В марше к облаку для данных и услуг многие компании пересматривают свой подход к кибербезопасности. Нужна ли им стратегия облачной безопасности? В чем отличие стратегии безопасности облачных вычислений? Два последних опроса проливают свет на то, как изменяются стратегии безопасности, и что более важно, как они должны измениться.
Размещение большей ИТ-инфраструктуры в облаке в некотором смысле более безопасно, чем в доме. Например, вы можете быть достаточно уверены, что система работает с последней версией с соответствующими исправлениями на месте. Поставщики облачных услуг также создают новые возможности, такие как использование машинного языка для обнаружения аномалий. Однако, это также представляет новые риски, некоторые из которых являются результатом непонимания того, как управлять облачной безопасностью.
Важно знать, как стратегия облачной ИТ-компании компании — будь то гибридная, частная или публичная, влияет на свою стратегию кибербезопасности и тактическую реализацию этой стратегии.
Содержание статьи
Что такое риск облачной безопасности?
Данные поставщика облачной безопасности Alert Logic показывает природу и объем риска для каждой формы облачной среды по сравнению с локальным центром обработки данных. В течение 18 месяцев компания проанализировала 147 петабайт данных из более чем 3800 клиентов, чтобы количественно и категоризировать инциденты безопасности. За это время было выявлено более 2,2 миллиона истинных положительных инцидентов с безопасностью. Основные результаты включают в себя:
- . В гибридных облачных средах наблюдалось самое высокое среднее число инцидентов на одного клиента на уровне 977, за которым последовали размещенные частные облака (684), локальный центр обработки данных (612) и общественное облако (405).
- . Наиболее распространенным типом инцидента была атака веб-приложений (75 процентов), за которой последовали атаки на грубые силы (16 процентов), реверс (5 процентов) и выкуп на серверной стороне (2 процента).
- Наиболее распространенными векторами для атак веб-приложений были SQL (47,74 процента), Joomla (26,11 процента), Apache Struts (10,11 процента) и Magento (6,98 процента).
- WordPress был самой распространенной целью перебора в 41%, затем MS SQL — 19%.
]
Является ли это публичной, частной или гибридной облачной средой, доминируют угрозы веб-приложений. Что отличается от них — это уровень риска, с которым вы сталкиваетесь. «Как защитники, в Alert Logic наша способность эффективно защищать общественные облака также выше, потому что мы видим лучшее соотношение сигнал / шум и преследуем меньше шумовых атак», — говорит Миша Говштейн, соучредитель Alert Logic. «Когда мы видим инциденты с безопасностью в общедоступных облачных средах, мы знаем, что мы должны обратить внимание, потому что они в целом спокойнее».
. Данные показывают, что некоторые платформы более уязвимы, чем другие. «Это увеличивает вашу атаку, несмотря на все ваши усилия», — говорит Говштейн. В качестве примера он отмечает, что «несмотря на распространенное мнение», стек LAMP был намного более уязвим, чем стек приложений на основе Microsoft. Он также рассматривает приложения PHP как горячую точку.
«Системы управления контентом, особенно WordPress, Joomla и Django, используются в качестве платформ для веб-приложений гораздо больше, чем большинство людей понимают и имеют многочисленные уязвимости», — говорит Говштейн. «Можно обеспечить безопасность этих систем, но только если вы поймете, какие веб-фреймворки и платформы, которые, как правило, используют ваши команды разработчиков. Большинство пользователей безопасности почти не обращают внимания на эти детали и принимают решения, основанные на плохих предположениях ».
Чтобы минимизировать влияние облачных угроз, Alert Logic имеет три основные рекомендации:
- Положитесь на белый список приложений и заблокируйте доступ к неизвестным программам. Это включает оценку риска и стоимости для каждого приложения, используемого в организации.
- Поймите свой собственный процесс исправления и установите приоритет развертывания патчей.
- Ограничить права администратора и доступа на основе текущих пользовательских обязанностей. Это потребует сохранения привилегий как для приложений, так и для операционных систем.
Как обеспечить облако
Согласно опросу исследователя рынка VansonBourne и спонсируемому поставщиком решений для мониторинга сети Gigamon, 73 процента респондентов ожидают, что большая часть их рабочих нагрузок приложений будет доступна общественности или частное облако. Тем не менее, 35 процентов респондентов рассчитывают на то, чтобы обеспечить безопасность сети «точно так же», как и для их внутренних операций. Остальные, хотя и неохотно меняются, полагают, что у них нет выбора, кроме как изменить свою стратегию безопасности для облака.
