Как защитить облако от вредоносного ПО

VGATE: КАК ЗАЩИТИТЬ ЧАСТНОЕ ОБЛАКО ОТ РИСКОВ?

За последние годы в концепции построения ИТ-инфраструктуры произошли значительные изменения. Одно из них – это повсеместное внедрение средств виртуализации. Благодаря такому подходу организация получает возможность экономии средств за счет отказа от дорогостоящего оборудования, а также гибкость и отказоустойчивость. Но использование средств виртуализации – это еще и дополнительные риски информационной безопасности.

КЛЮЧЕВАЯ ТОЧКА

Среда виртуализации – это ключевая точка в частном облаке. Значительная часть организаций, независимо от их размера и масштабов бизнеса, виртуализовала свою серверную инфраструктуру более чем на 50%. В этом случае вся инфраструктура получает дополнительный уровень абстракции – кластер гипервизоров, который объединяет ресурсы нескольких физических серверов и выдает из получившегося пула ресурсы для виртуальных машин. Он позволяет значительно повысить гибкость и скорость изменений в инфраструктуре.

Однако такой подход создает несколько проблем:

Гипервизор находится в «слепой зоне» традиционных средств защиты, они работают либо на уровне виртуальной машины, либо на уровне сети. Даже если решение позиционируется как средство защиты облаков, оно обеспечивает защиту только внутри виртуальных машин и поможет, если виртуальную машину атакуют через сеть. Если же злоумышленник украдет учетные данные администратора и атакует виртуальную машину «снизу», со стороны гипервизора, или скопирует файл с виртуальной машиной, он уйдет незамеченным.
Традиционные межсетевые экраны плохо приспособлены к защите виртуализованных сетей: они меняются намного чаще физических, постоянно требуется корректировать существующие правила фильтрации. Помимо прочего, они предполагают, что физическое устройство заменяется на виртуальное. Этот подход не обеспечивает необходимой производительности, уязвим перед вредоносными действиями администратора виртуальной среды и создает высокую нагрузку на администратора.
Если система, развернутая в виртуальной среде, подпадает под требования законодательства в области защиты информации, то организация должна нанять специалиста по безопасности именно виртуальной среды для проведения регулярных аудитов безопасности, что не всегда возможно в условиях кадрового дефицита. Нарушение требований в области безопасности чревато взысканиями со стороны регуляторов.

БОЙСЯ АДМИНИСТРАТОРА!

По данным исследования «Защита виртуальной инфраструктуры», проведенного компанией «Код безопасности», две трети компаний опасаются ущерба, нанесенного действиями администратора виртуальной среды, причем как умышленными, так и неумышленными.

Для решения перечисленных проблем организации часто разделяют виртуальные машины с разным уровнем критичности на несколько независимых гипервизоров. Это повышает уровень безопасности: в случае компрометации одного сегмента остальные не подвергаются угрозе. Однако это снижает эффект от виртуализации инфраструктуры в целом.

Если заказчик консолидирует в рамках одной среды виртуальные машины с разным уровнем критичности, то необходимо обеспечить дополнительные меры безопасности. Среди ключевых факторов обеспечения безопасности виртуальной среды участники исследования «Кода безопасности» назвали разграничение доступа внутри виртуальной инфраструктуры, защиту данных виртуальных машин, мониторинг событий безопасности и антивирусную защиту.

ТРИ ВОЛШЕБНЫХ АПЕЛЬСИНА

Для эффективной защиты виртуальной инфраструктуры необходимо выполнить следующие действия:

Реализовать сегментацию виртуализованной сети, что позволит защитить ее части от воздействия друг на друга. При этом политика безопасности виртуального межсетевого экрана должна автоматически подстраиваться под добавление новых виртуальных машин, только в этом случае подсистема безопасности не будет сдерживать скорость изменений в гибкой и быстро меняющейся среде. Также политика фильтрации должна применяться даже в случае миграции виртуальной машины на соседний физический сервер.
Контролировать активность администраторов виртуальной сети, причем журнал аудита их действий должен храниться не в самой виртуальной инфраструктуре, а отдельно. Доступ должен предоставляться по принципу минимально необходимых привилегий. Попытки несанкционированного обхода должны фиксироваться, а журнал этих попыток должен храниться отдельно от остальных журналов.
В автоматическом режиме настраивать и контролировать выполнение требований законодательства и лучших практик в области защиты среды виртуализации. Причем заказчик должен иметь возможность изменять шаблоны настроек с учетом специфики своей инфраструктуры.

