Журнал "Директор по безопасности" Январь 2020 | Page 16
ЕСТЬ РЕШЕНИЕ
19 передовых
практик
в сфере облачной
безопасности
в 2019 году
АНТОН ТИХОНОВ,
ведущий инженер направления McAfee, ГК МОНТ
О
блачные вычисления коммерче-
ски доступны уже около 20 лет
и применяются практически по-
всеместно: около 95% компаний отме-
чают, что у них есть облачная страте-
гия. Хотя поставщики облачных услуг
значительно усовершенствовали свои
системы безопасности, пользование та-
кими сервисами до сих пор сопряжено
с рисками. К счастью, эти риски можно
снизить до минимума с помощью пред-
ставленных ниже передовых практик.
Защитите свои данные в облаке
Определите, какая информация наи-
более уязвима. Хотя повсеместное
внедрение защиты самого высокого
уровня, конечно, будет излишним, ком-
пании должны обезопасить свои кон-
фиденциальные данные – в противном
случае они подвергаются риску поте-
ри интеллектуальной собственности
и наложению нормативных штрафов.
По этой причине в первую очередь не-
обходимо определить, какая именно
информация подлежит защите. Для
обнаружения и классификации дан-
ных обычно используют специальный
механизм. Установите комплексное
решение, которое сможет обнаружить
и защитить конфиденциальную ин-
формацию в вашей сети, на конечных
устройствах и в облаке, и при этом обе-
спечит необходимый уровень гибкости
и мобильности для вашей организации.
Как осуществляется доступ к дан-
ным и их хранение? Несмотря на то,
что конфиденциальные данные мож-
но хранить в облаке, такая возмож-
ность не является чем-то очевидным.
По данным отчета McAfee за 2019 г.
«О внедрении облака и рисках» (Cloud
Adoption and Risk Report), 21% всех
файлов в облаке содержат конфиден-
циальную информацию. Эксперты от-
мечают резкий рост этого показателя
по сравнению с прошлым годом1. Хотя
большая часть этой информации хра-
нится в хорошо зарекомендовавших
себя корпоративных облачных сер-
висах типа Box, Salesforce и Office365,
важно понимать, что ни одно из этих
решений не гарантирует 100% безопас-
ности. Ввиду этого важно изучить раз-
решения и контекст доступа к данным
в вашей облачной среде и внести необ-
ходимые корректировки. В некоторых
случаях придется удалить конфиденци-
альные данные, уже размещенные в об-
лаке, или поместить их в карантин.
Кто может делиться данными и ка-
ким образом? По сравнению с предыду-
щим годом объемы обмена конфиден-
циальными данными увеличились более
чем на 50%.1 Какой бы продуманной
ни была ваша стратегия по снижению
угроз, нельзя только реагировать на ин-
циденты: риски такого подхода слишком
велики. Необходимо разработать поли-
тику контроля доступа и обеспечить ее
применение еще до попадания данных
в облако. Возможность редактировать
документы должна быть только у не-
большого числа сотрудников, большин-
ству будет достаточно их просмотра.
Аналогично, не всем пользователям,
у которых есть доступ к определен-
ным данным, следует дать разрешение
на обмен ими. Необходимо создать
группы и настроить права, чтобы пере-
сылать такую информацию мог только
узкий круг лиц с соответствующими пол-
номочиями. Это существенно ограничит
распространение конфиденциальных
данных.
Не полагайтесь на шифрование
облачного сервиса. Комплексное
шифрование на уровне файлов долж-
но быть основой всех мер по обеспе-
чению безопасности в облаке. Хотя
шифрование данных силами постав-
щиков облачных услуг защищает их от
третьих сторон, у провайдеров при
этом появляется доступ к вашим клю-
чам шифрования. Для максимальной
защиты компаниям необходимо вне-
дрить современные криптографиче-
ские решения с собственными ключа-
ми и применять их до загрузки данных
в облако.
Устраните внутренние угрозы
облачной безопасности
Использование облака сотрудника-
ми должно быть прозрачным. Даже
если в вашей организации действует
корпоративная стратегия по облачной
безопасности, ваши сотрудники могут
пользоваться облаком по собственно-
му усмотрению. Большинство людей
заводят учетные записи в Dropbox или
пользуются онлайн-сервисами для кон-
вертации файлов без предварительной
консультации со специалистами ИТ. Что-
бы оценить потенциальные риски ра-
боты сотрудников с облаком, проверьте
журналы прокси-сервера, брандмауэра
и системы управления информацией
о безопасности и событиями безопас-
ности (SIEM). Это позволит получить
полное представление о том, какие об-
лачные сервисы используются, и опре-
делить их ценность для сотрудников/
организации в сравнении с рисками
полного или частичного развертывания
систем в облаке. Также следует пом-
нить, что теневое использование – это
не только доступ к новым или неразре-
шенным сервисам с известных конеч-
ных устройств. Компаниям также нужна
стратегия по борьбе с перемещением
данных из доверенных облачных реше-
ний на неконтролируемые ими смарт-
фоны, планшеты и ноутбуки. Поскольку
в облачный сервис можно зайти с любо-
го подключенного к интернету устрой-
ства, неконтролируемая личная техника
создает пробел в любой стратегии без-
опасности. Чтобы ограничить скачива-
ние файлов на несанкционированные
устройства, можно сделать проверку
безопасности обязательным предвари-
тельным условием такого скачивания.
