Никита Дуров, технический директор Check Point Software, рассказал об угрозах, проблематике защиты облаков и решениях облачной безопасности.
– За 2020 г. организации были вынуждены сделать то, что планировали сделать за пять лет: пандемия и удаленная работа подтолкнули огромное количество компаний использовать облака, искать решения для доступа к корпоративным ресурсам из любого места и с любого устройства [1]. Проблемы облачной безопасности сохраняются и в 2021 г.: многие организации не торопятся полностью возвращать сотрудников в офисы. Периодически в стране вводят новые небольшие локдауны, а значит, еще больше сотрудников будут работать из дома.
– В начале 2021 г. команда исследователей Check Point Research опубликовала отчет Cyber Security Report 2021. Этот отчет был посвящен инструментам и методам, которые использовали киберпреступники в прошлом году, и основным угрозам для организаций. Суть одной из главных проблем, указанных в отчете, заключается в том, что внедрение облаков в организациях происходит быстрее, чем обеспечение их безопасности, – это серьезная угроза для 75% компаний [2], актуальная и сейчас. Более 80% респондентов обнаружили, что их инструменты безопасности или не работают, или имеют ограниченные возможности в облаке.
Согласно другим выводам отчета, больше всего эксперты опасаются потери или утечки данных – об этом сообщили 69% респондентов. Следом идет проблема конфиденциальности данных – о ней заявили 66% опрошенных.
Не менее важны опасения респондентов по поводу:
– Согласно отчету об облачной безопасности за 2020 г. Cloud Security Report 2020, главная угроза для организаций – ошибки при конфигурации настроек облака. Об этом рассказали 68% респондентов. Эта проблема вызвана сразу многими факторами: человеческий фактор (невынужденные ошибки), отсутствие необходимых компетенций у администратора облака и слишком интенсивный рост облачных технологий. Это, в свою очередь, приводит к утечкам данных и неспособности противостоять атакам.
Вторая по значимости угроза – несанкционированный доступ (58%), когда сотрудник, у которого нет разрешения, может просмотреть конфиденциальную информацию либо изменить настройки облачной среды.
На третьем месте – использование небезопасных интерфейсов и открытый API (52%). Для более гибкой и автоматизированной работы с облаками организации нужны специальные программные инструменты. А они, в свою очередь, могут быть настроены с потенциальными уязвимостями, которые на руку злоумышленникам.
Все эти угрозы действительно актуальны.
В процессе работы мы часто сталкиваемся с ними. На практике компаниям необходимо использовать централизованную систему мониторинга и контроля за своими ресурсами в облачной среде. Облако содержит больше возможностей для атаки по сравнению с классическим периметром организации, поскольку имеет гораздо больше точек входа (которые к тому же сложнее контролировать) и ограниченную видимость из-за динамичной среды.
Не стоит забывать и об угрозах нулевого дня (имеется в виду "уязвимость нулевого дня" – уязвимость, найденная злоумышленниками раньше, чем о ней узнали создатели программы. Прим. ред.), они требуют современных средств защиты.
Необходимо помнить и о защите интернет-приложений, сайтов: большинство WAF-продуктов отстают от стремительных изменений облачных приложений и нуждаются в постоянной ручной настройке.
Согласно нашему отчету, в 2020 г. вдвое выросло количество уязвимостей в веб-среде. Это усугубляется большим количеством ложных срабатываний в рамках обнаружения сигнатурными движками и пропуском настоящих вредоносных запросов.
– Две самые главные цели атак – получение доступа к корпоративным данным или использование ресурсов жертвы. Для первой цели злоумышленники используют фишинговые письма, отсутствие блокировки по доступу к портам и прочее.
Для второй цели – порядок действий зависит от задач злоумышленника. Например, были зафиксированы случаи, когда из-за уязвимости в публичном kubernetes-кластере устанавливались майнеры, которые зарабатывали деньги для хакеров, но за ресурсы платили непосредственно владельцы облаков.
Атаки стали автоматизированными: миллионы ботов ежедневно сканируют интернет-узлы в поисках уязвимостей, а когда находят – тут же пытаются их эксплуатировать. Благодаря автоматизации большого числа повторяющихся действий стоимость массовых атак снизилась почти до нуля.
– Атакам подвержены организации из всех сфер. Скорее мы можем говорить о том, что злоумышленники реагируют на обстоятельства и атакуют компании из тех областей, которые наиболее чувствительны к этому в какой-то определенный период времени. Например, во время пандемии хакеры были нацелены на сервисы видеоконференций, стриминговые платформы, больницы. В этих случаях злоумышленники создали огромное количество фейковых доменов, имитирующих популярные сервисы типа Zoom и Netflix.
Согласно исследованию Check Point Software [3], в октябре 2021 г. главными целями киберпреступников стали организации из секторов образования и исследовательской деятельности. Эксперты фиксировали в среднем 1468 атак в неделю (увеличение на 60% по сравнению с 2020 г.).
Следующие в рейтинге – государственные и военные организации – 1082 попытки атак в неделю (рост на 40%) и здравоохранение – 752 попытки (увеличение на 55%).
Сектор здравоохранения стал желанной целью для злоумышленников, потому что его учреждения хранили огромное количество важных данных, а их защита часто оставляла желать лучшего.
В осенний период был зафиксирован скачок в создании фейковых образовательных ресурсов, что объясняется началом нового учебного года.