ПО СОВЕТУ GARTNER

Аналитики Gartner выделяют все средства защиты среды виртуализации и облаков в класс продуктов Cloud Workload Protection Platform – средства защиты облачных серверов. В рамках этого класса продукты делятся на два типа:

Защита «Data plane». Это средства для защиты собственно виртуальных машин. Традиционные антивирусы, решения класса Application Whitelisting и т.д.
Защита «Control Plane». Это средства защиты гипервизора, контроля доступа администратора, контроля настроек сети и хранилища данных. Средства этого класса аналитики Gartner называют Cloud Security Posture Management (CSPM).

В своем отчете Market Guide for Cloud Workload Protection Platform Gartner отмечает, что считает обязательным использование продуктов класса CSPM для масштабных внедрений.

Разработанный компанией «Код безопасности» продукт vGate – это первое в России решение класса Cloud Security Posture Management (CSPM).

КОМПЛЕКСНАЯ ЗАЩИТА

Внедрение vGate позволит надежно разграничить виртуальные машины с разным уровнем критичности, снизить риски потери данных в результате случайных или намеренных действий администратора и сэкономить время администратора при аудите виртуальной инфраструктуры на соответствие требованиям безопасности.

vGate необходим для комплексной защиты среды виртуализации на базе VMware vSphere и MS Hyper-V. Комплексная защита включает в себя три направления (Рисунок 1):

защита виртуализованной сети;
контроль доступа администраторов к конфиденциальным данным на виртуальной машине;
автоматическая настройка и контроль соответствия виртуальной среды требованиям в области ИБ.

ПОЗНАКОМИМСЯ ПОБЛИЖЕ

vGate состоит из нескольких компонентов:

• Сервер авторизации, расположенный между администратором виртуальной среды и системой управления. Он необходим для независимого аудита действий администратора, а также для запрета несанкционированных действий.
• Агент на рабочем месте администратора виртуальной среды, который обеспечивает дополнительный уровень аутентификации администратора.
• Агент в системе управления VMware vCenter или MS System Center Virtual Machine Manager, который контролирует корректность операций в виртуальной инфраструктуре.
• Агент для хоста гипервизора, который контролирует настройки непосредственно гипервизора. Сюда же входит модуль межсетевого экрана виртуальных машин, он перехватывает весь сетевой трафик до того, как тот попадет в виртуальный свитч, а также проверяет, разрешено ли движение этого трафика.
• Агент на рабочем месте администратора безопасности. Он необходим для централизованного управления vGate и настройки системы защиты.
• Сервер мониторинга для сбора и корреляции событий виртуальной среды.

Важным преимуществом vGate является то, что для решения своих задач продукт не требует развертывания агентов на каждой виртуальной машине.

Внедрение vGate позволяет повысить уровень защищенности виртуальной инфраструктуры, застраховаться от ошибок или вредоносных действий администраторов, а также обеспечить эффективную защиту виртуализованных сетей.

Угрозы облачных вычислений и методы их защиты

Центр обработки данных (ЦОД) представляет собой совокупность серверов, размещенных на одной площадке с целью повышения эффективности и защищенности. Защита центров обработки данных представляет собой сетевую и физическую защиту, а также отказоустойчивость и надежное электропитание. В настоящее время на рынке представлен широкий спектр решений для защиты серверов и ЦОД от различных угроз. Их объединяет ориентированность на узкий спектр решаемых задач. Однако спектр этих задач подвергся некоторому расширению вследствии постепенного вытеснения классических аппаратных систем виртуальными платформами. К известным типам угроз (сетевые атаки, уязвимости в приложениях операционных систем, вредоносное программное обеспечение) добавились сложности, связанные с контролем среды (гипервизора), трафика между гостевыми машинами и разграничением прав доступа. Расширились внутренние вопросы и политики защиты ЦОД, требования внешних регуляторов. Работа современных ЦОД в ряде отраслей требует закрытия технических вопросов, а также вопросов связанных с их безопасностью. Финансовые институты (банки, процессинговые центры) подчинены ряду стандартов, выполнение которых заложено на уровне технических решений. Проникновение платформ виртуализации достигло того уровня, когда практически все компании, использующие эти системы, весьма серьезно занялись вопросами усиления безопасности в них. Отметим, что буквально год назад интерес был скорее теоретический.
В современных условиях становится все сложнее обеспечить защиту критически важных для бизнеса систем и приложений.
Появление виртуализации стало актуальной причиной масштабной миграции большинства систем на ВМ, однако решение задач обеспечения безопасности, связанных с эксплуатацией приложений в новой среде, требует особого подхода. Многие типы угроз достаточно изучены и для них разработаны средства защиты, однако их еще нужно адаптировать для использования в облаке.

