Rambler's Top100
Блоги Андрей ПРОЗОРОВ

Размышления про безопасность облаков. Самый первый вопрос для безопасника

  22 декабря 2017 Страница персоны
Обсуждали на днях с коллегами вопросы использования и контроля облаков, но в итоге свелось опять все к обсуждению проблем их безопасности.
В частности, вспомнили про обновление документа "The Treacherous 12: Cloud Computing Top Threats" от Cloud Security Alliance (CSA). Он интересен системным подходом к описанию типов инцидентов ИБ в "облаках" и наличием примеров. Авторы выделяют 12 проблем с ИБ облаков, по каждой из которой присутствует краткое описание, рассматривается влияние на бизнес, приводятся примеры и даются дополнительные ссылки.
  1. Data Breaches (Утечка данных).
  2. Weak Identity, Credential and Access Management (Проблемы с управлением доступом). 
  3. Insecure APIs (Небезопасные интерфейсы взаимодействия / API)
  4. System and Application Vulnerabilities (Уязвимости систем и приложений)
  5. Account Hijacking (Кража аккаунта)
  6. Malicious Insiders (Злонамеренные инсайдеры)
  7. Advanced Persistent Threats (APTs) 
  8. Data Loss (Потеря данных)
  9. Insufficient Due Diligence (недостаточная "Должная осмотрительность")
  10. Abuse and Nefarious Use of Cloud Services (Злоупотребление и недобросовестное использование)
  11. Denial of Service (Отказ в обслуживании)
  12. Shared Technology Vulnerabilities (Уязвимости, связанные с общим взаимодействием)

На мой взгляд, это не самая удачная классификация (блоки могут пересекаться), но тем не менее она очень показательна.

Потом в разговоре опять вернулись к известному отчету "The 2017 Cloud Security Report" и его статистике:


Да, рисков ИБ для облаков много (но вряд ли больше, чем для внутренней сети, хотя и есть специфика), и безопасникам проще сказать облакам "Нет"... Но уже поздно, бизнес во всю использует облака...



Точно! Уже используют. Значит надо понять риски и угрозы?! (и опять смотрим первую половину заметки).

Нет! Еще рано. Большое количество разнообразных новых угроз (и мыслей о том, как их контролировать и устранять) может привести к так называемому "параличу выбора". С чего начать, что важнее, как лучше? И в итоге мы опять (аналогично мы ведем себя, например, с безопасностью мобильных устройств и Shadow IT) пойдем по стратегии "полуприкрытых глаз" ("не знаем, не думаем об этом") и "лоскутного одеяла" (внедрим отдельные решения, закрывающие лишь малую часть проблемы)...

На мой взгляд, решать проблему безопасности облаков надо вдумчиво и последовательно. А какой у нас обычно первый шаг в ИБ (ну, уже после выявления заинтересованных сторон и их ожиданий)? Правильно, инвентаризация...

Тогда первым вопросом будет не "а знаем ли мы риски и угрозы?", а "знаем ли мы какие облачные сервисы используются и кем конкретно?"... Научимся отвечать на него (быстро и точно), тогда и стоит начинать думать о мерах контроля и защиты. Иначе какой-то бессмысленный и пустой треп получается. Вам так не кажется?

Источник:

Оставить свой комментарий:

Для комментирования необходимо авторизоваться!

Комментарии по материалу

Данный материал еще не комментировался.