. Надеюсь, она будет воспринята как конструктивная. Microsoft следует завету своего основателя: «ПК в каждый дом». Но все же есть разница между ОС для банка и ОС для бытового использования. А Microsoft, на мой взгляд, слишком упорно пытается нивелировать эту разницу, делая универсальные ОС, в которых, несмотря на конфигурирование под узкоспециальные задачи, сохраняется множество излишеств, ненужных для этих задач. И как результат — потенциально больше уязвимостей. Конечно, есть ОС для серверов, а есть для мобильных устройств, но все они в общем растут из одного корня. Деньги любят тишину, т.е. стабильность. А Windows постоянно обновляется. Может, не нужно усложнять ОС для ответственных банковских операций, а наоборот — упрощать. Что-то предельно простое, допотопное типа MS DOS 3.0? Несколько лет назад, где-то читал, что какая-то сеть европейских гипермаркетов перешла на DOS: возможностей вполне достаточно, а сопровождать и защищать не в пример легче, чем Windows 10 (или какие тогда были).
Не знаю, как сделано в той сети, но можно сделать, чтобы системный диск был только для чтения — для command.com реестр не нужен. Вместо HDD можно DVD ROM использовать. И опломбировать его, чтобы никакой скрытый диверсант скрытно не подменил. Все приходящие по сети сообщения воспринимаются исключительно как зашифрованный текст. Никаких скриптов и прочих исполняемых вложений. Очевидно, что и антивирусы таким устройствам будут ненужны.
Пока мы спорим можно использовать облака или нет,
Надеюсь, что спорим мы не об этом — если используют, значит можно. Мы просто выясняем преимущества и недостатки.
Возвращаясь немного назад. Вы сказали:
5nine уже 2 года совместно с Microsoft защищает данные клиентов в облаках хостинг провайдеров.
Извините за критику Вашего партнера. Надеюсь, она будет воспринята как конструктивная. Microsoft следует завету своего основателя: «ПК в каждый дом». Но все же есть разница между ОС для банка и ОС для бытового использования. А Microsoft, на мой взгляд, слишком упорно пытается нивелировать эту разницу, делая универсальные ОС, в которых, несмотря на конфигурирование под узкоспециальные задачи, сохраняется множество излишеств, ненужных для этих задач. И как результат — потенциально больше уязвимостей. Конечно, есть ОС для серверов, а есть для мобильных устройств, но все они в общем растут из одного корня. Деньги любят тишину, т.е. стабильность. А Windows постоянно обновляется. Может, не нужно усложнять ОС для ответственных банковских операций, а наоборот — упрощать. Что-то предельно простое, допотопное типа MS DOS 3.0? Несколько лет назад, где-то читал, что какая-то сеть европейских гипермаркетов перешла на DOS: возможностей вполне достаточно, а сопровождать и защищать не в пример легче, чем Windows 10 (или какие тогда были).
Не знаю, как сделано в той сети, но можно сделать, чтобы системный диск был только для чтения — для command.com реестр не нужен. Вместо HDD можно DVD ROM использовать. И опломбировать его, чтобы никакой скрытый диверсант скрытно не подменил. Все приходящие по сети сообщения воспринимаются исключительно как зашифрованный текст. Никаких скриптов и прочих исполняемых вложений. Очевидно, что и антивирусы таким устройствам будут ненужны.
Критика приветствуется, тем более сам МС осознает, что нужна альтернатива избыточной и из-за этого уязвимой платформе Windows Server. Поэтому для WS 2016 было предложено очень интересное решение — минималистский Nano Server, который как раз должен был решить проблемы, которые Вы описали. Он в 20 раз меньше по размеру, без GUI, требует на порядок меньше обновлений и т.д. К сожалению с выводом его на рынок появилась проблема и в июне функционал Nano ограничили до контейнерной ОС. Но МС понимает проблему и работает в этом направлении. Кстати, для уменьшения площади атаки можно использовать сценарий с установкой Core версии с ролью Hyper-V и управлением через 5nine Manager. В качестве гостевых ОС можно использовать Linux. Но мы выходим за пределы темы статьи. Если интересно, можем пообщаться по почте: info@5nine.ru
За 20 последних лет человечеством не было сделано ровным счётом НИЧЕГО.
НЛО прилетело и опубликовало эту надпись здесь
Понятно, что не уйдет. Вопрос стоит иначе: насколько сильно облачные технологии повышают безопасность в теории и на практике.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Как обеспечить безопасность в эпоху AI и облачных платформ. Интервью с профессором Малковым