Cуществующие угрозы облачных вычислений

Контроль и управление облаками — является проблемой безопасности. Гарантий, что все ресурсы облака посчитаны и в нем нет неконтролируемых виртуальных машин, не запущено лишних процессов и не нарушена взаимная конфигурация элементов облака нет. Это высокоуровневый тип угроз, т.к. он связан с управляемостью облаком, как единой информационной системой и для него общую защиту нужно строить индивидуально. Для этого необходимо использовать модель управления рисками для облачных инфраструктур.

В основе обеспечения физической безопасности лежит строгий контроль физического доступа к серверам и сетевой инфраструктуре. В отличии от физической безопасности, сетевая безопасность в первую очередь представляет собой построение надежной модели угроз, включающей в себя защиту от вторжений и межсетевой экран. Использование межсетевого экрана подразумевает работу фильтра, с целью разграничить внутренние сети ЦОД на подсети с разным уровнем доверия. Это могут быть отдельно серверы, доступные из Интернета или серверы из внутренних сетей.
В облачных вычислениях важнейшую роль платформы выполняет технология виртуализации. Для сохранения целостности данных и обеспечения защиты рассмотрим основные известные угрозы для облачных вычислений.

1. Трудности при перемещении обычных серверов в вычислительное облако

Требования к безопасности облачных вычислений не отличаются от требований безопасности к центрам обработки данных. Однако, виртуализация ЦОД и переход к облачным средам приводят к появлению новых угроз.
Доступ через Интернет к управлению вычислительной мощностью один из ключевых характеристик облачных вычислений. В большинстве традиционных ЦОД доступ инженеров к серверам контролируется на физическом уровне, в облачных средах они работают через Интернет. Разграничение контроля доступа и обеспечение прозрачности изменений на системном уровне является одним из главных критериев защиты.

2. Динамичность виртуальных машин

Виртуальные машины динамичны. Создать новую машину, остановить ее работу, запустить заново можно сделать за короткое время. Они клонируются и могут быть перемещены между физическими серверами. Данная изменчивость трудно влияет на разработку целостности системы безопасности. Однако, уязвимости операционой системы или приложений в виртуальной среде распространяются бесконтрольно и часто проявляются после произвольного промежутка времени (например, при восстановлении из резервной копии). В средах облачных вычислениях важно надежно зафиксировать состояние защиты системы, при этом это не должно зависить от ее состояния и местоположения.

3. Уязвимости внутри виртуальной среды

Серверы облачных вычислений и локальные серверы используют одни и те же операционные системы и приложения. Для облачных систем угроза удаленного взлома или заражения вредоносным ПО высока. Риск для виртуальных систем также высок. Параллельные виртуальные машины увеличивает «атакуемую поверхность». Система обнаружения и предотвращения вторжений должна быть способна обнаруживать вредоносную активность на уровне виртуальных машин, вне зависимости от их расположения в облачной среде.

4. Защита бездействующих виртуальных машин

Когда виртуальная машина выключена, она подвергается опасности заражения. Доступа к хранилищу образов виртуальных машин через сеть достаточно. На выключенной виртуальной машине абсолютно невозможно запустить защитное программное обеспечение. В данном случаи дожна быть реализована защита не только внутри каждой виртуальной машины, но и на уровне гипервизора.

5. Защита периметра и разграничение сети

При использовании облачных вычислений периметр сети размывается или исчезает. Это приводит к тому, что защита менее защищенной части сети определяет общий уровень защищенности. Для разграничения сегментов с разными уровнями доверия в облаке виртуальные машины должны сами обеспечивать себя защитой, перемещая сетевой периметр к самой виртуальной машине (Рис 1.). Корпоративный firewall — основной компонент для внедрения политики IT безопасности и разграничения сегментов сети, не в состоянии повлиять на серверы, размещенные в облачных средах.

Рис. 1. Схема работы механизма разграничения доступа

Атаки на облака и решения по их устранению

1. Традиционные атаки на ПО

Уязвимости операционных систем, модульных компонентов, сетевых протоколов и др — традиционные угрозы, для защиты от которых достаточно установить межстевой экран, firewall, антивирус, IPS и другие компоненты, решающие данную проблему. При этом важно, чтобы данные средства защиты эффективно работали в условиях виртуализации.

