Облако: распространение растет, проблемы с безопасностью остаются
За последние несколько лет область облачных вычислений расширилась. Облачные платформы позволяют создавать новые сложные бизнес-модели и организовывать более глобальные интеграционные сети. Amazon Web Services — это бизнес стоимостью 12 миллиардов долларов, за которым сразу же следует Microsoft и Google. Даже отрасли, которые традиционно используют модель On-Prem (правительство, финансовые услуги, телекоммуникации и т. д.), все чаще переносят некоторые из своих услуг и решений в облако.
Тем не менее, проблемы безопасности продолжают беспокоить отрасль. Недавние утечки данных (RNC, Verizon, Dow Jones) вновь привлекли внимание к незащищенности данных и активов в облаке. Несколько недель для облачной безопасности: Dow Jones раскрывает данные миллионов пользователей
Общая ссылка в последних инцидентах заключается в том, что утечки данных были вызваны отсутствием безопасной конфигурации сегментов хранилища S3 в соответствующих облачных экземплярах этих жертв. S3 — это служба Amazon Simple Storage.
Хотя эти нарушения были вызваны отсутствием безопасной конфигурации S3, существуют и другие потенциальные векторы угроз, которые могут подвергнуть риску пользователей IaaS. Это не специфическая проблема Amazon, то же самое может случиться с Microsoft Azure, Google Cloud, IBM Softlayer и другими поставщиками. Критическая проблема здесь заключается в том, чтобы клиенты понимали нюансы модели общей ответственности для облачной безопасности и соответственно разрабатывали планы и стратегии.
Модель общей ответственности для облачной безопасности
• IaaS — инфраструктура как услуга. Как четко заявляет Amazon, «Хотя AWS управляет безопасностью облака, безопасность в облаке является обязанностью клиента».
Работая над облачной безопасностью с коллегой из прошлой жизни, мы шутили, что «Иногда проблемы возникают не с облаком, а с SMOG, который вызывает дыры в безопасности в облаке» (SMOG — это «системы, управляемые вне управления»)
Этот термин предназначался для широкого охвата рисков, вызванных небезопасной конфигурацией или неправильной настройкой служб, экземпляров, хранилищ, ресурсов и т. д., размещенных и доступных в облаке.
• SaaS — программное обеспечение как услуга — Office365, Dropbox, Salesforce, Google Apps — некоторые из известных приложений SaaS.
SaaS как облачная модель ориентирована на управление доступом к приложениям из любой точки мира с использованием любого типа подключения к Интернету. Доступ к документу через незащищенное соединение Wi-Fi в некоторых частях Азии возможен, как и доступ к нему через безопасную локальную сеть в офисе. Эти два сценария явно представляют собой различные риски безопасности, которые необходимо понимать и принимать соответствующие меры. Организации необходимо усилить ИТ-безопасность с помощью технологий, которые выявляют аномальное поведение, которое может указывать на нарушение безопасности или утечку данных, или на небезопасное развертывание утвержденной подписки SaaS, которая была развернута в соответствии с бизнес-профилем организации и склонностью к риску.
Отображение в режиме реального времени является ключевым моментом
В модели общей ответственности для облачной безопасности прозрачность всего набора приложений IaaS и SaaS является ключом к спокойствию клиентов.
Из-за отсутствия информации об облачных сервисах, используемых сотрудниками, фирма не знает, как сотрудники используют эти облачные сервисы. Сотрудники могут загружать файлы, содержащие конфиденциальную информацию, в облако без разрешения фирмы. В случае утечки данных в облачном сервисе фирма может быть скомпрометирована. Из-за отсутствия видимости в облаке организации могут не соблюдать правила и в конечном итоге быть оштрафованными.
Именно здесь решающую роль должны сыграть решения Security Analytics, основанные на машинном обучении и искусственном интеллекте. Они не только помогают обеспечить видимость различных настроек IaaS и SaaS и позволяют быстро реагировать, поведенческие модели также позволяют использовать упреждающий подход к безопасности. Сложные программные инструменты могут обнаруживать аномальное поведение, обнаруживая передачу необычно больших объемов данных и утечку конфиденциальных данных в облако; а также обеспечить полную прозрачность для безопасного использования и операций корпоративных облачных служб, таких как Office 365.
