Журнал "Директор по безопасности" Январь 2020 | Page 17

СРЕДИ УГРОЗ БЕЗОПАСНОСТИ, С КОТОРЫМИ
КОМПАНИИ СТАЛКИВАЮТСЯ ЕЖЕМЕСЯЧНО,
ПО ВИНЕ ПЕРСОНАЛА ПРОИСХОДЯТ В СРЕДНЕМ
14,8 ИНЦИДЕНТОВ. В 94,3% ОРГАНИЗАЦИЙ
ВНУТРИСИСТЕМНЫЕ УГРОЗЫ ВОЗНИКАЮТ
КАК МИНИМУМ РАЗ В МЕСЯЦ
94,3 %
Постройте прочные партнерские
отношения с надежными
поставщиками облачных услуг
Соблюдение нормативных требова-
ний – по-прежнему обязательное ус-
ловие. Компания может перенести в
облако большую часть ключевых биз-
нес-функций, но ответственность за
нормативно-правовое соответствие
всегда будет лежать на ней, а не на
сторонних организациях. Независимо
от того, каким нормативным доку-
ментом руководствуется ваше пред-
приятие – Калифорнийским законом
о защите прав потребителей, стан-
дартом безопасности данных PCI DSS,
регламентом GDPR, актом HIPAA или
другим, необходимо выбрать такую
облачную платформу, которая позво-
лит вам выполнять требования любых
стандартов и правил, действующих в
отрасли. Затем следует выяснить, за
какие аспекты нормативного соответ-
ствия отвечает ваш провайдер, а какие
остаются в вашей компетенции. Хотя
многие поставщики облачных услуг
прошли сертификацию во множестве
отраслевых и правительственных регу-
ляторах, развертывание в облаке при-
ложений и сервисов, отвечающих тре-
бованиям нормативов, и поддержание
этого соответствия в будущем входит в
вашу зону ответственности. Нужно от-
метить, что прежние контрактные обя-
зательства и правовые барьеры могут
препятствовать использованию облач-
ных услуг: перемещение данных в об-
лако трактуется как передача контроля
над этими данными.
Соблюдение требований брен-
да также важно. Переход в облако не
обязательно происходит в ущерб стра-
тегии продвижения бренда. Разрабо-
тайте комплексный план по управле-
нию идентификацией и авторизацией
в облачных сервисах. Программные
приложения, отвечающие требовани-
ям стандартов SAML, Open ID и других,
поддерживают применение элементов
корпоративного стиля в облаке.
Найдите надежных поставщиков
услуг. Поставщики облачных услуг,
которые ориентированы на подот-
четность, прозрачность и соблюдение
общепринятых стандартов, обычно
имеют сертификаты SAS 70 Type II или
ISO 27001. Поставщики облачных услуг
должны быть готовы предоставить всю
необходимую документацию и отчеты
в готовом виде – например, результа-
ты аудитов и сведения о сертифика-
ции вместе с необходимой информа-
цией о процессе оценки. Все аудиты
должны проводиться независимыми
экспертами на основе существующих
стандартов. Поставщик облачных услуг
отвечает за актуальность полученных
сертификатов и уведомление клиен-
тов о любых изменениях в их статусе.
Обязанность клиента при этом – изу-
чить объем применения каждого стан-
дарта: например, некоторые широко
распространенные нормативные до-
кументы не дают оценки эффективно-
сти систем безопасности; надежность
аудиторских фирм и аудиторов также
может быть различной.
Как они обеспечивают вашу за-
щиту? Ни один поставщик облачных
услуг не гарантирует 100% безопас-
ность. За последние несколько лет
многие ключевые провайдеры под-
верглись нападениям хакеров, в том
числе AWS, Azure, Google Drive, Apple
iCloud, Dropbox и другие. Важно оз-
накомиться со стратегиями обеспече-
ния безопасности данных облачного
сервиса и особенностями его многоа-
рендной архитектуры. При несанкци-
онированном доступе к аппаратным
средствам или операционной системе
поставщика услуг вся размещенная у
него информация автоматически под-
вергнется риску. По этой причине не-
обходимо внедрить защитные меры и
изучить данные предыдущих аудитов,
чтобы выявить потенциальные слабые
места в системе безопасности. Если в
этой сфере поставщик пользуется ус-
лугами сторонних компаний, следует
также ознакомиться с данными их сер-
тификаций и аудитов. После этого вы
сможете определить, какие пробле-
мы безопасности необходимо решить
с вашей стороны. Например, менее
10% провайдеров применяют шиф-
рование данных при хранении. Еще
меньше сервисов поддерживают ис-
пользование криптографических клю-
чей заказчиков1. Для надежной и без-
опасной работы в облаке необходимо
найти таких поставщиков услуг, кото-
рые, с одной стороны, обеспечивают
комплексную защиту, а с другой, дают
пользователям возможность закры-
вать любые бреши в ней.
Тщательно изучите контракты и
соглашения об уровне услуг выбран-
ного облачного провайдера. Контракт
на предоставление облачных услуг –
единственная гарантия обслуживания
и главный документ, к которому вы
будете апеллировать при возникнове-
нии проблем. По этой причине важ-
но тщательно изучить все договорные
условия, в том числе в приложениях
и дополнительных соглашениях. На-
пример, контракт может прояснить,
будет ли компания-провайдер нести
ответственность за ваши данные или
станет владельцем ваших данных.
