Привет, Хабр! Меня зовут Кирилл Орлов, и я занимаюсь вопросами ИБ в Oxygen. В этом посте предлагаю посмотреть "в глаза" трём самым популярным ИБ угрозам - и разобрать, почему миграция в облако помогает справиться с ними быстрее и проще. Сегодня я не буду лезть в дебри ИБ и разбирать сложные кейсы. Этот текст скорее предназначен для новичков в ИБ, которым стараются сложить (или уже сложили) на плечи вопросы защиты данных в дополнение к администрированию или другим обязанностям. Если это про вас, то заходите под кат, давайте обсудим, как перенос корпоративных систем в облако мог бы помочь вам с решением проблем кибербезопасности.

Обеспечить информационную безопасность сегодня может быть непросто. Многие привычные нам компании перестали предоставлять свои сервисы или ограничили их доступность. А выбор альтернативного поставщика может быть непростой задачей. Или даже неподъемной, если вы - единственный ИБ-шник в компании...да еще и по совместительству ИТ-шник. При этом сложности с обновлениями и приостановка деятельности вендоров в целом увеличивают вероятность появления новых брешей и эксплойтов. А увеличение частоты хакерских атак, направленных на российские компании, заставляет задуматься о растущих угрозах.

Момент атаки – это проверка того, что представляет собой ваша система ИБ. Что-то активно предпринимать во время атаки уже сложно, приходится держать удар и «выдавливать» злоумышленников из инфраструктуры, стараясь минимизировать урон. 

Это как ограбление: ценности уже вынесли, остаётся писать заявление и вешать более надёжный замок. Гораздо проще провести предварительную подготовку. И тут возникает вопрос, кто будет за все это отвечать? Ваша команда? Или сторонняя компания?

Наверное, второй вариант оказывается предпочтительнее, потому что к нам все чаще обращаются представители компаний — как небольших, так и достаточно крупных — для которых мотивацией переноса части нагрузок в облако заключается не только в дефиците мощностей, но и в возможности обеспечить соответствующий корпоративным стандартам и лучшим практикам уровень ИБ. Ведь если виртуальная машина с тем или иным сервисом работает в облаке, вы сразу получаете общую защиту, развернутую для всего ЦОД, а также можете воспользоваться дополнительными сервисами защиты, не беспокоясь об установке решений и их сопровождении.

При этом, конечно, для подключения облака нужно убедить руководителей. И дальше мы как раз поговорим о том, как использовать информацию о популярных атаках, чтобы аргументировать работу с облаком. 

DDoS

DDoS — это прямо бич современности. Атаки на веб-сервисы и любые подключенные к интернету ресурсы становятся все популярнее. Технически их очень легко организовать. Достаточно использовать армию ботов (зараженных устройств), которые будут не переставая слать запросы на нужные серверы. Более того, в даркнете существуют многочисленные сервисы, которые позволяют организовать DDoS-атаки на конкретные компании. Получается такая DDoS as a Service. А учитывая, что навредить российским организациям хотят сегодня многие, вектор атак смещается в сторону рунета.

По данным “Лаборатории Касперского”, опубликованным в Известиях, за март количество DDoS-атак, направленных на ресурсы российских организаций, выросло в 8 раз! В 8 раз, Карл! Тут включаются как активисты, так и организованные группировки. И если в феврале большая часть атак приходилась на СМИ, то в марте им досталось всего 3%. 35% DDoS-атак направлены на финансовые структуры, но 20% — на компании из самых разных отраслей. И именно поэтому переход в облако позволяет переложить защиту от DDoS с плеч собственной ИТ-службы на сотрудников ЦОД. 

И, надо сказать, в некоторых случаях для борьбы с DDoS нам самим приходится использовать не только установленные внутри ЦОДа системы, такие как Arbor, но и ресурсы внешних партнеров — Qrator и StormWall. Они подключаются, когда масштабы атаки оказываются очень большими. И, конечно, в таких случаях самостоятельно настраивать взаимодействие с партнерами неспециализированной компании было бы крайне сложно.

Если корпоративная система находится в коммерческом облаке (в частности, в Oxygen), то запросы от ботов поступают сразу на IP-провайдера сервисов. Если запросов становится слишком много, и это начинает напоминать DDoS, то мы, например, активируем сначала фильтрацию на своих мощностях, а потом  — подключаем партнеров. Плюс в том, что заказчику не нужно проходить весь путь обеспечения защиты самостоятельно — достаточно просто настроить стык с сетями провайдеров услуг защиты от DDoS — то есть Qrator или StormWall, либо перенастроить DNS, если речь идет исключительно о веб-ресурсах.

