В результате переноса рабочих процессов и приложений в облако ИТ-администраторы и организации в целом потеряли контроль над ними и лишились возможности управления многими важными аспектами кибербезопасности. То, что находилось внутри локальной инфраструктуры, оказалось за ее пределами, в публичном облаке. Наравне с ИТ-администраторами хакеры могут получить доступ к рабочим процессам в публичном облаке, используя стандартные способы подключения, протоколы и публичные API-интерфейсы. В результате весь мир превращается во внутрисистемную угрозу. Теперь безопасность рабочих процессов зависит от тех, у кого есть к ним доступ, и уровня предоставленных разрешений.
По опыту экспертов кибербезопасности компании Radware, проблема заключается в практиках использования и гибкости облачных сред. Зачастую администраторы предоставляют высокий уровень доступа целым группам пользователей в своих организациях, чтобы они могли беспрепятственно выполнять рабочие задачи. В реальности большинство сотрудников используют лишь малую часть этих разрешений, не нуждаясь в остальных. Так возникает серьезная брешь в системе безопасности: если учетные данные таких пользователей когда-либо попадут в руки злоумышленников, атакующие получат широкий доступ к конфиденциальной информации и ресурсам организаци. Согласно отчету Gartner под названием Managing Privileged Access in Cloud Infrastructure («Управление правами доступа в облачной инфраструктуре») к 2023 году из-за нерационального предоставления прав доступа будет происходить 75% несанкционированных проникновений в систему.
Специалисты Radware отмечают три важных недочета в системе безопасности организаций, приводящих к утечке данных из облачных сред:
№ 1. Отсутствие отслеживания избыточных прав доступа
В 80% случаев лишние права предоставляются на основе ролей. В облачных средах, которые предполагают хранение данных вне инфраструктуры компании, чем больше прав доступа предоставляется, тем больше поверхность атаки.
Избыточные права доступа образуются из-за несоответствия между необходимыми пользователям полномочиями для выполнения их работы и фактически предоставленными им разрешениями. Другими словами, это разница между определенными администратором и реально используемыми правами доступа. Эти излишние разрешения увеличивают поверхность потенциальных атак на вашу компанию.
Отсутствие оценки расхождения между необходимыми и предоставленными правами — один из основных недочетов в системе безопасности, приводящих к утечке данных. Важно непрерывно отслеживать и анализировать это соотношение и сводить его к минимуму, чтобы у хакеров было меньше пространства для маневра.
№ 2. Проблема не в обнаружении инцидентов, а в их сопоставлении
Оповещения системы безопасности стали похожи на крики того мальчика из басни, который звал на помощь и кричал: «Волк!». По данным десятков исследований, ежедневно в центр мониторинга информационной безопасности поступает в среднем 10 000 сообщений.
Из-за чрезмерного количества уведомлений, их часто не успевают обрабатывать. В результате оповещения о вредоносной активности тонут в море предупреждений, и настоящая утечка данных происходит незаметно.
Отсутствие фокуса на приоритетных оповещениях — еще одна из основных причин утечек данных. Важно, чтобы у специалистов по безопасности было единое представление разных облачных сред и учетных записей с оценкой серьезности инцидентов и присвоением приоритета.
№ 3. Неумение сопоставлять факты
Утечка данных происходит не мгновенно. Это длительный процесс, когда методом проб и ошибок злоумышленник пытается получить доступ к конфиденциальным данным, выполняя небольшие действия.
Таким событиям присваивается низкий или средний приоритет, из-за чего они часто проходят незамеченными. В среднем продолжительность этого процесса составляет шесть месяцев. Даже если удается обнаружить отдельные события безопасности, о них часто не вспоминают при выявлении следующего похожего подозрительного действия - никто не догадывается их сопоставить.
Неспособность сложить из отдельных событий и оповещений единую картину атаки — еще одна из основных причин утечки данных. Не устранив её, невозможно предотвращать атаки.