(Только 37,3% провайдеров указы-
вают, что данные клиентов являются
собственностью клиентов. Остальные
либо не устанавливают владельца дан-
ных напрямую, создавая тем самым
неясный с юридической точки зрения
момент, либо явно утверждают, что
все загруженные в облако данные яв-
ляются их собственностью 1 ). Обеспе-
чивает ли сервис открытый доступ к
информации о событиях безопасности
и отклике на них? Предоставляет ли
провайдер инструменты мониторинга
или возможность подключения кор-
поративных средств контроля? Будете
ли вы получать ежемесячные отчеты
о событиях безопасности и отклике
на них? Что произойдет с вашими дан-
ными, если вы откажетесь от исполь-
зования сервиса? (Обратите внимание
на то, что только 13,3% поставщиков
облачных услуг удаляют пользователь-
ские данные сразу после закрытия
учетной записи. Остальные хранят эту
информацию в течение года, а неко-
торые провайдеры особо оговаривают
свое право хранить эти сведения бес-
срочно.) Спорные условия контракта
можно обсудить в ходе переговоров,
но если поставщик услуг назовет их не
подлежащими пересмотру, вам при-
дется решить, приемлем ли риск, свя-
занный с принятием этих условий, для
вашего бизнеса. Если нет, необходимо
найти альтернативный способ управле-
ния этим риском – внедрить средства
криптографии или мониторинга либо
обратиться к другому провайдеру.
Что делать в случае нештатной си-
туации? Поскольку у каждого постав-
щика облачных услуг своя система
безопасности и ни один из них не га-
рантирует 100% защиты данных, край-
не важно иметь план мероприятий по
реагированию на инциденты (IR-план).
При составлении таких планов про-
вайдер должен выступать в качестве
партнера и учитывать ваше мнение.
Определите каналы связи, функции
и обязанности и заранее продумайте
возможные сценарии реагирования на
проблемы. В соглашениях об уровне
обслуживания (SLA) должны быть четко
прописаны сведения, которые постав-
щик услуг обязан предоставить в случае
возникновения инцидента, порядок
работы с данными для обеспечения их
доступности и гарантии поддержки, ко-
торая потребуется для эффективного
выполнения корпоративного IR-плана
на каждом этапе. Хотя лучший способ
своевременного обнаружения атак –
это постоянный мониторинг, необходи-
мо выполнять полномасштабную про-
верку систем как минимум ежегодно,
а также проводить дополнительные те-
сты при каждом значительном измене-
нии архитектуры.
Защитите свои IaaS среды. При ра-
боте в средах IaaS, например AWS и
Azure, вы несете ответственность за
безопасность операционных систем,
приложений и сетевого трафика. Что-
бы обезопасить инфраструктуру от
вредоносных программ, необходимо
развернуть современные технологии
защиты на уровне ОС и виртуальной
сети. Списки разрешенных приложе-
ний и средства предотвращения не-
санкционированного использования
памяти помогут защитить специали-
зированные рабочие нагрузки, а сред-
ства безопасности на основе машин-
ного обучения отлично подойдут для
файловых систем и приложений обще-
го назначения.
Нейтрализуйте и удалите вредо-
носное ПО из облака. Заражение при-
ложений вредоносными программами
происходит через общие папки, кото-
рые автоматически синхронизируются
с папками в облачном хранилище. Та-
ким образом опасный код переходит с
одного взломанного пользовательско-
го устройства на другие. Чтобы преду-
предить заражение вредоносным ПО и
программами-вымогателями, а также
хищение данных, установите решение
для облачной безопасности и выпол-
няйте сканирование файлов, которые
хранятся в облаке. При обнаружении
хакерского ПО на хосте или в облач-
ном приложении его можно поместить
в карантин или удалить. Это позволит
обезопасить конфиденциальные дан-
ные и избежать их повреждения вре-
доносными программами.
Выполняйте регулярный аудит
своих конфигураций IaaS. Неправиль-
ная настройка критически важных па-
раметров сред IaaS (AWS или Azure)
приводит к появлению существенных
уязвимостей. В среднем в любой мо-
мент времени в любой организации
запущено, как минимум, 14 инстан-
сов IaaS с ошибками конфигурации.
Число связанных с ними инцидентов
безопасности достигает 2300 в месяц.
Хуже того, более 5% всех используе-
мых бакетов AWS S3 с некорректными
настройками открыты для чтения1.
Чтобы избежать таких потенциальных
утечек данных, необходимо проверять
конфигурации на предмет ошибок в
параметрах управления идентифи-
кацией и доступом, в параметрах ра-
боты сети и шифрования. Компания
McAfee предлагает бесплатную услугу
Cloud Audit, которая поможет присту-
пить к работе.
1
Дополнительная информация
McAfee 2019 Cloud Adoption and Risk Report
О компании:
McAfee – компания,
обеспечивающая киберзащиту в
пространстве (от устройства до
облака). Опираясь на принципы
сотрудничества и взаимодействия,
специалисты McAfee создают
корпоративные и потребительские
решения, которые делают мир
безопаснее. Наша целостная,
автоматизированная и открытая
платформа безопасности и
«облачный» подход к созданию
решений безопасности позволят всем
вашим продуктам сосуществовать
и обмениваться информацией об
угрозах в любой точке цифрового
ландшафта. Здесь автоматизация
сочетается с человеческим разумом,
что позволяет более эффективно
оптимизировать рабочие процессы.
Ваша команда освободится от
ненужной оперативной нагрузки. Мы
поможем организовать безопасность
на территории и в облаке с помощью
единой системы управления. Все
ваши продукты по безопасности
адаптируются к новым угрозам и
будут работать в синергии, в целях
повышения защиты на протяжении
всего жизненного цикла угроз.