Конечно, не каждая компания переносит чувствительные или критические данные в облако, поэтому для них существует меньше причина для изменения стратегии. Тем не менее, большинство компаний переносят критическую и проприетарную информацию о компании (56 процентов) или маркетинговые активы (53 процента). Сорок семь процентов ожидают иметь личную информацию в облаке, что имеет последствия из-за новых правил конфиденциальности, таких как ВВП.
. Компании должны сосредоточиться на трех основных областях своей стратегии облачной безопасности, согласно Говштейну :
- Инструменты . Средства безопасности, которые вы развертываете в облачных средах, должны быть встроены в облако и способны защищать веб-приложения и облачные рабочие нагрузки. «Технологии безопасности, разработанные для защиты конечных точек, сосредоточены на наборе векторов атаки, которые обычно не видны в облаке, и плохо оснащены для борьбы с угрозами OWASP Top 10, которые составляют 75 процентов всех облачных атак», — говорит Говштейн. Он отмечает, что угрозы конечных точек нацелены на веб-браузеры и клиентское программное обеспечение, а инфраструктурные угрозы — на серверы и платформы приложений.
- Архитектура. Определите свою архитектуру вокруг преимуществ безопасности и управления, предлагаемых облаком, а не той же архитектуры, которую вы используете в ваших традиционных центрах обработки данных. «Теперь у нас есть данные, показывающие, что чистая общественная среда позволяет предприятиям получать более низкие показатели инцидентов, но это возможно только при использовании облачных возможностей для разработки более безопасной инфраструктуры», — говорит Говштейн. Он рекомендует вам изолировать каждое приложение или микросервис в своем собственном виртуальном облачном облаке, что уменьшает радиус взрыва любого вторжения. «Основные нарушения, такие как Yahoo, начались с тривиальных веб-приложений в качестве исходного вектора ввода, поэтому наименее важные приложения часто становятся вашей самой большой проблемой». Также не исправляйте уязвимости в облачных развертываниях. Вместо этого разверните новую облачную инфраструктуру, использующую самый последний код и выведите из эксплуатации свою прежнюю инфраструктуру. «Это можно сделать только в том случае, если вы автоматизируете развертывание, но вы достигнете уровня контроля над своей инфраструктурой, которой вы никогда не сможете достичь в традиционных центрах обработки данных», — говорит Говштейн.
- Точки подключения. Определите точки, где ваши облачные развертывания взаимосвязаны с традиционными центрами обработки данных, в которых используется устаревший код. «Вероятно, это будет ваш самый большой источник проблем, поскольку мы видим четкую тенденцию к тому, что гибридные облачные развертывания имеют тенденцию видеть большинство инцидентов с безопасностью», — говорит он.
Не все, что касается существующей стратегии безопасности компании, должно измениться для облака. «Использование одной и той же стратегии безопасности — например, глубокая проверка контента для криминалистики и обнаружения угроз — для облачных вычислений — это не плохая идея сама по себе. Компании, которые преследуют это, как правило, ищут согласованность между их архитектурами безопасности, чтобы ограничить пробелы в их поведении безопасности », — говорит Том Клавел, старший менеджер по маркетингу продуктов в Gigamon.
« Проблема в том, как они получают доступ к сети трафик для такого рода инспекций », добавляет Клавел. «Хотя эти данные легко доступны на месте, используя различные способы, они недоступны в облаке. Плюс, даже если они получают доступ к трафику, обратный обмен файлами на локальные инструменты для проверки, без разведывательной информации чрезвычайно дорого и контрпродуктивно ».
Проблемы видимости облака
Одна жалоба, которую респонденты VansonBourne указали, заключалась в том, что облако может создавать слепые пятна в ландшафте безопасности. В целом половина сказала, что облако может «скрыть» информацию, которая позволяет им идентифицировать угрозы. Они также заявили, что с облаком они также не получают информации о том, что зашифровано (48 процентов), небезопасных приложениях или трафике (47 процентов), или действительности сертификата SSL / TLS (35 процентов).
A гибридная облачная среда может еще более затруднить видимость, поскольку это может помешать группам безопасности видеть, где данные фактически хранятся, согласно 49 процентам респондентов. Сильные данные, некоторые из которых связаны с операциями безопасности, а некоторые — с сетевыми операциями, могут сделать поиск данных еще хуже, заявили 78 процентов респондентов.
. Это не просто данные, которые группы безопасности имеют ограниченную видимость. Шестьдесят семь процентов респондентов из VansonBourne заявили, что сетевые блайнды помешали им защитить свою организацию. Чтобы получить лучшую видимость, Клавел рекомендует сначала определить, как вы хотите организовать и реализовать свою позицию безопасности. «Все ли внутри облака или простирается от локального до облака? В обоих случаях убедитесь, что повсеместная видимость сетевого трафика вашего приложения является центральной для вашей стратегии безопасности.