2. Функциональные атаки на элементы облака

Этот тип атак связан с многослойностью облака, общим принципом безопасности. В статье об опасности облаков было предложено следующее решение: Для защиты от функциональных атак для каждой части облака необходимо использовать следующие средства защиты: для прокси – эффективную защиту от DoS-атак, для веб-сервера — контроль целостности страниц, для сервера приложений — экран уровня приложений, для СУБД — защиту от SQL-инъекций, для системы хранения данных – правильные бэкапы (резервное копирование), разграничение доступа. В отдельности каждые из этих защитных механизмов уже созданы, но они не собраны вместе для комплексной защиты облака, поэтому задачу по интеграции их в единую систему нужно решать во время создания облака.

3. Атаки на клиента

Большинство пользователей подключаются к облаку, используя браузер. Здесь рассматриваются такие атаки, как Cross Site Scripting, «угон» паролей, перехваты веб-сессий, «человек посредине» и многие другие. Единственная защита от данного вида атак является правильная аутентификация и использование шифрованного соединения (SSL) с взаимной аутентификацией. Однако, данные средства защиты не очень удобны и очень расточительны для создателей облаков. В этой отрасли информационной безопасности есть еще множество нерешенных задач.

4. Атаки на гипервизор

Гипервизор является одним из ключевых элементов виртуальной системы. Основной его функцией является разделение ресурсов между виртуальными машинами. Атака на гипервизор может привести к тому, что одна виртуальная машина сможет получить доступ к памяти и ресурсам другой. Также она сможет перехватывать сетевой трафик, отбирать физические ресурсы и даже вытеснить виртуальную машину с сервера. В качестве стандартных методов защиты рекомендуется применять специализированные продукты для виртуальных сред, интеграцию хост-серверов со службой каталога Active Directory, использование политик сложности и устаревания паролей, а также стандартизацию процедур доступа к управляющим средствам хост-сервера, применять встроенный брандмауэр хоста виртуализации. Также возможно отключение таких часто неиспользуемых служб как, например, веб-доступ к серверу виртуализации.

5. Атаки на системы управления

Большое количество виртуальных машин, используемых в облаках требует наличие систем управления, способных надежно контролировать создание, перенос и утилизацию виртуальных машин. Вмешательство в систему управления может привести к появлению виртуальных машин — невидимок, способных блокировать одни виртуальные машины и подставлять другие.

Решения по защите от угроз безопасности от компании Cloud Security Alliance (CSA)

Наиболее эффективные способы защиты в области безопасности облаков опубликовала организация Cloud Security Alliance (CSA). Проанализировав опубликованную компанией информацию, были предложены следующие решения.

1. Сохранность данных. Шифрование

Шифрование – один из самых эффективных способов защиты данных. Провайдер, предоставляющий доступ к данным должен шифровать информацию клиента, хранящуюся в ЦОД, а также в случаи отсутствия необходимости, безвозвратно удалять.

2. Защита данных при передаче

Зашифрованные данные при передаче должны быть доступны только после аутентификации. Данные не получится прочитать или сделать изменения, даже в случаи доступа через ненадежные узлы. Такие технологии достаточно известны, алгоритмы и надежные протоколы AES, TLS, IPsec давно используются провайдерами.

3. Аутентификация

Аутентификации — защита паролем. Для обеспечения более высокой надежности, часто прибегают к таким средствам, как токены и сертификаты. Для прозрачного взаимодействия провайдера с системой индетификациии при авторизации, также рекомендуется использовать LDAP (Lightweight Directory Access Protocol) и SAML (Security Assertion Markup Language).

4. Изоляция пользователей

Использование индивидуальной виртуальной машины и виртуальную сеть. Виртуальные сети должны быть развернуты с применением таких технологий, как VPN (Virtual Private Network), VLAN (Virtual Local Area Network) и VPLS (Virtual Private LAN Service). Часто провайдеры изолируют данные пользователей друг от друга за счет изменения данных кода в единой программной среде. Данный подход имеет риски, связанные с опасностью найти дыру в нестандартном коде, позволяющему получить доступ к данным. В случаи возможной ошибки в коде пользователь может получить данные другого. В последнее время такие инциденты часто имели место.

Как защитить компанию от киберугроз: облака, резервные копии и разграничение доступа к данным

Согласно исследованию, проведенному «Лабораторией Касперского» и B2B International, 82% компаний испытали на себе действие внутренних угроз. Большинство инцидентов кибербезопасности происходит по вине сотрудников. Ошибка отдельного работника может нанести непоправимый ущерб компании, а сам виновник инцидента — лишиться работы. Но от ошибок не застрахован даже самый опытный специалист — от рядового секретаря до топ-менеджера. Руководитель платформы «Mail.Ru для бизнеса» Иван Бойцов подготовил инструкцию для корпоративных сотрудников о том, как избежать популярных среди мошенников ловушек, и объяснил, почему резервные копии и облачные ресурсы до сих пор остаются стандартами ведения бизнеса.

