Привет, Хабр! Меня зовут Кирилл Орлов, и я занимаюсь вопросами ИБ в Oxygen. В этом посте предлагаю посмотреть "в глаза" трём самым популярным ИБ угрозам - и разобрать, почему миграция в облако помогает справиться с ними быстрее и проще. Сегодня я не буду лезть в дебри ИБ и разбирать сложные кейсы. Этот текст скорее предназначен для новичков в ИБ, которым стараются сложить (или уже сложили) на плечи вопросы защиты данных в дополнение к администрированию или другим обязанностям. Если это про вас, то заходите под кат, давайте обсудим, как перенос корпоративных систем в облако мог бы помочь вам с решением проблем кибербезопасности.
Обеспечить информационную безопасность сегодня может быть непросто. Многие привычные нам компании перестали предоставлять свои сервисы или ограничили их доступность. А выбор альтернативного поставщика может быть непростой задачей. Или даже неподъемной, если вы - единственный ИБ-шник в компании...да еще и по совместительству ИТ-шник. При этом сложности с обновлениями и приостановка деятельности вендоров в целом увеличивают вероятность появления новых брешей и эксплойтов. А увеличение частоты хакерских атак, направленных на российские компании, заставляет задуматься о растущих угрозах.
Момент атаки – это проверка того, что представляет собой ваша система ИБ. Что-то активно предпринимать во время атаки уже сложно, приходится держать удар и «выдавливать» злоумышленников из инфраструктуры, стараясь минимизировать урон.
Это как ограбление: ценности уже вынесли, остаётся писать заявление и вешать более надёжный замок. Гораздо проще провести предварительную подготовку. И тут возникает вопрос, кто будет за все это отвечать? Ваша команда? Или сторонняя компания?
Наверное, второй вариант оказывается предпочтительнее, потому что к нам все чаще обращаются представители компаний — как небольших, так и достаточно крупных — для которых мотивацией переноса части нагрузок в облако заключается не только в дефиците мощностей, но и в возможности обеспечить соответствующий корпоративным стандартам и лучшим практикам уровень ИБ. Ведь если виртуальная машина с тем или иным сервисом работает в облаке, вы сразу получаете общую защиту, развернутую для всего ЦОД, а также можете воспользоваться дополнительными сервисами защиты, не беспокоясь об установке решений и их сопровождении.
При этом, конечно, для подключения облака нужно убедить руководителей. И дальше мы как раз поговорим о том, как использовать информацию о популярных атаках, чтобы аргументировать работу с облаком.
DDoS
DDoS — это прямо бич современности. Атаки на веб-сервисы и любые подключенные к интернету ресурсы становятся все популярнее. Технически их очень легко организовать. Достаточно использовать армию ботов (зараженных устройств), которые будут не переставая слать запросы на нужные серверы. Более того, в даркнете существуют многочисленные сервисы, которые позволяют организовать DDoS-атаки на конкретные компании. Получается такая DDoS as a Service. А учитывая, что навредить российским организациям хотят сегодня многие, вектор атак смещается в сторону рунета.
По данным “Лаборатории Касперского”, опубликованным в Известиях, за март количество DDoS-атак, направленных на ресурсы российских организаций, выросло в 8 раз! В 8 раз, Карл! Тут включаются как активисты, так и организованные группировки. И если в феврале большая часть атак приходилась на СМИ, то в марте им досталось всего 3%. 35% DDoS-атак направлены на финансовые структуры, но 20% — на компании из самых разных отраслей. И именно поэтому переход в облако позволяет переложить защиту от DDoS с плеч собственной ИТ-службы на сотрудников ЦОД.
И, надо сказать, в некоторых случаях для борьбы с DDoS нам самим приходится использовать не только установленные внутри ЦОДа системы, такие как Arbor, но и ресурсы внешних партнеров — Qrator и StormWall. Они подключаются, когда масштабы атаки оказываются очень большими. И, конечно, в таких случаях самостоятельно настраивать взаимодействие с партнерами неспециализированной компании было бы крайне сложно.
Если корпоративная система находится в коммерческом облаке (в частности, в Oxygen), то запросы от ботов поступают сразу на IP-провайдера сервисов. Если запросов становится слишком много, и это начинает напоминать DDoS, то мы, например, активируем сначала фильтрацию на своих мощностях, а потом — подключаем партнеров. Плюс в том, что заказчику не нужно проходить весь путь обеспечения защиты самостоятельно — достаточно просто настроить стык с сетями провайдеров услуг защиты от DDoS — то есть Qrator или StormWall, либо перенастроить DNS, если речь идет исключительно о веб-ресурсах.
Фишинг
Еще одна опасность — это фишинг. Если получить доступ к учетным данным сотрудника, можно проникнуть глубже в инфраструктуру организации. Фишинг стал популярнее в годы пандемии. Внимание «удаленщиков» в домашних условиях размыто, человек более расслаблен и склонен больше доверять письмам и не сразу обращать внимание на фишинговые трюки. Поэтому люди чаще нажимают на сомнительные ссылки и, вводя свои данные, открывают ворота в свою компанию.