«Чтобы удовлетворить потребности видимости, определите способ приобретения, агрегации и оптимизации сетевого трафика для ваших инструментов безопасности, независимо от того, являются ли они вторжением система обнаружения (IDS), информация о безопасности и управление событиями (SIEM), криминалистика, предотвращение потери данных (DLP), расширенное обнаружение угроз (ATD) или все из них одновременно », добавляет Клавел. «Наконец, добавьте процедуры SecOps, чтобы автоматизировать видимость и безопасность от обнаруженных угроз, даже когда ваш облачный след растет».
Эти жалюзи и низкая информационная видимость могут создавать проблемы соответствия требованиям ВВП. Шестьдесят шесть процентов респондентов считают, что отсутствие видимости затруднит соблюдение требований ВНП. Только 59 процентов полагают, что их организации будут готовы к ВВП в конце 2018 года.
Будет ли помогать в обучении?
Поставщики облачных услуг работают над улучшением способности клиентов выявлять и устранять потенциальные угрозы , Amazon Web Services (AWS), например, объявила о двух услугах в 2017 году, которые полагаются на машинное обучение для защиты активов клиентов.
В августе AWS объявила о своем сервисе Macie, ориентированном главным образом на соблюдение PCI, HIPAA и GDPR. Он отслеживает содержимое пользователей в ведрах Amazon S3 и предупреждает клиентов, когда он обнаруживает подозрительную активность. AWS GuardDuty, анонсированный в ноябре, использует машинное обучение для анализа журналов AWS CloudTrail, VPC Flow и AWS DNS. Как и Macie, GuardDuty фокусируется на обнаружении аномалий, чтобы предупредить клиентов о подозрительной активности.
Эффективность машинного обучения зависит от моделей, которые состоят из алгоритма и данных обучения. Модель настолько же хороша, как и данные, которые она обучает; любое событие, которое выходит за пределы данных в модели, скорее всего, не будет обнаружено службой вроде Macie или GuardDuty.
Тем не менее, поставщик облачной безопасности, такой как AWS, будет иметь гораздо более богатый набор данных для работы, чем любой отдельный клиент. AWS имеет видимость во всей своей сети, что значительно облегчает обучение модели машинного обучения тому, что является нормальным и может быть вредоносным. Тем не менее, клиенты должны понимать, что машинное обучение не будет обнаруживать угрозы, выходящие за рамки данных обучения в модели машинного обучения. Они не могут полагаться на такие услуги, как Macie и GuardDuty.
Кому принадлежит облачная безопасность?
Учитывая, что поставлено на карту, неудивительно, что 62 процента респондентов выразили желание своих центров оперативной безопасности (SOC) контролировать сетевой трафик и данные для обеспечения адекватного защиты в облачной среде. Половина из них согласится на понимание сетевого трафика и данных.
Получение контроля или даже полная видимость может стать проблемой для многих организаций из-за структуры групп, которые управляют облачной средой. В то время как операции безопасности несут ответственность за облачную безопасность в 69 процентах организаций респондентов, также задействованы облачные операции (54%) или сетевые операции. Это привело к путанице в отношении того, кто возглавляет облачную безопасность и как команды должны сотрудничать. Фактически, 48 процентов респондентов заявили, что отсутствие сотрудничества между командами является самым большим препятствием для выявления и сообщения о нарушении.
«Часто компании разделяют обязанности между сетью, безопасностью и облаком», — говорит Клавел. «У каждого из них разные бюджеты, отличная собственность и даже отдельные инструменты для управления этими областями. Получение видимости в облаке для обеспечения безопасности требует разрушения коммуникационных стен среди этих трех организаций. Те же средства безопасности, которые развернуты на месте, смогут также облако облачных вычислений, поэтому облачным и командам безопасности необходимо обмениваться данными ».
. Какой тип человека должен обладать облачной безопасностью организации? Это должен быть кто-то или команда с правильными навыками и умением совершать долгосрочные действия. «Найдите человека или команду, способную быстрее перейти к новым парадигмам облачной безопасности, и позволить им строить стратегию безопасности на ближайшие три-пять лет», — говорит Говштейн.
«В последние несколько лет , это, как правило, команда ИТ-операций или команда безопасности предприятия, но в основе этих усилий всегда лежит индивидуальный вкладчик на уровне архитектора или команда разработчиков облачной безопасности. Эта новая порода профессионалов безопасности может писать код, тратить более 80 процентов своего времени на автоматизацию своих рабочих мест и рассматривать команды разработчиков как своих сверстников, а не противников », — говорит Говштейн, добавив, что безопасность технологий иногда является функцией инженерная группа.
