Иван Гузев (МегаФон): как выстроить защиту и доверие к облачным сервисам

Облачные сервисы стали важной частью цифрового развития бизнеса в России — от малого и среднего до корпоративного сегмента. Они позволяют ускорять процессы, сокращать расходы и гибко масштабировать инфраструктуру. Вместе с тем растёт внимание к вопросам защиты данных и доверия к облачным провайдерам: от правильной настройки сервисов и контроля доступов до построения полноценного мониторинга и реагирования на инциденты.

Редакция CISOCLUB пообщалась с Иваном Гузевым, руководителем центра развития безопасности облачной инфраструктуры и сервисов МегаФона ПроБизнес, о том, какие угрозы наиболее характерны для облаков, как компании выстраивают защиту конфиденциальной информации, какие ошибки совершают при миграции, как оценить надежность поставщика и какие технологии будут определять безопасность облаков в ближайшие годы.

Какие киберугрозы чаще всего нацелены на облачные сервисы, которыми пользуется малый и средний бизнес?

Для малого и среднего бизнеса киберугрозы в облаке часто связаны не с настройкой самого сервиса и не с продвинутыми и сложными атаками, а с эксплуатацией ошибок, сделанных клиентом в настройке сервиса, ПО, СЗИ и человеческого фактора. Например, неправильная конфигурация межсетевых экранов (если она вообще была сделана), прикладных программ, баз данных без пароля или с очень простыми паролями, фишинговые атаки на сотрудников с целью кражи логинов и паролей к облачным аккаунтам, неверная настройка прав доступа для сотрудников, атаки через партнеров или со стороны интегрированных систем, ошибки самих сотрудников (сотрудник по ошибке удалил данные или сконфигурировал сервис небезопасным образом), шифровальщики: в случае шифрования не только локальных данных, но и файлов в облачных хранилищах, если они синхронизируются с заражённым устройством.

Как оценить надёжность поставщика облачных решений с точки зрения информационной безопасности?

Оценка должна быть комплексной. При выборе поставщика облачных услуг, рекомендуем обратить внимание на следующие аспекты:

• Наличие сертификатов и аттестатов по требованиям безопасности информации (ФЗ-152, ФЗ-187, приказ ФСТЭК России № 17, ГОСТ Р 57580, ISO 27001, ISO 27017, PCI DSS). Это минимальный порог доверия и порой необходимость в части комплаенса.
• Предоставляемые документы, например, для понимания, за что отвечаете вы, а за что — провайдер (модель разделения ответственности), наличие рекомендаций по безопасности.
• Прозрачность провайдера — готовность провайдера провести с вами аудит, показать свою инфраструктуру, заполнить чек-листы.
• Готовность провайдера информировать вас об инцидентах или предоставить вам возможность интеграции с вашими системами мониторинга.
• Возможности безопасности платформы: какие есть встроенные инструменты или дополнительные сервисы в части обеспечения ИБ (например, управление доступом, мониторинг, и защита от DDoS и т. д.).
• Наличие провайдера на рынке: есть ли референсные клиенты со схожим у вас бизнесом.

Какие ошибки компании чаще всего допускают при миграции сервисов и данных в облако?

Хорошей практикой является проведение миграции с участием или силами провайдера. Тогда цена ошибки будет минимальной.

Чаще всего основной ошибкой является отсутствие стратегии и плана — миграция «наугад», без предварительного анализа приложений и данных, их критичности и зависимостей, игнорирование совместимости платформ, недостаточное предварительное тестирование. Также при миграции часто забывают о настройке средств защиты информации (СЗИ) в новом облаке.

Как обеспечить защиту конфиденциальной информации при использовании сторонних IaaS и SaaS-платформ?

Есть несколько способов, дополняющих друг друга:

• Шифрование: использовать сквозное шифрование или шифрование на стороне клиента. При этом для защиты от самого провайдера можно хранить ключи в своём управляемом хранилище. Способ довольно ресурсоёмкий и не всегда может подойти клиенту.
• DLP (Data Loss Prevention): внедрение DLP-решений или использование DLP как сервиса, которые могут контролировать передачу конфиденциальных данных в облачных сервисах и через корпоративные каналы связи.
• Регулярный аудит доступа.
• Использование Security Operation Center (SOC).

Какие меры помогают контролировать доступ сотрудников и подрядчиков к облачным ресурсам?

Подходы к контролю доступа как в собственных системах, так и у провайдера облачных услуг довольно идентичны, за исключением того, что в случае с облаками есть зона ответственности (ЗО) провайдера, где он предоставляет необходимые средства.

Хорошей практикой считается использование многофакторной аутентификации, единой точки входа и IDM-решений с возможностью интеграции с корпоративной системой каталогов, что позволяет централизованно управлять учетными записями и правами, а также применение систем управления привилегированным доступом (PAM), сегментации сети и ресурсов.

Как бизнесу выстроить мониторинг и реагирование на инциденты в гибридной инфраструктуре?

Оптимальным решением будет использование SIEM-систем, а ещё лучше — полноценных SOC (причем можно воспользоваться сервисом провайдера), которые могут агрегировать логи как из локальной инфраструктуры, так и из облаков. При этом данный вариант будет иметь хорошую отдачу при наличии у клиента процедур по реагированию. В дополнение, проведение регулярных тренировок по выявлению инцидентов существенно улучшает качество мониторинга и реагирования.

Насколько востребованы сейчас услуги по проверке облачных решений на уязвимости и стоит ли их заказывать регулярно?

Во-первых, возвращаясь к вопросу о надёжности поставщика, важно обратить внимание на то, чтобы провайдер разрешал это делать и не боялся. Во-вторых, рекомендуется делать это регулярно, естественно, предупредив об этом провайдера. В ряде случаев это является требованием регуляторных документов и стандартов.

Как меняются требования к шифрованию данных в облаках в свете новых регуляторных норм?

Появляются тенденции к тому, что регуляторы в ряде случаев хотят обязать шифровать данные в облаке. Пока мы не видим особых изменений, но можно отследить определённые направления, например, всё чаще говорят о том, чтобы клиент хранил ключи шифрования у себя или даже на своей территории, полностью исключая доступ провайдера. Также очень часто говорят о квантовом шифровании.

Как оценить окупаемость инвестиций в безопасность при переходе на цифровые сервисы?

Оценить окупаемость инвестиций в безопасность довольно сложно. Помимо очевидных метрик в виде стоимости решения, инфраструктуры под эти решения и квалифицированного персонала, нужно учитывать неочевидные метрики — снижение количества и серьёзности инцидентов, соответствие требованиям регуляторов, сохранение деловой репутации и доверия клиентов и т. д., что в итоге превращается в непростую задачу.

Какие технологии защиты облачной инфраструктуры вы считаете наиболее перспективными на ближайшие годы?

На наш взгляд, технологии глобально меняться не будут, просто перспективы ближайших лет — это интеграция ИИ в процессы обеспечения безопасности. Например, использование искусственного интеллекта для анализа поведения пользователей и систем, чтобы выявлять отклонения, которые не ловят сигнатурные методы, или, как ещё один пример, встраивание ИИ в существующие инструменты безопасности (например, в SOC) для более качественного мониторинга и реагирования.