Они необходимы для предотвращения угроз безопасности в облаке
Фишинговые атаки, необновленное ПО и неразрешенныоблачные приложения создают постоянные риски и требуют постоянного внимания специалистов по информационной безопасности.
Автономные функции мониторинга угроз и применения исправлений для устранения уязвимостей программного обеспечения зачастую являются лучшим — и все чаще единственным эффективным — способом решения этих проблем.
Это один из ключевых выводов совместного исследования Oracle и KPMG. В «Отчете Oracle и KPMG об угрозах для облаков в 2019 году» (Oracle and KPMG Cloud Threat Report 2019) анализируются многочисленные угрозы, с которыми сталкиваются предриятия.
Основные выводы исследования:
- 23% респондентов утверждают, что их организации не располагают ресурсами для обновления всех своих систем вручную. Это свидетельствует о необходимости автономных вычислений при развертывании патчей и исправлений безопасности.
- 50% отмечают, что использование облачных приложений без разрешения привело к несанкционированному доступу к данным; 48% говорят, что несанкционированный доступ повлек за собой заражение вредоносным ПО, а 47% сообщают о потере данных. Это указывает на необходимость внедрения политик для ограничения несанкционированного использования облачных приложений — и, возможно, применения автономных функций обнаружения или блокирования такого использования.
- 92% опрошенных обеспокоены тем, что отдельные лица, отделы или направления бизнеса в организации нарушают политики безопасности, когда речь идет об использовании облачных приложений. Это может выражаться в применении неразрешенных облачных приложений или непредусмотренном использовании разрешенных облачных приложений.
- 69% организаций знают о том, что сотрудниками используется умеренное или значительное количество неразрешенных облачных приложений. Еще 15% заявили, что им известно по крайней мере о нескольких таких приложениях. Привлекательность облачных приложений огромна, и сотрудники часто не колеблясь используют их, не взирая на принятые политики безопасности или процедуры утверждения.
Общий вывод таков: сегодня как никогда важно использовать автономные вычисления для защиты бизнеса в дополнение к аналитике событий безопасности. Исследование также показало, что для CISO важно больше знать об использовании облачных вычислений в своих организациях и что всем заинтересованным сторонам, включая ИТ-отделы, необходимо лучше понимать модель совместной ответственности за безопасность облачных вычислений.
Фишинговые атаки несут в себе наибольший риск
Наиболее распространенный вектор кибератак — фишинговые электронные письма: либо однотипные, которые переполняют почтовые ящики сотрудников, либо адресные мошеннические сообщения, нацеленные на конкретных лиц, скажем, на финансового директора или ИТ-специалиста. По данным исследования Oracle и KPMG, в прошлом году 27% организаций получали фишинговые сообщения по электронной почте с вредоносными вложениями или ссылками.
Следующие по распространенности направления атак: вредоносное ПО, которое скрытно распространялось в сети организации и заражало сервер (на это указывают 23% респондентов); злоупотребление привилегированными учетными записями (19%); эксплойты «нулевого дня», использующие ранее неизвестные уязвимости в операционных системах или приложениях (18%).
Когда сотрудники открывают фишинговую электронную почту и нажимают ссылку или открывают вложение, жди неприятностей, но одно из самых худших последствий — когда хакер устанавливает вредоносное ПО или перенаправляет сотрудника на поддельную веб-страницу, чтобы украсть учетные данные для входа в систему.
«Электронная почта — это вектор атаки номер один, — говорит Грег Дженсен, старший директор Oracle по облачной безопасности и инициатор отчета Oracle and KPMG Cloud Threat Report 2019. –- Ничто человеческое сотрудникам не чуждо, и слово «важно» в теме электронной почты привлекает их, как огонь мотыльков». Если письмо выглядит так, будто его написал начальник, или имитирует формат сообщения от доверенного партнера с просьбой предоставить информацию, то как его не открыть?
Как поясняется в отчете, эти методы наряду с другими более сложными фишинговыми атаками могут открыть злоумышленнику доступ к сервисам облачной инфраструктуры или к «программному обеспечению как сервису» (SaaS). Например, жертвой фишинга может стать разработчик программного обеспечения, администратор облака или инженер по выпуску приложений. Обладая учетными данными этого сотрудника, «хакеры могут получить доступ к консолям управления облачной инфраструктурой, механизмам выделения ресурсов под новые сервисы, такие как вычислительные экземпляры, и начать скрытно продвигаться по облачной инфраструктуре атакованной компании», говорится в отчете.
Лучший способ остановить фишинг — предотвратить доставку вредоносного сообщения получателю. В этом может помочь программное обеспечение безопасности, например, с применением современных решений для защиты электронной почты. Такие решения используют искусственный интеллект и машинное обучение для проверки содержимого письма, включая адреса, текст сообщения, ссылки и вложения. Это позволяет выявить вредоносные программы, ссылки на вредоносные веб-сайты и подделку деловой корреспонденции. То же самое можно сказать о программном обеспечении мониторинга с механизмами машинного обучения для выявления необычного поведения. Если финансовый директор, базирующийся в Европе, в середине ночи вдруг входит в систему закупок из страны на другом континента, то система может отметить это как аномалию, которая потенциально указывает на кражу учетных данных.
К чему ведет незнание модели совместной ответственности за безопасность
В корпоративном центре обработки данных отделы ИТ и безопасности отвечают за все аспекты безопасности. В облаке, однако, принята модель разделяемой, совместной ответственности за безопасность (Shared Responsibility Security Model, SRSM). Иначе говоря, безопасность — общая задача как провайдера — поставщика облачных сервисов, — так и корпоративного клиента.
