Расследование инцидентов в облаке: как улучшить и на что обратить внимание
Изображение: recraft
Утечки данных из облачных сервисов приводят к убыткам в 4,44 млн. долларов. Причиной чаще всего становится человеческий фактор. Поэтому важная задача ИБ-отделов — организовать адекватное расследование инцидентов в облачных хранилищах. Максим Чеплиев, менеджер продукта Staffcop, эксперт Контур.Эгиды рассказывает, как расследовать такие инциденты.
Чем опасны инциденты в облаке
Облачные хранилища чаще всего используют для хранения данных, необходимых в работе компании, в том числе, персональных данных и информации, содержащей коммерческую тайну.
Эти данные уязвимы из-за:
— ошибок конфигураций;
— фишинга и атак на учетные записи с компрометацией учетных данных через утечки или подбор пароля;
— DDoS-атак, приводящие к перегрузке облачных сервисов с целью их отключения;
— незащищенных API с уязвимостями в интерфейсах взаимодействия облачных сервисов;
— внутренних угроз, связанных со злоупотреблениями правами доступа внутри организации, отсутствие необходимых ИБ-политик.
Как обезопасить данные при использовании облачных хранилищ
Использовать корпоративные хранилища
Невозможно полностью запретить сотрудникам хранить данные в облаке — из-за этого могут остановиться транзакции, затруднится сотрудничество с подрядчиками. Но реально использовать корпоративные хранилища. Они меньше подвержены атакам, в том числе потому что не доступны извне, как публичные хранилища, и из безопасность проще контролировать внутри организации.
Проверять безопасность публичных облачных хранилищ
Во-первых, облачное хранилище должно быть защищено от утечек, DDOs-атак и других киберугроз с помощью cloudflare и cdn-сервисов, специализированных решений для защиты от DDos, WAF-решений.
Во-вторых, следует уточнить, как техническая поддержка облачного хранилища реагирует на инциденты и как оно проводит их расследования, как о них отчитывается клиентам.
Регламентировать, какую информацию можно хранить хранилищах различного типа
Во-первых, нужно задать вопрос — для чего наша компания использует облачные сервисы. Это поможет регламентировать действия с хранилищами — например, запретить хранение в облаке данных, относящихся к коммерческой тайне, или персональных данных клиентов.
Также важно понять, нужен ли постоянный оперативный доступ к информации — если нет, ее можно хранить на внутреннем сервере с ограниченными правами доступа.
Повышать осведомленность сотрудников об опасностях утечек данных
Важно рассказывать о возможных опасностях хранения данных в облаках, объяснять, какие данные можно загружать в них, а какие — нет.
Регламентировать безопасную работу с хранилищем данных, права доступа к данным
Самое важное для безопасной работы с данными хранилище — это ролевая модель доступа. Важно прописывать, кто может хранить и передавать данные через «облако», какие это могут быть данные.
Также важно учитывать, является ли безопасная работа облачных хранилищ приоритетом для ИБ-службы. Это должно быть отражено в модели угроз компании и политике ИБ. Из этого будет следовать, насколько оперативно служба реагирует на инциденты в «облаке» и сколько ресурсов выделяет на эти виды работ.
Какие инструменты помогают расследовать инциденты в облаке
CASВ-решения. CASB — это брокеры безопасного облачного доступа, которые помогают соблюдать правила и политики безопасности. В их арсенале есть логирование действий пользователей, контроль за поведением пользователей, распознавание вредоносных программ. Также с помощью CASB можно настраивать права доступа — например, открыть или закрыть возможность редактирования или удаления данных на облаке, или запретить вход с тех или иных устройств.
DLP-решения
DLP-решение помогает обнаружить и зафиксировать передачу тех или иных данных в облачное хранилище. Например, отследить, что сотрудник отправляет туда сведения, составляющие коммерческую тайну. Дальше сотрудник ИБ собирает данные из CASB о том, что происходит с этой информацией в облачном хранилище и собирает полную картину о движении файла с рабочей станции через «облако» к конечным получателям.
Кроме этого DLP-решения помогают контролировать действия администраторов. Как привилегированные пользователи они могут оказаться злоумышленниками, изменить ролевую модель доступа. Агенты на рабочих станциях позволяют контролировать действия администраторов еще до того, как они получат или используют доступ к облачному хранилищу.
Также DLP-системы помогают создавать dump-ы (снимки экрана) на рабочих станциях, чтобы дополнить логи об инциденте подтверждением на уровне записи действия.
MFA-решения.
С помощью сервисов мультифакторной аутентификации можно отслеживать пользователей, входящих на «облачное» хранилище: с каких устройств и каких IP заходят. Это также дает дополнительную информацию при расследовании инцидентов и дает возможность настроить политики доступа так, чтобы исключить входы с тех или иных устройств.
Важно помнить, что в рамках расследования важно отслеживать и логировать действия пользователей, но основные функции решений это защита. DLP защищает от загрузки данные в сеть, MFA — от внешнего доступа к учетным записям, CASB — от доступа к данным на облаке.
UEBA-решения.
Сервисы поведенческой аналитики строят «базовые» профили поведения пользователей, фиксируют отклонения от «нормы» и оповещают об этом администраторов системы. Например, пользователь всегда заходит с одного устройства и адреса, а неожиданно хочет залогиниться по-другому. Это сигнал для анализа действий и последующей работы с пользователем.
SIEM-системы.
SIEM могут выступать агрегаторами логов из CASB, DLP, UEBA и оповещать ИБ-специалиста, что позволяет реагировать на инциденты более точно за счет корреляции данных из нескольких систем. Например связывать факты подключения сотрудников из других городов с аномальными действиями с файлами на облаке. Массовые выгрузки данных с облака от сотрудников без использования VPN.
DCAP-решения
Позволяют контролировать, какая информация хранится на сервере, выявлять избыточные права доступа и оповещать об этом администраторов системы.
Например, обнаружить клиентские данные, которые запрещено контролировать в публичном «облаке» по политике безопасности компании.
Заключение
Если посмотреть на все это со стороны, то облако несмотря на все удобства которые оно предлагает бизнес процессам организации — это инструмент, который требует комплексной защиты и управления. Однако эта защита так же возможна, так как рынок предлагает нам множество решений, который позволяют снизить риски использования облака, особенно если использовать экосистему решений с грамотно настроенной интеграцией. Но даже в этом случае системой нужно управлять, актуализировать политики, анализировать и выявлять аномалии, для того чтобы такая защита работала эффективно.