При фишинговой атаке обычно стремятся украсть данные или перехватить управление инфраструктурой компании. Переход по ссылке в фишинговом письме чреват неприятными последствиями:
может сразу запуститься программа-вымогатель (инфраструктура шифруется, и для её восстановления приходится платить хакерам деньги);
произойдет переход на лэндинг, маскирующийся под известный сайт (классический пример – Госуслуги). Заполните форму – сольёте свои данные;
может образоваться дыра в безопасности, через которую злоумышленники смогут воровать данные организации или иметь доступ к инструментам управления на уровне вашего IT-отдела.
Чтобы бороться с фишинговыми атаками необходимо использовать системы защиты email, а также URL-фильтры. На своей инфраструктуре их нужно устанавливать и настраивать. В облаке такой сервис пользователи получают в комплекте с электронной почтой. Более того, учитывая масштабы распространения фишинга, мы в Oxygen используем дополнительные решения от “Лаборатории Касперского”, которые распознают фишинговые атаки при помощи алгоритмов искусственного интеллекта. Таким образом, нам удается практически полностью исключить атаки на email клиентов.
Атаки на web-приложения
Еще один вид угроз, который способен оказать разрушительное влияние на бизнес — это целое семейство атак на web-приложения. При таких атаках злоумышленники взламывают веб или мобильные приложения и могут менять его логику. Это дает возможность редактировать информацию на сайтах, менять текст и изображения.
Недавний взлом Яндекс.Еды с последующей утечкой данных в сеть – яркий пример неприятных последствий подобных атак. Но и это еще не все. Используя скомпрометированный web-ресурс, злоумышленники способны пользоваться аккаунтами пользователей для оформления заказов, воровства данных платёжных карт, они также могут запустить промо-акцию, например, продавая дорогой товар за 1 рубль. Любой владелец интернет-магазина впадает в ужас от подобной перспективы.
Наша защита от web-атак построена на базе Positive Technologies Application Firewall и SolidWall. В результате все размещенные в облаке web-приложения могут получить защиту без дополнительных сложностей.
Облачная ИБ
В любом крупном ЦОДе отдел ИБ содержит целую команду специалистов. Например, у нас в Oxygen департамент ИБ отвечает за сохранность инфраструктуры и защиту облаков, регламентирует процессы и противодействует киберугрозам. Эти услуги входят в облачные подписки, а значит вам не нужно самостоятельно покупать и настраивать какое-либо дополнительное ПО — все это доступно в виде сервиса.
Так, в этом посте мы рассмотрели, пожалуй, основной ТОП запросов, который сейчас актуален для клиентов облака. Сюда не вошли не менее важные решения, такие как NGFW, системы мониторинга событиями информационной безопасности, системы контроля и управления привилегированными учётными записями, и другие решения, которые мы активно используем сами и рекомендуем нашим клиентам. Но это уже совершенно другая история, и если это будет интересно, я расскажу ее в отдельном посте. Так что задавайте вопросы.
Для тех компаний, которые уже частично расположились в облаке Oxygen, мы подключаемся к вопросам обеспечения безопасности на этапах проектирования и изменения ландшафта IT-инфраструктуры. Например, когда клиент мигрирует или расширяется. Это позволяет сразу настроить процессы и избежать появления новых уязвимостей и рисков. Например, наличие дополнительных средств резервного копирования позволяет восстановить любые данные, даже если произошла компрометация аккаунта одного из сотрудников и что-то было повреждено.
Причина такого внимания к ИБ в том, что облачные сервисы предоставляются под SLA. В нашем случае наиболее популярные требования: доступность инфраструктуры с гарантированным показателем 99,8%. Чтобы обеспечить этот показатель, так или иначе, приходится заниматься вопросами безопасности с большим усердием.
Впрочем, никто не говорит, что развернуть аналогичные решения нельзя в своей компании. Очень даже можно и нужно, если вы не используете экспертизу облачного провайдера или внешнего поставщика безопасности. Однако при дефиците ресурсов и потребностях сделать все и сразу, вариант миграции в облако может оказаться намного эффективнее самостоятельной работы со всем спектром инструментов киберзащиты. Главное, помнить, что обеспечение информационной безопасности — это непрерывный процесс опережающий риски, а не следующий за ними…и не забывать рассказывать об этом руководству, чтобы никто не обвинил вас потом в недостаточной защите корпоративной сети.
Кстати, расскажите, а каких средств ИБ не хватает вашей компании? Сталкивались ли вы с мощными атаками в последние несколько месяцев? Используете ли преимущества коммерческих облаков для защиты сервисов? Поделитесь своими мыслями в комментариях.