Сдвиг парадигмы в сторону поведенческой аналитики, основанной на науке о данных
Традиционные системы безопасности работают по принципу правил. Если атака, используемая хакером, имеет шаблоны, подобные прошлым событиям взлома, они будут пойманы. Если атака не соответствует ни одному правилу, указанному в книге правил, атака, скорее всего, останется незамеченной. Этот традиционный подход к обнаружению атак принес больше вреда, чем пользы, и может создать у организации ложное ощущение безопасности. Недавний опрос показал, что только 10–30% осуществленных атак соответствуют правилам свода правил. Хакеры умнеют день ото дня. Если мы продолжим использовать системы безопасности, работающие по каким-то предопределенным правилам, мы всегда будем на шаг позади злоумышленников.
Решения на основе машинного обучения и искусственного интеллекта могут обнаруживать вредоносные атаки без каких-либо заранее определенных правил. Эти атаки могут быть постоянными несанкционированными подключениями и попытками доступа из нескольких источников по всему миру, которые были ошибочно открыты для доступа в Интернет. Отсутствие своевременного обнаружения почти наверняка приведет к компрометации всей сети этой организации.
VASA RANK выполняет корреляцию данных с анализом на основе правил, за которым следует более глубокий анализ с помощью алгоритмов машинного обучения и обнаружение аномалий на основе более 40 параметров анализа.
Оценка риска, как показано на рисунке, учитывает 6 факторов, вес каждого фактора также можно настроить. Эти факторы перечислены ниже:
1. Важность актива
2. Связь с другими активами
3. Частота нарушения правил
4. Критическое нарушение правил
5. Аномальная частота
6. Аномальное поведение
Пример международной компании
RANK В настоящее время VASA используется ведущей международной фирмой, предоставляющей профессиональные услуги, для
A — Видимость — Мониторинг безопасности в режиме реального времени для разнообразных решений IaaS и SaaS
B — Оценка уязвимости в отношении внутренних атак и внешних угроз< br /> C — Контекстуализация и приоритизация уязвимостей
D — Панель визуализации для доступа в режиме реального времени к уязвимостям безопасности, включая возможность действовать упреждающе и искать уязвимости на основе индикаторов компрометации
• В течение нескольких дней после внедрения VASA для клиента система обнаружила многочисленные попытки вредоносных хостов в Китае подключиться к серверам AWS компании через порты SQL и RDP. Следовательно, эти и другие известные порты на инстансах EC2 по умолчанию были закрыты для Интернета и открывались только при необходимости.
• VASA также предупредила их об уязвимости с высоким риском, обнаружив небезопасные входы в систему для root и других привилегированных учетных записей в AWS.
• VASA предупредила клиента о моделях интенсивного использования EC2 в необычное время, а также инциденты, свидетельствующие об отслеживании данных в их среде AWS.
• VASA также обнаружила аномальные DNS-запросы, направленные на один сервер. Клиент понял, что запросы исходили из неизвестного места, и поэтому он отключил порт DNS для неизвестных подключений
• VASA также обнаружила аномальный доступ с IP-адресов из Восточной Европы и Азии.
RANK VASA обеспечивает непрерывный мониторинг для Amazon S3 и генерирует оповещение, если обнаруживает поведение перечисления сегментов в среде AWS или любые изменения в разрешениях S3.
RANK VASA также обеспечивает интеграцию с приложениями SaaS для мониторинга установки угроз и аномального поведения. Это может включать попытки подключения к приложению с неавторизованных устройств, утечку данных, изменение привилегий, попытки несанкционированного доступа, отслеживание и т. д.
Следующий шаг кибербезопасности — от реактивного к упреждающему
Основное убеждение RANK заключается в том, что поведенческая аналитика, основанная на машинном обучении и искусственном интеллекте, является точкой опоры для прогнозирования, предотвращения и отражения кибератак. Основное предложение RANK VASA — это платформа аналитики и визуализации корпоративной безопасности, ориентированная на высокоскоростную контекстную и поведенческую аналитику в реальном времени. Сочетая технологии больших данных, машинное обучение и запатентованные алгоритмы, платформа RANK User & Entity Behavior помогает находить полезную информацию и действенные аналитические данные о внутренних угрозах, целевых атаках и многом другом.
