По данным отчета McAfee «Cloud Adoption and Risk», современное предприятие в среднем использует 1950 облачных сервисов, из которых менее 10% учитывают потребности корпораций. Чтобы исключить хищение данных, а средний ущерб от каждой такой утечки в США составляет $7,9 млн, компаниям необходимо взять под контроль несанкционированную эксплуатацию облаков.
Звучит знакомо, не так ли?
Автор: Сергей Меньшаков, инженер-пресейл направления McAfee
Причина в том, что все уже не понаслышке знакомы с проблемами, связанными с «теневыми ИТ». А сегодня не менее серьезные риски для безопасности представляют подключенные приложения.
Платформы для совместной работы, например, Office 365, позволяют рабочим подразделениям и конечным пользователям устанавливать и подключать приложения сторонних разработчиков, а также разрабатывать собственные программы для решения имеющихся задач. Например, компания Microsoft продвигает магазин Microsoft Store с десятками тысяч приложений, которые пользователи могут установить в корпоративной среде Office 365. Эти приложения дополняют и расширяют функции Microsoft Office и улучшают продуктивность работы пользователя.
В качестве примера можно привести WebEx для организации встреч из Outlook или программное дополнение Survey Monkey для проведения опросов в Microsoft Teams. Во время установки эти приложения часто запрашивают у пользователя доступ к ресурсам. Это могут быть данные, которые хранятся в приложении (например, SharePoint), информация из календаря или письма из почтового ящика. Предоставление сторонним приложениям доступа к облачным сервисам создает для компании три проблемы.
Что если приложение небезопасно само по себе? Например, приложения для конвертации в документов в формат PDF запрашивают доступ ко всем ресурсам, в результате корпоративные данные перемещаются из облачного приложения компании в потенциально небезопасные приложения.
Но даже если приложения надежно защищены, они могут обращаться к таким облачным ресурсам, как почта, облачный диск, календарь, в которых содержится корпоративная информацию. Например, приложение Evernote для Outlook используется для хранения данных электронной почты. Само по себе это приложение безопасно, но компания не может позволить сотрудникам работать с ним, ведь это создает предпосылки для утечки корпоративных данных.
Подключенные приложения обмениваются данными с разрешенными облачными сервисами напрямую, и на эти подключения не распространяется действие имеющихся сетевых политик и средств контроля. Например, чтобы исключить несанкционированную пересылку файлов, компания может внедрить защиту на уровне веб-шлюза или брандмауэра. Но это не помешает сотрудникам скачать приложение из магазина и обойти эти меры безопасности. Даже политики предотвращения потери данных (DLP) на базе API не способны блокировать отправку сведений в подключенные приложения. Это значит, что организациям следует проявлять большую осмотрительность и эффективнее контролировать использование таких программ сотрудниками.
Модель совместной ответственности применима и к подключенным приложениям. Облачные сервисы, например, Google и Microsoft, предоставляют заказчикам возможность размещать приложения в своих магазинах, но с условием, что компании будут нести ответственность за данные и действия пользователей, а также за использование таких подключенных приложений в рамках политик безопасности и нормативного соответствия.
Каждый день разрабатываются новые приложения, которые помогают сотрудникам повышать продуктивность и делать проще сложные операции. Сотрудники используют DropBox для отправки больших файлов или онлайн-редактор PDF для внесения срочных правок. Хотя эти приложения и приносят пользу, однако обостряется проблема «теневых ИТ»: специалисты по информационной безопасности могут лишь догадываться, какими облачными сервисами пользуются их коллеги, и какую опасность представляют эти приложения. Ввиду отсутствия прозрачности, ИБ-подразделению очень трудно управлять затратами и рисками, связанными с облаком.