Размышления про безопасность облаков. Самый первый вопрос для безопасника
|
22 декабря 2017 |
|
Обсуждали на днях с коллегами вопросы использования и контроля облаков,
но в итоге свелось опять все к обсуждению проблем их безопасности.
В частности, вспомнили про обновление документа "
The Treacherous 12: Cloud Computing Top Threats"
от Cloud Security Alliance (CSA). Он интересен системным подходом к
описанию типов инцидентов ИБ в "облаках" и наличием примеров. Авторы
выделяют 12 проблем с ИБ облаков, по каждой из которой присутствует
краткое описание, рассматривается влияние на бизнес, приводятся примеры и
даются дополнительные ссылки.
- Data Breaches (Утечка данных).
- Weak Identity, Credential and Access Management (Проблемы с управлением доступом).
- Insecure APIs (Небезопасные интерфейсы взаимодействия / API)
- System and Application Vulnerabilities (Уязвимости систем и приложений)
- Account Hijacking (Кража аккаунта)
- Malicious Insiders (Злонамеренные инсайдеры)
- Advanced Persistent Threats (APTs)
- Data Loss (Потеря данных)
- Insufficient Due Diligence (недостаточная "Должная осмотрительность")
- Abuse and Nefarious Use of Cloud Services (Злоупотребление и недобросовестное использование)
- Denial of Service (Отказ в обслуживании)
- Shared Technology Vulnerabilities (Уязвимости, связанные с общим взаимодействием)
На мой взгляд, это не самая удачная классификация (блоки могут пересекаться), но тем не менее она очень показательна.
Потом в разговоре опять вернулись к известному отчету "The 2017 Cloud Security Report" и его статистике:
Да, рисков ИБ для облаков много (но вряд ли больше, чем для внутренней
сети, хотя и есть специфика), и безопасникам проще сказать облакам
"Нет"... Но уже поздно, бизнес во всю использует облака...
Точно! Уже используют. Значит надо понять риски и угрозы?! (и опять смотрим первую половину заметки).
Нет! Еще рано. Большое количество разнообразных новых угроз (и мыслей о
том, как их контролировать и устранять) может привести к так называемому
"параличу выбора". С чего начать, что важнее, как лучше? И в итоге мы
опять (аналогично мы ведем себя, например, с безопасностью мобильных
устройств и Shadow IT) пойдем по стратегии "полуприкрытых глаз" ("не
знаем, не думаем об этом") и "лоскутного одеяла" (внедрим отдельные
решения, закрывающие лишь малую часть проблемы)...
На мой взгляд, решать проблему безопасности облаков надо вдумчиво и
последовательно. А какой у нас обычно первый шаг в ИБ (ну, уже после
выявления заинтересованных сторон и их ожиданий)? Правильно,
инвентаризация...
Тогда первым вопросом будет не "а знаем ли мы риски и угрозы?", а "знаем ли мы какие облачные сервисы используются и кем конкретно?"...
Научимся отвечать на него (быстро и точно), тогда и стоит начинать
думать о мерах контроля и защиты. Иначе какой-то бессмысленный и пустой
треп получается. Вам так не кажется?
Источник:
Оставить свой комментарий:
Комментарии по материалу
Данный материал еще не комментировался.