Как защитить данные в «облаках»
Вместе с развитием ИТ увеличивается и объем данных, которые необходимо хранить. Облака позволяют сохранять почти неограниченный объем информации и получать к ней доступ практически из любого места. Однако в погоне за удобствами многие забывают о рисках и угрозах, связанных с возможной утечкой информации, и не заботятся о ее защите.
Существует несколько моделей предоставления облачных услуг, и в зависимости от специфики ответственность за должный уровень защиты может быть возложена как на сервис-провайдера, так и на самого заказчика. В работе я достаточно часто сталкиваюсь с попытками взлома облачной инфраструктуры. Вот три наиболее распространенных метода взлома, а также примеры способов защиты.
Первый и самый простой – подбор паролей перебором (Bruteforce). Для этого, как правило, используют написанную или позаимствованную на просторах Интернета отмычку, которая путем перебора паролей может найти верный. Данный метод основан на использовании базы распространенных паролей.
Защититься можно, создавая криптоустойчивые пароли, содержащие буквы большого и малого регистра, цифры, символы. Рекомендуется менять пароль не реже раза в месяц/квартал и устанавливать ограничение числа попыток ввода пароля, после которых учетная запись будет блокироваться на определенное время.
Чтобы не сдать так легко информацию злоумышленникам, не используйте стандартные и простые пароли (123qweASD, свою дату рождения и т. д.), не оставляйте пароли на виду и постоянно напоминайте своим сотрудникам о том, что клеить стикер с паролем на монитор или на рабочий стол недопустимо.
Второй способ – использование вредоносных файлов. Злоумышленники распространяют вирусные файлы через электронную почту, взламывают ИС и внедряют вредоносные файлы и т. д. К инструментам защиты от данного метода относятся антивирусные средства, спам-фильтры, технологии предотвращения утечек конфиденциальной информации (DLP) и много другое. Объясните своим сотрудникам, что не все письма и рассылки одинаково полезны и нужно быть внимательным, принимая письмо от незнакомого отправителя.
Третий способ – тестирование на проникновение (Pentest) – наиболее изощренный: злоумышленники с помощью специализированного ПО определяют, какие порты открыты, какие ОС и средства защиты используются, а потом уже целенаправленно атакуют инфраструктуру с целью получить доступ к данным. Чтобы отражать такие атаки, рекомендуется осуществлять мониторинг инцидентов информационной безопасности в режиме реального времени (с помощью SIEM-системы), использовать программные средства обнаружения и предотвращения вторжений (IPS/IDS-системы), сегментировать топологию сети. Выполнение этих рекомендаций существенно повышает уровень защиты.
Это лишь три самых распространенных метода взлома и проникновения с целью доступа к информации. Они могут комбинироваться либо использоваться по отдельности. Остальные способы более специфичны и трудозатратны.
Любой облачный провайдер должен понимать, что он несет юридическую и часто финансовую ответственность за сохранность данных своих заказчиков. Однако сертифицированные средства защиты данных (SIEM, DLP, IPS/IDS, Firewall и т. д.) довольно дороги, и, к сожалению, не каждый провайдер готов выделить бюджет на их закупку. О том, что компания, в которую вы обратились, является надежной, свидетельствуют сертификаты соответствия стандартам ISO 27001, PCI DSS и др. Высокий уровень безопасности также подтверждают лицензии ФСТЭК и ФСБ на проведение мероприятий по защите информации.
«Правильные» облачные провайдеры привлекают только высококвалифицированных специалистов для внедрения и администрирования средств защиты информации. Они регулярно проводят проверки на соответствие облачной инфраструктуры требованиям ИБ и, если обнаружилось несоответствие или произошла попытка взлома, расследуют этот инцидент. Каждое такое расследование подразумевает индивидуальный подход, но есть основные правила: информацию собирают со всех источников и делают это по горячим следам. Кроме того, к материалам расследования допускаются только сотрудники ИБ, которые готовят полный пакет документов по его результатам (план, отчет, объяснительные, докладные записки).
Но самое главное – извлечь урок на будущее и не допустить повторения инцидента ИБ. Грамотная и слаженная работа службы информационной безопасности провайдера позволит если не предотвратить, то вовремя заметить и адекватно отреагировать на попытки проникновения.
Мурад МУСТАФАЕВ,
руководитель ИБ-службы компании «ОНЛАНТА» (ГК ЛАНИТ)
Опубликовано 21.02.2019