Перенос инфраструктуры в облако определяется желанием повысить гибкость и скорость разработки и запуска приложений, но в жертву нередко приносится безопасность, что ставит под угрозу организации, их клиентов и данные. По мере роста числа организаций, переходящих на мультиоблачные и гибридные среды, непрерывное усложнение ИТ-инфраструктур приводит к появлению дополнительных проблем и источников угроз.
Четыре распространенные уязвимости в облаке
Случайное предоставление открытого доступа. Это самая древняя и распространенная ошибка: при внедрении новый облачный ресурс остается общедоступным и абсолютно не защищенным. Большинство современных хакеров используют автоматизированные инструменты для поиска сетевых ресурсов в открытом доступе. Это означает, что любой незащищенный ресурс в общем доступе рано или поздно станет мишенью.
По данным Gartner, по состоянию на 2021 год у 50 % компаний есть хранилища типа «инфраструктура как услуга», сети, приложения и API-интерфейсы, к которым по незнанию или по ошибке предоставлен прямой незащищенный доступ.
Избыточные разрешения. Одно из основных преимуществ перехода в облако — ускорение бизнес-операций. Однако ради этой благой цели параметры доступа часто предоставляются поспешно и нецелесообразно. В результате избыточные разрешения получают многие сотрудники, для которых они не предусмотрены. Проблема в том, что, если какие-то из этих учетных данных попадут не в те руки, злоумышленники могут получить почти неограниченный доступ к конфиденциальной информации.
По данным Gartner, к 2023 году 75 % от общего числа инцидентов в облаке будет происходить из-за неоправданно широкого распространения учетных, идентификационных данных и привилегий, в 2020 году таких инцидентов было 50 %.
[Также вам может быть интересно. Киберпреступники используют автоматизированные средства для организации атак, и вот почему автоматизацию следует также применять для защиты]
Слишком много оповещений. Возможно, неочевидная причина, ведь обнаружение подозрительных действий — это полезно. Оказывается, не всегда. Помогают ли оповещения обнаруживать угрозы или только создают лишний шум?
Согласно исследованию, проведенному компанией Bricata, в среднем в центр безопасности поступает более 10 000 оповещений в день. Такое грандиозное количество уведомлений не по силам обработать ни одному человеку, ни целой группе экспертов. Специалистам по безопасности приходится просматривать тонны избыточных оповещений и ложных срабатываний в поиске важных сообщений об угрозах.
Недостаточный контекст. Все говорят о контексте, но что это означает? Одна из главных проблем заключается в том, что единичное оповещение по большому счету не дает информации.
Вход в систему посреди ночи — это действие злоумышленника, или просто администратор работает поздно?
Первичное обращение к API — это хакер или инженер DevOps, который выполняет свою работу?
Событие доступа к конфиденциальному контейнеру — это релиз новой функции, или за этим последует утечка данных?
Практически любое действие пользователя может быть разрешенным или вредоносным, и само по себе уведомление о таком событии мало о чем говорит.
Необходима интеллектуальная корреляция событий с учетом угроз, слоев приложений, времени. Только так можно найти связь между событиями А, B и C, даже если их разделяет несколько месяцев, и предотвратить атаку.
Выводы
Облако не может считаться «более» или «менее» защищенным — это другая среда. Значит, нужны средства защиты, ориентированные на особенности облака и учитывающие угрозы, с которыми сталкивается именно ваша компания.
И хотя список уязвимостей может быть бесконечным, исправление рассмотренных выше четырех типичных уязвимостей поможет вам защитить облачную среду.
[Понравилась статья? Подпишитесь на еженедельную рассылку свежих новостей от Radware и получите эксклюзивный доступ к премиум-материалам Radware.]