Читайте «Хайтек» в

Опасные письма

Даже от коллеги, друга или родственника приходят письма со ссылками на сомнительные сайты или подозрительные сообщения в Skype. А некоторое время назад почтовые ящики были в буквальном смысле атакованы «завещаниями» африканских принцев, мечтавших оставить свои богатства первому встречному.

Конечно, переходить по таким ссылкам и скачивать вложения не стоит. Вредоносное ПО моментально проникает на компьютер и дальше действует уже без вашего ведома. Например, рассылает вирусное сообщение всем вашим контактам.

Самые распространенные ошибки в IT-безопасности:

• Переход по ссылкам, открытие и скачивание вложений из подозрительных писем.

• Установка простых и «универсальных» паролей.

• Передача файлов на флешках и жестких дисках.

• Отсутствие резервных копий.

• Открытый доступ к данным.

• Незащищенные мобильные устройства.

• Хранение конфиденциальных данных в облаках с открытым доступом.

Когда целью становится организация, мошенники часто прибегают к более изящному виду фишинга — они пишут письма, маскируясь под подрядчиков. Темы таких писем могут содержать привычные и не вызывающие никаких подозрений формулировки.

Бухгалтер, получивший письмо с темой «Счет-фактура за услуги в сентябре», скорее всего, потеряет бдительность из-за потока рутинных задач, откроет вложение и скачает вирус. Дальше вредоносная программа проникает в сеть и парализует работу целой компании.

Простые пароли

Чем надежнее пароль, тем безопаснее хранение данных в сети и на устройствах. И хотя большинство пользователей знает основы создания паролей, в повседневной жизни часто забывает о них, предпочитая надежному паролю простой и легко запоминающийся. Так, по данным ежегодного опроса Splashdata, 10% пользователей все еще используют небезопасные пароли, вошедшие в список худших в этом году.

Какие пароли являются небезопасными:

Словарное слово. Пароль, представляющий собой обычное слово из словаря, легко взламывается программами с помощью простого перебора слов.

Популярные комбинации. Использование простых словосочетаний, например, «Пароль123» или «qwerty». Такие пароли не только легко запомнить, но и несложно взломать — злоумышленники проверяют их в первую очередь.

Личные данные. Иногда в качестве пароля используется собственный адрес электронной почты или другая легко доступная информация. Многие выбирают один из шаблонных вопросов для восстановления пароля, например, «Девичья фамилия матери». Злоумышленники могут легко найти ответ на такой вопрос и установить собственный пароль.

Проверьте себя: если пароль представляет собой распространенное слово с одной-двумя цифрами в конце или начале, если вы используете распространенные фразы и словосочетания в пароле, например, «iloveyou», — это повод задуматься.

Использование одинаковых паролей. Даже надежный пароль может стать причиной серьезных проблем, если он используется в разных сервисах. Никогда не используйте один и тот же пароль для доступа к разным ресурсам. Чтобы не забывать и не записывать их, используйте специальное ПО — менеджеры паролей.

Еще один эффективный способ обезопасить себя от взлома — использование двухфакторной аутентификации. Подключите номер мобильного телефона для входа в рабочие системы, например, в почту. Каждый раз, когда вы (или кто-то другой) попытаетесь войти в почту, на телефон придет SMS с кодом подтверждения, который будет необходимо ввести при логине. Возможно, это не так удобно, но зато вы будете уверены в безопасности ваших данных.

Работа с USB-флешками

Развитие облачных сервисов постепенно вытесняет физические носители информации. Но USB-флешки все еще остаются популярным устройством для передачи документов, фото и других данных. Но вместе с полезной информацией так же быстро передаются и вирусы.

При подключении съемного носителя операционная система может сразу же открыть файл автозапуска. В этот момент происходит заражение компьютера, вирус копирует себя в системные папки и начинает выполнять вредоносные действия. Считается, что каждый третий компьютер заражен вирусами. Подключение флешки после других пользователей увеличивает шансы на заражение сразу в несколько раз.

Облачные хранилища позволяют в любой момент открывать файлы, делиться ими с коллегами или делать доступ к данным приватным (только по приглашению или в рамках вашей организации). Например, в облаке Teambox можно хранить неограниченное количество файлов, настроить совместный доступ для коллег и подрядчиков. Файлы будут доступны с любого устройства и в любое время — это быстрее, надежнее и удобнее, чем передавать флешку.

Резервные копии

Любой сотрудник может потерять бдительность. А киберпреступники с каждым годом находят все более изобретательные способы поставить компанию в неудобное положение.