Фишинг

Еще одна опасность — это фишинг. Если получить доступ к учетным данным сотрудника, можно проникнуть глубже в инфраструктуру организации. Фишинг стал популярнее в годы пандемии. Внимание «удаленщиков» в домашних условиях размыто, человек более расслаблен и склонен больше доверять письмам и не сразу обращать внимание на фишинговые трюки. Поэтому люди чаще нажимают на сомнительные ссылки и, вводя свои данные, открывают ворота в свою компанию.

При фишинговой атаке обычно стремятся украсть данные или перехватить управление инфраструктурой компании. Переход по ссылке в фишинговом письме чреват неприятными последствиями:

  • может сразу запуститься программа-вымогатель (инфраструктура шифруется, и для её восстановления приходится платить хакерам деньги);

  • произойдет переход на лэндинг, маскирующийся под известный сайт (классический пример – Госуслуги). Заполните форму – сольёте свои данные; 

  • может образоваться дыра в безопасности, через которую злоумышленники смогут воровать данные организации или иметь доступ к инструментам управления на уровне вашего IT-отдела.

Чтобы бороться с фишинговыми атаками необходимо использовать системы защиты email, а также URL-фильтры. На своей инфраструктуре их нужно устанавливать и настраивать. В облаке такой сервис пользователи получают в комплекте с электронной почтой. Более того, учитывая масштабы распространения фишинга, мы в Oxygen используем дополнительные решения от “Лаборатории Касперского”, которые распознают фишинговые атаки при помощи алгоритмов искусственного интеллекта. Таким образом, нам удается практически полностью исключить атаки на email клиентов.

Атаки на web-приложения

Еще один вид угроз, который способен оказать разрушительное влияние на бизнес — это целое семейство атак на web-приложения. При таких атаках злоумышленники взламывают веб или мобильные приложения и могут менять его логику. Это дает возможность редактировать информацию на сайтах, менять текст и изображения.

Недавний взлом Яндекс.Еды с последующей утечкой данных в сеть – яркий пример неприятных последствий подобных атак. Но и это еще не все. Используя скомпрометированный web-ресурс, злоумышленники способны пользоваться аккаунтами пользователей для оформления заказов, воровства данных платёжных карт, они также могут запустить промо-акцию, например, продавая дорогой товар за 1 рубль. Любой владелец интернет-магазина впадает в ужас от подобной перспективы. 

Наша защита от web-атак построена на базе Positive Technologies Application Firewall и SolidWall. В результате все размещенные в облаке web-приложения могут получить защиту без дополнительных сложностей.

Облачная ИБ

В любом крупном ЦОДе отдел ИБ содержит целую команду специалистов. Например, у нас в Oxygen департамент ИБ отвечает за сохранность инфраструктуры и защиту облаков, регламентирует процессы и противодействует киберугрозам. Эти услуги входят в облачные подписки, а значит вам не нужно самостоятельно покупать и настраивать какое-либо дополнительное ПО — все это доступно в виде сервиса.

Так, в этом посте мы рассмотрели, пожалуй, основной ТОП запросов, который сейчас актуален для клиентов облака. Сюда не вошли не менее важные решения, такие как NGFW, системы мониторинга событиями информационной безопасности, системы контроля и управления привилегированными учётными записями, и другие решения, которые мы активно используем сами и рекомендуем нашим клиентам. Но это уже совершенно другая история, и если это будет интересно, я расскажу ее в отдельном посте. Так что задавайте вопросы.

Для тех компаний, которые уже частично расположились в облаке Oxygen, мы подключаемся к вопросам обеспечения безопасности на этапах проектирования и изменения ландшафта IT-инфраструктуры. Например, когда клиент мигрирует или расширяется. Это позволяет сразу настроить процессы и избежать появления новых уязвимостей и рисков. Например, наличие дополнительных средств резервного копирования позволяет восстановить любые данные, даже если произошла компрометация аккаунта одного из сотрудников и что-то было повреждено. 

Причина такого внимания к ИБ в том, что облачные сервисы предоставляются под SLA. В нашем случае наиболее популярные требования: доступность инфраструктуры с гарантированным показателем 99,8%. Чтобы обеспечить этот показатель, так или иначе, приходится заниматься вопросами безопасности с большим усердием.