Составьте список безопасных сер-
висов. Хотя большинство сотрудников
используют облачные сервисы в рабо-
чих целях и с законными намерениями,
некоторые из них неизбежно найдут и
установят сомнительные решения. Из
1935 облачных сервисов, которые до-
ступны для среднестатистической орга-
низации, 173 относятся к приложениям
с высоким риском1. Знание того, какие
решения используются в вашей компа-
нии, позволит разработать соответству-
ющие политики безопасности.
1. Определите, данные какого типа
допустимо размещать в облаке.
2. Составьте список безопасных об-
лачных приложений, которыми могут
пользоваться сотрудники.
3. Проинформируйте сотрудников
о передовых практиках в сфере об-
лачной безопасности, мерах предо-
сторожности и инструментах, которые
необходимы для безопасной работы с
этими приложениями.
Помните о важной роли конечных
устройств. Большинство пользовате-
лей применяют для доступа к обла-
ку веб-браузер, поэтому компаниям
необходимо внедрить эффективные
инструменты для защиты клиентской
стороны и обеспечить своевременное
обновление браузеров, чтобы предот-
вратить эксплуатацию их уязвимостей.
Это ключевые компоненты облачной
безопасности. Для полноценной защи-
ты устройств конечных пользователей
установите современные специализи-
рованные решения, например бранд-
мауэры, особенно если ваша компания
работает по модели IaaS или PaaS.
Смотрите в будущее. Новые облач-
ные сервисы появляются в интернете
довольно часто, а связанные с ними
риски постоянно увеличиваются, что
затрудняет разработку и обновление
соответствующих политик вручную.
Хотя спрогнозировать, к каким облач-
ным приложениям будут обращаться
сотрудники, слишком трудно, вы може-
те автоматически обновлять политики
веб-доступа с помощью информации о
профиле риска того или иного серви-
са. Это позволит заблокировать доступ
к такому облаку или вывести на экран
предупреждение для пользователя.
Ремедиацию замкнутого цикла (при-
менение политик на основании общей
категории риска облачного сервиса
или его отдельных характеристик) не-
обходимо интегрировать с защищен-
ным веб-шлюзом или брандмауэром.
Система будет автоматически обнов-
лять и применять политики без нару-
шения работы существующей техноло-
гической среды.
Обеспечьте защиту от неосто-
рожных пользователей и злоумыш-
ленников. Среди угроз безопасности,
с которыми компании сталкиваются
ежемесячно, по вине персонала проис-
ходят в среднем 14,8 инцидентов.
В 94,3% организаций внутрисистем-
ные угрозы возникают как минимум
раз в месяц. Они неизбежны: вопрос
лишь в том, когда эта проблема затро-
нет вас. Угрозы такого рода включают
в себя как непреднамеренное раскры-
тие (т. е., скажем, случайная пересыл-
ка документа с конфиденциальными
сведениями), так и собственно вредо-
носную активность – например, ког-
да менеджер по продажам скачивает
полную версию клиентской базы перед
уходом к конкурентам. И неосторож-
ные сотрудники, и взломщики могут
совершать действия, указывающие на
злоумышленное использование облач-
ных данных. Для отслеживания ано-
мальных явлений и предотвращения
внутренних и внешних утечек данных
используйте решения с технологиями
машинного обучения и анализа пове-
дения пользователей.
Доверяйте. Но проверяйте. Поль-
зователи, которые пытаются получить
доступ к конфиденциальным данным
в облаке с нового устройства, долж-
ны проходить дополнительную про-
верку. Возможное решение – автома-
тическое требование двухфакторной
аутентификации во всех сценариях
облачного доступа с высоким риском.
Специализированные решения по
облачной безопасности могут запро-
сить у пользователя дополнительный
идентифицирующий атрибут в режиме
реального времени; они работают с
имеющимися поставщиками иденти-
фикаторов и факторами аутентифика-
ции (аппаратными токенами, мобиль-
ными программными токенами или
текстовыми сообщениями), которые
знакомы конечным пользователям.
Возможность
редактировать документы
должна быть только
у небольшого числа
сотрудников, большинству
будет достаточно
их просмотра