Если в компании есть системный администратор, спросите его о том, какие меры для восстановления информации принимаются сейчас, и обратите его внимание на особо важные для вас данные.

Иван Бойцов

Обезопасить отдельные компьютеры и важные данные от потери помогут резервные копии — бэкапы. Они позволяют восстановить работу с того места, где она прекратилась, или хотя бы минимизировать потери — все зависит от их регулярности. Для бэкапов можно использовать специальные программы или облачное хранилище.

Открытый доступ к данным

Небольшие компании часто не уделяют достаточного внимания разграничению прав доступа. На старте развития бизнеса это, безусловно, вторая семья, где все друг другу доверяют. Но даже в таких условиях важно распределить права доступа. Например, стажеру в отделе маркетинга, который устроился к вам на лето, совершенно не обязательно знать всю финансовую отчетность организации. Пользователям корпоративной почты не стоит давать доступ ко всем настройкам системы, лучше, если их будет менять только один ответственный администратор. Отдельные директории облачного хранилища могут содержать конфиденциальную информацию, предназначенную только для топ-менеджеров компании.

Что делать? Создайте отдельные директории для финансистов, маркетологов, отдела продаж и так далее. Таким образом, доступ к важной информации будет только у компетентных сотрудников.

Мобильные приложения для работы

Бизнес становится мобильным. Большинство сотрудников крупных компаний подключены к корпоративной среде с мобильных устройств. Безусловно, это позволяет быстрее реагировать на важные изменения рынка и эффективнее вести бизнес-коммуникации. Но вместе с тем существует и ряд рисков, присущих мобильным девайсам, а именно распространение вирусных программ, кибератаки, утечка корпоративных данных с личных девайсов сотрудников и, наконец, утрата или кража устройства.

Как сохранить данные в безопасности?

• Установите антивирусную программу для защиты от вредоносных приложений и фишинговых атак. В 2017 году «Лаборатория Касперского» обнаружила более 5,5 млн вредоносных мобильных установочных пакетов.

• Подключите двухфакторную аутентификацию для дополнительной защиты пароля в случае потери или кражи устройства.

• Используйте MDM- и MAM-решения для контроля установок приложений, сетевых соединений, шифрования данных, управления звонками и SMS.

Облачные хранилища

История, когда Яндекс проиндексировал все открытые Google Документы и начал включать их в поисковую выдачу, наделала много шума не только ИТ-среде, но и среди обывателей.

Облачный сервис Google удобен тем, что несколько человек могут работать над одним документом и сразу видеть, кто что пишет. Некоторые компании решились хранить базы клиентов, пароли и справочную информацию в документах, доступ к которым предоставлялся по ссылкам. Это проще, чем выдавать права доступа каждому новому сотруднику. И все было хорошо, пока Яндекс не научился находить такие документы. В тот вечер, когда новая возможность поисковика была обнаружена, люди искали пароли, базы данных, планы и стратегию разных организаций.

Вывод: не стоит пренебрегать публичным доступом по ссылке к конфиденциальным данным. Даже если и не будет очередной ошибки с индексацией, всегда есть вероятность, что документ утечет вовне и доступ будут иметь уже совсем незнакомые люди.

Как защитить данные в облаке

Вирусы-шифровальщики — наиболее быстрорастущая угроза кибербезопасности. Так ransomware-атаки характеризует в специальном докладе за 2016 год Минюст США. В статье расскажем, как построить систему безопасности и о чем говорить с сотрудниками, чтобы защитить корпоративные данные в cloud-сервисах от подобных атак.

Введение

Количество ransomware-атак растет с каждым месяцем в геометрической прогрессии. Если в 2011 году была зафиксирована одна модификация вируса в год, то в 2017-м каждый месяц появляются 10 новых модификаций, и такие вирусы, как WannaCry, который парализовал работу компьютеров в 150 странах, и Petya, будут только совершенствоваться и модифицироваться. Рост числа вирусов еще усугубляется тем, что развивается направление RaaS (Ransomware-as-a-Service), то есть софт для вируса становится доступным для самостоятельного приобретения. Стремительный рост разновидностей вируса-вымогателя делает его более изощренным и способным атаковать новые цели. Следующими на очереди атак после компьютера становятся облачные хранилища, поэтому бизнесу, даже самому малому, стоит позаботиться о защите своих данных уже сегодня.

С чего начинается безопасность

Построение системы IT-безопасности начинается с выбора софта. Малый и средний бизнес в России и ближнем зарубежье часто грешит нелицензионным ПО, но в определенный момент желание сэкономить на программном обеспечении может вылиться в немалые потери из-за внешних атак.