Впрочем, никто не говорит, что развернуть аналогичные решения нельзя в своей компании. Очень даже можно и нужно, если вы не используете экспертизу облачного провайдера или внешнего поставщика безопасности. Однако при дефиците ресурсов и потребностях сделать все и сразу, вариант миграции в облако может оказаться намного эффективнее самостоятельной работы со всем спектром инструментов киберзащиты. Главное, помнить, что обеспечение информационной безопасности — это непрерывный процесс опережающий риски, а не следующий за ними…и не забывать рассказывать об этом руководству, чтобы никто не обвинил вас потом в недостаточной защите корпоративной сети. 

Кстати, расскажите, а каких средств ИБ не хватает вашей компании? Сталкивались ли вы с мощными атаками в последние несколько месяцев? Используете ли преимущества коммерческих облаков для защиты сервисов? Поделитесь своими мыслями в комментариях.

Комментарии (8)


  1. Mudrist
    20.04.2022 12:51
    +2

    Кот - отличный! :)


    1. mariya_kry
      21.04.2022 10:55

      Спасибо :)


  1. sundmoon
    20.04.2022 21:22
    +3

    если вы - единственный ИБ-шник в компании...да еще и по совместительству ИТ-шник


    Даже на абсолютном "безрыбьи", ИБ и ИТ это как минимум разные роли, строго промеж собой разделённые. Только таким образом бедный "многорукий шива" может предохранить себя от диссоциативного расстройства, а контору от перекоса.

    Цель ИТ доступность сервисов, цель ИБ наоборот.
    По-хорошему это разные люди или отделы, да ещё и прямые конкуренты за приоритеты менеджмента.


    1. Vahhhh
      21.04.2022 10:26
      +3

      Неистово плюсую!

      Проблема в том, что большинство компаний вообще не парится про ИБ (как раньше считали неважным ИТ), и уж про выделение отдельных людей под ИБ (по моему опыту) может похвастаться хорошо если 10% компаний. В крупных - да, есть люди, отдельные роли.. А в небольших так не принято :)


  1. ViAndrey
    21.04.2022 08:55

    Эх, хорошо когда оно по-хорошему...


  1. papazogl0
    21.04.2022 10:52

    Сегодня я не буду лезть в дебри ИБ и разбирать сложные кейсы.

    Либо объясняйте тогда хотя бы поверхностные принципы работы продуктов которыми пользуетесь (Qrator, Stormwall, Positive Technologies Application Firewall, SolidWall etc), либо не приводите их. А то выглядит так будто просто сложными словами грузите текст, ей богу.

    Используя скомпрометированный web-ресурсу, злоумышленники способны пользоваться аккаунтами пользователей для оформления заказов...

    Кажется, чего-то предложению недостает.

    В целом, странная статья. Выглядит как "если не хотите заниматься ИБ в предприятии - спихните все в облако. Как убедить начальника - расскажем в нашем Sales pitch." Не то чтобы в данной затее крылось что-то невероятно злое, но подается всё это под каким-то слишком уж обманчивым соусом.
    Интеграционный ад (особенно) при подключении к внешним системам защиты никуда не денется - всем командам так или иначе придется попотеть чтобы вписать работу системы в новые рамки. Если, конечно же, раньше о таком никто не думал, а сейчас внезапно начали - это максимально дешевое решение в краткосрочной перспективе, но далеко не самое безболезненное.

    Гифки смешные.


    1. k_orlov Автор
      21.04.2022 11:15
      +2

      Либо объясняйте тогда хотя бы поверхностные принципы работы продуктов которыми пользуетесь

      Если такой запрос есть, мы расскажем подробности в следующих постах о том, как работают используемые системы, порядок их подключения и нюансы эксплуатации. А у нас есть чем поделиться из опыта ;)

      Интеграционный ад (особенно) при подключении к внешним системам защиты никуда не денется - всем командам так или иначе придется попотеть чтобы вписать работу системы в новые рамки.

      да, никто и не говорит, что решения самые "безобидные" и не требуют предварительной подготовки к бесшовному подключению. Давайте я подготовлю пост о том, как производится интеграция тех или иных решений - это правда интересно.


      1. Mudrist
        21.04.2022 11:26

        Вот начала было писать комментарий, а вы сами собираетесь об этом рассказать! Читаете мысли ;) Будете делать пост, расскажите о том, в чем разница, подключать партнеров для своей инфраструктуры или в стыке с вашим облаком. Действительно ли это легче?