9 наиболее вероятных облачных угроз в 2013 году

Безопасность в облакеСовсем недавно завершилась ежегодная конференция RSA, посвященная вопросам компьютерной безопасности. Начиная с 1991 года конференция собирает ключевых мировых специалистов в области защиты информационных систем. Обсуждения включают вопросы безопасности, современные технологии защиты, а также тенденции развития угроз и вредоносных программ. На прошедшей на днях в Сан-Франциско конференции RSA Conference 2013 тема безопасности облачных вычислений заняла одно из ключевых мест.

В этом году конференция собрала множество ученых, бизнесменов, специалистов  и других людей, так или иначе связанных с компьютерной безопасностью. В числе спикеров этого года была экс-госсекретарь США Кондолиза Райс и основатель «Википедии» Джимми Уэлс. По итогам конференции некоммерческая организация Cloud Security Alliance (CSA) составила «Злополучную девятку» - список из наиболее существенных угроз безопасности, связанных с облачными вычислениями в текущем году. Выбранные проблемы отражают состояние отрасли в целом, так что наблюдения являются весьма полезными.

Утечка конфиденциальных данных

Пожалуй, самой масштабной проблемой, связанной с облачными вычислениями, является возможная утечка конфиденциальных данных. Представители CSA указали на исследования, датированные ноябрем 2012 года. В них рассказано о том, как сторонние каналы могут использоваться для извлечения частных криптографических ключей. Опасность мультитенантных облачных систем в том, ошибка в одном клиентском приложении может позволить злоумышленникам получить доступ ко всем виртуальным машинам.

По мнению представителей CSA, решение у данной проблемы есть, но оно подходит далеко не всем. Повышение потенциальной сохранности данных возможно благодаря резервному копированию, но это существенно увеличивает расходы, что делает использование облачных технологий менее целесообразным.

Потеря данных

Не менее тревожной перспективой для компаний, которые пользуются облачными услугами, является потеря собственных данных. Неважно, пропадут данные из-за технического сбоя, рядом с ЦОД окажется эпицентр землетрясения или информацию намеренно удалят злоумышленники – это может весьма плачевно закончиться для любой компании. Кроме того, шифрование данных в такой ситуации может усугубить ситуацию: утратить можно и ключ.

Потеря данных может принести проблемы, связанные не только с недовольными клиентами. В случае внезапной утраты информации компания может иметь серьезные проблемы с властями, налоговыми органами и другими государственными организациями.

Угон трафика

Если злоумышленник получает доступ к учетным данным, ему не обязательно сразу же выдавать себя. Вместо этого он может полностью видеть ваш трафик, подменять информацию на ложную и манипулировать данными по своему усмотрению, перенаправлять клиентов на подконтрольные себе сайты, словом, вести активную подрывную деятельность. Хрестоматийным можно считать пример нападения на Amazon в 2010 году с использованием межсайтового скриптинга (XSS).

Защита от подобной угрозы сводится к защите учетных данных от кражи. Специалисты CSA советуют ни в коем случае не допускать совместного использования учетных данных и по возможности пользоваться двухфакторной аутентификацией.

Небезопасные интерфейсы и API

Частенько IT-администраторы всецело доверяют облачным интерфейсам для управления, настройки и мониторинга сервисов. Такие интерфейсы являются неотъемлемой частью облачных сервисов и предлагаются в качестве скелета. На их базе компании и третьи лица создают собственные решения, используя свои надстройки. Для этого различные облачные провайдеры или платформы выпускают собственные API, которые и используются для создания надстроек. С точки зрения безопасности слоистая структура API представляет наибольший повод для беспокойства. Ведь зачастую доступ приходится предоставлять третьим лицам, выполняющим ту или иную часть работы.

Руководителям организаций и их IT-отделов стоит реально понимать, какие последствия могут быть от перехода на облачные сервисы. Слабо проработанные интерфейсы и API могут оказаться ключом к тому, чтобы злоумышленники завладели вашей личной информацией или неограниченным доступом к вашим ресурсам.

DDoS-атаки

Атаки типа «отказ в обслуживании» на протяжении многих лет остаются головной болью для системных администраторов и хостинг-провайдеров. В эпоху облачных вычислений эта проблема становится особенно острой, так как облачные сервисы зачастую должны работать строго 24/7. Отключения из-за DoS-атак кому-то будут стоить клиентов, а кому-то – и вовсе существования, ведь убытки из-за проблем с работоспособностью могут быть колоссальны. Возможно, злоумышленникам не удастся положить ваш сервис на лопатки, но они могут сделать издержки на его работоспособность такими высокими, что заставят вас закрыть его.

Инсайдеры

Вредоносные инсайдеры всегда очень опасны: у них есть доступ и намерения не чисты. Это могут быть нынешние или бывшие сотрудники, подрядчики или партнеры по бизнесу – чем выше ранг, тем больше вреда они могут нанести. Заведомо неправильный сценарий может принести в облако хаос, от которого волосы встанут дыбом. Особенно просто это сделать, обладая внутренним доступом к администрированию. Представители CSA констатируют тот прискорбный факт, что с инсайдерством бороться практически бесполезно, во всяком случае, на уровне безопасности.

Злоупотребления

Злоупотребление возможностями облаков встречаются достаточно часто. Например, кто-то может воспользоваться вычислительными мощностями для того, чтобы взломать пароль к архиву, который не по зубам домашнему компьютеру. Или хакеры, которые с помощью тех же ресурсов производят DoS-атаку, рассылают спам или вредоносное ПО. Главная задача для облачных провайдеров – определить, какие случаи можно классифицировать как злоупотребления и разработать средства их идентификации.

Недостаточная осмотрительность

Данная проблема часто упоминается как в докладах на тематических конференциях, так и в прессе. Узнав о том, что такое облака и какие преимущества они предоставляют, некоторые руководители организаций или IT-отделов сразу же бросаются внедрять такие решения без оглядки. Стоит тщательно оценивать риски, связанные с внедрением облачных решений применительно к вашей сфере деятельности. Например, при внедрении облачных сервисов могут возникнуть контрактные вопросы с поставщиками, касающиеся ответственности и прозрачности. Также немаловажен фактор недостаточной квалификации работников, у которых могут быть лишь поверхностные знания об облаках. Основная рекомендация для руководства организации – убедиться в том, что для внедрения облачных технологий нет препятствий и достаточно ресурсов.

Общая уязвимость технологии

Облачные сервисы используют вполне обычные аппаратные средства (процессоры, память и др.). Масштабируемость таких систем впечатляет, но если в аппаратное устройство закралась какая-нибудь уязвимость, то она будет свойственна всем сервисам. Более того, один неправильный компонент может стать причиной отказа всей системы. Рекомендуется тщательно тестировать работоспособность системы на каждом этапе.

  • Дата публикации: 11 марта 2013 г. 19:43:41 MSK
  • Поделиться материалом:
  • Опубликовать ссылку на статью в Вконтакте
  • Опубликовать ссылку на публикацию в FaceBook
  • Опубликовать ссылку на публикацию в Twitter
  • Записать в LiveJournal

Комментарии (0)

Нет комментариев


Добавление комментариев доступно только зарегистрированным пользователям. Используйте свою существующую учетную запись для авторизации. Если у Вас еще нет учетной записи на сайте ее можно создать пройдя несложную процедуру регистрации. Кстати, для входа на сайт, наравне с учетной записью на cloudzone.ru, можно использовать аккаунт из следующих популярных сервисов: Яндекс, Facebook, Google и LinkedIn


← Еще из раздела →
«аналитика»