Опыт показывает, что крупные производители софта со своей стороны стараются отслеживать уязвимости в собственных продуктах и как можно быстрее латать дыры. К примеру, пользователь Microsoft в течение нескольких недель с момента обнаружения уязвимости получает необходимое обновление. Само собой, на пиратские сборки Windows, скачанные с торрент-трекеров, компания не поставляет обновления с исправленными уязвимостями, более того, зачастую такие сборки уже содержат в себе вредоносные элементы.

Техническим специалистам это понятно, а вот топ-менеджерам — не всегда. Стоит потратить часть времени на то, чтобы понятно донести до руководства возможные угрозы и риски, связанные с нелицензированным софтом. Лучше всего называть конкретные цифры: $500-1000 — средний «ценник» вымогателей, но оплата никак не гарантирует, что создатели или владельцы зловреда дадут ключ. Для некоторых вирусов-шифровальщиков существуют утилиты-декрипторы. Этот способ дает гарантии, но его стоимость гораздо выше.

Еще стоит сказать об антивирусах. Для корпоративных сетей минимальная частота обновлений вирусной базы — один раз в сутки на каждом подключенном устройстве. При таком режиме обновлений реальную опасность составляют лишь атаки первой волны, а последующие вполне могут быть отражены защитным ПО.

Поможет автоматический, ежедневный версионный бэкап

Полностью защититься от проникновения вирусов-вымогателей невозможно, тут действует принцип «хочешь мира — готовься к войне». Лучший способ подготовиться — настроить систему ежедневных автоматических бэкапов в независимое облако, это так называемый cloud-to-cloud backup. Контроль версий данных дает возможность восстановить необходимые документы у сотрудника на определенную дату, например, за день до ransomware-атаки.

Жертвами подобных зловредов могут стать не только крупные предприятия, но и совсем небольшие компании. Последние редко могут позволить себе отдельного специалиста по компьютерной безопасности. Чтобы защитить корпоративные данные, необходима целая серия действий, а единственный, кто отвечает за защиту сети, — администратор этой самой сети. У него может не хватить возможностей или ресурсов. В таких ситуациях оптимальный выход — использовать готовое решение, обратиться к компании, которая специализируется на безопасности данных в облачных сервисах. Примером такого сервиса является Spinbackup — сервис по защите SaaS-данных в облаке.

Рассмотрим, как это работает, на примере данных, хранящихся в Google-облаке.

1. Ransomware-вирусы могут зашифровать ваши документы через синхронизацию компьютера с облаком Google Диска.

Вирус-вымогатель шифрует все файлы на зараженном устройстве, требуя деньги за ключ дешифровки. Жертвой атаки может стать как обычный пользователь, так и целая корпорация, при этом вероятность возврата файлов даже после уплаты выкупа не гарантируется, да и оплата скорее становится стимулом для злоумышленников снова и снова совершать атаки. Подобных атак лучше избегать, чем решать уже возникшую проблему, однако выход есть всегда.

Ransomware-защита для G Suite — это первое автоматическое решение по защите G-Suite-данных. Решение определяет атаку, блокирует источник, идентифицирует наличие зашифрованных файлов в Google Диске сотрудника и автоматически восстанавливает из последнего успешного бэкапа копию данных. Это позволяет бизнесу работать без остановок, стрессов, автоматизирует работу G-Suite-администратора и экономит огромное количество времени по мануальному восстановлению. По сути такой Disaster Recovery Plan жизненно необходим бизнесам, работающим в облаке.

1. Сторонние приложения, подключенные к G-Suite-домену, могут служить уязвимостью и одновременно возможностью для хакеров.

Для увеличения продуктивности работы сотрудники нередко ставят дополнительные приложения. Такое приложение, подключенное к корпоративному Google-аккаунту, может потенциально означать дыру в безопасности для администратора. Отдельная проблема — ситуации, когда для доступа к корпоративным данным сотрудник использует несколько устройств, включая смартфон, планшет, личный лэптоп. Bring Your Own Device — подход, когда каждое из устройств может быть открытой дверью для вируса, в контексте ransomware-угроз особенно актуален.

Для этого осуществляется мониторинг сторонних приложений. Мы реализуем это через Spinbackup 3rd-party Apps Audit для G Suite. Анализируется потенциальный уровень угрозы приложений на корпоративные данные, который рассчитывается на основе ряда критериев. Один из критериев — уровень доступа, который получает приложение к данным сотрудника. Приложение, получая права редактирования и изменения данных, может нанести вред без ведома пользователя.