Специалисты Check Point Research отметили, что в 2021 г. в мире в среднем каждая 61-я организация еженедельно подвергается атакам программ-вымогателей. Чаще всего злоумышленники были нацелены на сектор ISP/MSP (провайдеры интернет и ИТ-услуг): в нем каждая 36-я организация сталкивалась с атаками программ-вымогателей. На втором и третьем местах соответственно – здравоохранение, одна из 44 организаций регулярно подвергалась атакам программ-вымогателей (рост на 39%), и поставщики ПО – каждая 52-я организация (рост на 21%).
– Сейчас для эффективной защиты облачных ресурсов мало просто оперативно обнаруживать угрозы – важно вообще не допускать их попадания в корпоративную сеть.
Во многих компаниях есть ошибочное убеждение: если они обнаружили угрозу в своей сети, то это успех. На самом деле ситуация противоположная. Зачастую очень сложно определить, как долго вредоносная программа была в облачной сети и что именно она там делала. Любые угрозы следует блокировать и нейтрализовывать до проникновения в сеть. Это возможно только с применением современных методов защиты на нескольких уровнях, которые снижают вероятность утечки данных из облака и максимально уменьшают последствия и ущерб от возможного инцидента.
Компании должны использовать детализированную проверку и контроль трафика, репутационные базы данных об угрозах и "песочницы", для изоляции подозрительного трафика с последующим подтверждением или блокировкой. Эти возможности необходимо внедрить как для вертикального (входящего-исходящего, сервер-клиентского), так и для горизонтального трафика. Решение должно стабильно работать даже в самых сложных мультиоблачных и гибридных (публичных/частных/локальных) средах. А еще оно должно учитывать контекст, собирая и анализируя информацию из всех сред.
– Можно проверить, сколько у вас внедрено и сколько используется точечных решений безопасности и от каких вендоров. Чем их меньше, тем лучше: так их проще контролировать и меньше брешей будет возникать в политиках и процессах.
Убедитесь, что вы можете видеть все происходящие события в режиме реального времени и оперативно реагировать на них, что можете провести комплексный экспертный анализ в случае утечки данных. Проверьте, поддерживает ли платформа безопасности оперативное внедрение изменений, адаптацию соответствующих политик безопасности.
Решение должно обеспечивать защиту удаленного доступа к облачной среде компании с помощью следующих функций: многофакторная аутентификация, проверка нормативного соответствия конечных устройств, шифрование передаваемых данных и ведение журналирования. В идеале у компании должна быть возможность очень быстро масштабировать удаленный доступ к корпоративным ресурсам на тех сотрудников, кому это необходимо.
– Во-первых, есть унифицированные решения для защиты мультиоблачных сред. Они обеспечивают автоматизированную защиту ресурсов и рабочих нагрузок, предотвращение угроз и контроль безопасности.
Во-вторых, есть отдельные продукты, например ориентированные на автоматизацию управления ресурсами и сервисами нескольких облачных сред. Как правило, они содержат визуализацию и оценку состояния защиты, выявляют ошибочные конфигурации и проводят проверку на соответствие требованиям безопасности.
Третий тип решений защищает рабочие нагрузки, включая бессерверные функции и контейнеры: предотвращает эксплуатацию вредоносного кода, оценивает уязвимости и автоматизирует процесс защиты, снижая накладные расходы.
Еще один вид решений предоставляет аналитику безопасности облачных угроз, отображает контекст угроз и аномалий в мультиоблачной среде в реальном времени.
Близким к идеалу вариантом является унифицированная платформа, которая объединяет в себе все вышеупомянутые решения. Но лучше, если решение безопасности встраивается в практики CI/CD организации, – в этом случае потенциально уязвимые компоненты или строки кода можно выявить на этапе интеграции или развертывания приложения.
В России используются все вышеперечисленные продукты. За последний год обновилась линейка продуктов для защиты облачных сред. Check Point Software [4] предоставляет своим пользователям большой выбор решений семейства Check Point CloudGuard [5].
CloudGuard Application Security (AppSec) [6] – полностью автоматизированное решение для защиты веб-приложений и API, позволяющее организациям защитить любые облачные приложения как от известных угроз, так и от атак нулевого дня (использование уязвимостей нулевого дня для совершения атаки. – Прим. ред.). Устраняет многочисленные ложные срабатывания, связанные с использованием классических сигнатурных механизмов межсетевых экранов веб-приложений (WAF). Решение не требует ручной настройки. Все это позволяет компаниям в полной мере использовать возможности публичных и частных облаков.
– В дальнейшем мы планируем наращивать нашу экспертизу в сфере облаков, поскольку они внедряются повсеместно и дают злоумышленникам больше векторов для атак. Так сложилось, что главной миссией наших продуктов является предотвращение угроз – мы используем этот подход и к облачной среде.
Сегодня компания Check Point Software тесно интегрирована с облаками. Мы предоставляем IaaS- и SaaS-решения для анализа и управления ресурсами в облаке, построения централизованной политики доступа, защиты сегментов сети, контейнеров и кластеров Kubernetes.
Check Point Software стремится развивать партнерские отношения с российскими облаками. Мы видим, насколько это важно для отечественных компаний. В прошлом году Check Point Software и Yandex.Cloud заключили договор партнерства – теперь клиенты Yandex.Cloud могут защищать свои облачные ресурсы нашими продуктами безопасности. Запустить решение можно буквально в несколько кликов, выбрав необходимый продукт в маркетплейсе облака и подходящую модель оплаты – BringYour-Own-License (приобретение лицензии через обычный канал продаж) или Pay-As-You-Go (почасовая тарификация продукта с оплатой непосредственно провайдеру облака).