К сожалению, иногда бизнес-подразделения, использующие облачные приложения и инфраструктуру, не знают, что их предприятие делит ответственность за защиту облачных приложений, включая проверку поставщика, мониторинг предупреждений систем безопасности, закрытие брешей в компонентах облачной среды, за которые они отвечают, обеспечение надежной аутентификации пользователя и ее синхронизацию с существующими локальными системами управления учетными данными. Это приводит к ситуациям, когда отдел безопасности (CISO) не участвует в выборе поставщика, аудите безопасности сторонних компаний и других действиях, необходимых при подключении к облачному провайдеру.
Модель совместной ответственности за безопасность позволяет понять «разделение труда» между провайдером облачного сервиса и клиентом в случае произвольного облачного сервиса. Например, говорится в отчете, провайдеры облачных сервисов могут предлагать конкретные опции облачной безопасности, такие как маскирование данных, но ответственность за определение целесообразности применения этих элементов управления и работу с ними лежит на клиенте. В конечном счете, за защиту своей организации ответственен потребитель облачных сервисов.
«Организации подвергаются риску и оказываются скомпрометированными из-за того, что кто-то подписался на неразрешенный облачный сервис. Они ошибочно полагают, что облачный провайдер сам позаботится о соблюдении всех требований информационной безопасности», — говорит консультант по управлению рисками KPMG и соавтор отчета Брайан Дженсен.
Когда автономные вычисления решают все
Количество тревожных сообщений и инцидентов, с которыми приходится иметь дело корпоративному отделу информационной безопасности, и без того слишком велико. Если к ним добавить еще и предупреждения об аномальном поведении конечного пользователя (как это и должно быть), проблема, скорее всего, быстро усугубится.
Типичное крупное предприятие имеет дело с 3,3 млрд событий в месяц, «однако только 31 из них на самом деле являются реальными событиями безопасности или несут в себе угрозы, — говорит Брайан Дженсен из KPMG. — Это как искать иголку в стоге сена – или даже хуже».
Предприятия не видят выход из этого хаоса, ведь невозможно найти, нанять, обучить и удержать такое количество аналитиков по безопасности. «Данная задача не может быть решена только путем наращивания кадрового состава, для этого необходимы интеллектуальная автоматизация и обученный квалифицированный персонал. Они нужны для разработки масштабируемого решения, которое учитывает уникальные риски использования облачных сервисов», — говорит Брайан Йенсен из KPMG.
Еще одна угроза исходит от систем с необновленным программным обеспечением. При обнаружении уязвимостей в операционных системах, приложениях или прошивке устройства (например, в реализациях Интернета вещей) ИТ-персоналу совместно с отделом информационной безопасности может потребоваться слишком много времени для установки и тестирования необходимых исправлений или изменений конфигурации.
Решение состоит в том, чтобы позволить программному обеспечению самостоятельно выполнять утомительную, повторяющуюся тяжелую работу, чтобы аналитики в области ИТ и безопасности могли сфокусироваться на устранении более сложных проблем. Обновление уязвимого оборудования или программного обеспечения — одна из наиболее важных мер, которые может предпринять отдел кибербезопасности. Согласно отчету, автоматизированное обновление (установку патчей) используют 43% организаций, причем среди крупных организаций (1000 сотрудников или более) этот показатель составляет 50%. Еще 46% всех организаций планируют внедрить автоматическое обновление в течение следующих 12-24 месяцев.
Исследование показывает четкое стратегическое намерение использовать автономные вычисления для патчинга базы данных. Около четверти респондентов (24%) полностью или в основном автоматизировали обновление ПО своих серверов баз данных, а еще 18% частично автоматизировали патчинг своих баз данных. Тем не менее, отчет выявил четкие различия в средствах автоматизации, которые использовались на протяжении многих лет, и показал, какие формы автономных вычислений действительно эффективны.
Императивы облачной безопасности
Как организации могут защитить критически важные для бизнеса облачные сервисы, число которых постоянно растет? Сотрудников необходимо обучить противостоять различным формам атак с использованием методов социальной инженерии, таким как фишинг. Однако, хакеры становятся все хитрее и действуют изощреннее, поэтому одного обучения недостаточно. Таким образом, важно внедрить решения, чтобы блокировать фишинговые и адресные мошеннические электронные письма – они не должны попадать к сотрудникам. Кроме того, системы следует постоянно контролировать на наличие признаков необычного поведения, которые могут сигнализировать о компрометации электронной почты.
Организациям следует также ввести и соблюдать политики использования сторонних облачных сервисов, если они развертываются без привлечения и одобрения ИТ-отделов и/или групп безопасности. Каждая должна понимать, какую часть «совместной ответственности» за безопасность конкретного облачного сервиса она несет, и, насколько это возможно, использовать автономные вычисления для выполнения трудоемких и повторяющихся задач, таких как сортировка предупреждений безопасности и применение патчей и исправлений для устранения уязвимостей.
Отчет об угрозах в 2019 году содержит дополнительные данные исследования, а также рекомендации для решения этих и других проблем безопасности предприятия при переносе критически важной нагрузки в облачную среду. Данные получены от 450 специалистов по кибербезопасности и ИТ из коммерческих и государственных организаций США, Канады, Великобритании, Австралии и Сингапура.
Источник: блог Oracle