Также для контроля BYOD-устройств рекомендуется использовать MDM-системы, которые позволяют определять политики безопасности устройств и корпоративных данных на них. К примеру, можно запретить доступ к корпоративным данным с несанкционированно перепрошитых устройств, можно ограничивать возможность копирования определенных файлов внутри устройства. Часть функционала MDM есть в Google G Suite: например, администратор может настроить доступ к данным компании только с устройств, которые зашифрованы и имеют защиту PIN-кодом или паролем.

Как разговаривать о безопасности с сотрудниками

Самая большая уязвимость любой сложной системы — люди, которые ею пользуются. Мероприятия, направленные на повышение компьютерной грамотности сотрудников, стоит проводить регулярно: раз в месяц или хотя бы раз в квартал. Да, это сложно, особенно для нашего менталитета. Технические специалисты часто относятся к условным «гуманитариям» как к людям недалеким, а те не прислушиваются к советам коллег из ИТ-отдела, потому что их опыт не позволяет оценить риски. В итоге никто даже не пытается построить диалог. Чтобы бухгалтеры или, к примеру, дизайнеры выполняли требования специалистов по безопасности, правила нужно изложить понятным языком.

Не у каждого технического специалиста есть возможность устраивать регулярные встречи с сотрудниками и обсуждать компьютерную безопасность. Но почта ведь есть у всех, так что можно готовить корпоративные рассылки с рекомендациями. Главное — перевести их на «человеческий» язык и избегать любой двусмысленности.

Вот примерное содержание письма, которое можно подогнать под особенности своей компании и отправить всем специалистам.

«Коллеги, в мире распространяется угроза вирусов-шифровальщиков: вредоносная программа попадает на компьютер через прикрепленные файлы в письмах или с зараженных флешек . Вирус шифрует любые файлы, которые могут представлять ценность. Расшифровать данные в лучшем случае дорого, в худшем — невозможно.

Первый симптом — названия файлов превращаются в случайный набор символов, а расширения изменяются (это символы после точки в названии файла). Если вы заметили, что на месте квартального отчета теперь лежит файл вроде «kje43tf34tfseweAeE54s.cloud» — немедленно выключите компьютер и звоните в ИТ-отдел. Также вирус может целиком заблокировать компьютер, требуя выплатить выкуп.

Важно! Чтобы не заразиться вирусом-вымогателем, не открывайте письма от неизвестных отправителей и, тем более, не запускайте вложенные файлы. Особенно опасны файлы, расширение которых вам незнакомо.

Учтите, что опасность представляют не только письма с заголовками типа «Вы стали победителем лотереи, заберите свой $1 000 000 000». Злоумышленники могут создавать поддельные аккаунты, похожие на аккаунты банков, государственных учреждений, наших партнеров или даже коллег из соседнего отдела. В любом подозрительном письме проверяйте адрес отправителя вплоть до каждой буквы. Например, вместо буквы «о» злоумышленники могут использовать символ ноля, они очень похожи. Такая хитрость может нанести нашей компании убытки на тысячи долларов.

Будьте внимательны. Спасибо!»

Подобные письма с советами можно составлять хоть каждую неделю, небольшими порциями повышая компьютерную грамотность коллег. В целом, это такая же часть профилактики, как и тестирование плана восстановления. Если подобные рассылки станут в компании традицией, думать об аварийном восстановлении систем придется гораздо реже.

Выводы

Итак, общая стратегия защиты от ransomware-угроз состоит из двух групп задач. Первая касается технической стороны вопроса, вторая затрагивает «человеческий фактор».

Чтобы обеспечить защиту на уровне технологий, необходимо:

• выбирать надежные облачные приложения для хранения данных;
• регулярно обновлять ПО и базы антивируса;
• разграничить уровни доступа для разных пользователей — в соответствии с политикой безопасности;
• мониторить доступ с BYOD-устройств;
• отслеживать сторонние приложения;
• организовать cloud-to-cloud backup в независимое облако;
• регулярно проверять целостность резервных копий.

Часть этих задач можно автоматизировать, что позволит экономить ресурсы. Для малого и среднего бизнеса, техническое обслуживание которого ложится на плечи одного-двух администраторов, такое решение можно считать оптимальным.

Что касается человеческого фактора, работа в этом направлении должна включать в себя, в первую очередь, обсуждение угроз с топ-менеджментом — с конкретными цифрами и решениями. Кроме того, обязательно нужно повышать компьютерную грамотность всего персонала компании — путем регулярных встреч, лекций или даже корпоративной рассылки. Чем больше сотрудники знают о безопасности — тем проще администратору поддерживать жизнеспособность системы, которую он с таким трудом выстраивает.