11 zagrożeń dla bezpieczeństwa rozwiązań chmurowych według Cloud Security Alliance

Najnowsza analiza Cloud Security Alliance ma na celu zwiększenie świadomości zagrożeń dotyczących danych przechowywanych lub przetwarzanych w modelu chmury obliczeniowej. Co ważne, zdaniem autorów raportu – wraz z upowszechnieniem rozwiązań cloud computing, to ich dostawcy przejmują znaczącą część obowiązków związanych z zapewnieniem bezpieczeństwa oraz dostępności takich usług. Przybywa jednak ryzyk wykorzystujących błędy lub zaniechania po stronie klientów.

Za główne zagrożenia dotykające rozwiązania oferowane w modelu cloud computing eksperci Cloud Security Alliance uznali, kolejno:

1. Naruszenie bezpieczeństwa danych – skala incydentów tego typu wzrasta nie tylko z racji nasilenia się działań cyberprzestępczych, ale też m.in. wskutek rosnącej skali wykorzystania usług chmurowych. W modelu chmury obliczeniowej odpowiedzialność za tego typu zagrożenia leży najczęściej zarówno po stronie dostawcy usług, jak i ich użytkowników.

2. Błędną konfigurację usług – jak przekonują autorzy analizy, do zagrożeń tego typu zaliczyć można m.in. pozostawienie standardowej konfiguracji usług, w tym danych dostępowych, a także przyznawanie użytkownikom nadmiarowych uprawnień lub zaniechania dotyczące ustawień mechanizmów bezpieczeństwa. Odpowiedzialność za tego typu błędy najczęściej leży po stronie klienta – użytkownika usług chmurowych. Często problematyczny jest tu brak wystarczająco skutecznych procesów zarządzania zmianą.

3. Brak architektury i strategii bezpieczeństwa w chmurze – w wielu organizacjach, nawet w obliczu rosnącej skali wykorzystania różnego rodzaju usług chmurowych nie istnieje jednoznaczna architektura ani uporządkowana strategia rozwoju środowiska chmurowego, które stanowiłyby podstawę dla zapewnienia monitoringu oraz bezpieczeństwa danych. Dodatkowo, jak przekonują specjaliści Cloud Security Alliance wdrożenie usług chmurowych jest często realizowane bez wystarczającego nadzoru ze strony osób odpowiedzialnych za bezpieczeństwo, zaś chęć szybkiego wykorzystania jak najszerszej funkcjonalności przekłada się na nieracjonalne decyzje dotyczące bezpieczeństwa danych. Odpowiedzialność za tego typu działania leży po stronie użytkowników usług chmurowych.

4. Niewystarczające zarządzanie tożsamością, dostępami i danymi uwierzytelniającymi – upowszechnienie modelu chmury obliczeniowej powoduje konieczność zmiany w wielu aspektach związanych z zarządzaniem dostępami i tożsamością. Niezbędne jest też zapewnienie integralności danych uwierzytelniających na przestrzeni całego środowiska IT, a także – wysokiej skalowalności narzędzi klasy IAM. Zapewnienie bezpieczeństwa danych uwierzytelniających leży w gestii firm korzystających z usług chmurowych.

5. Przejęcie konta uprzywilejowanego w usłudze chmurowej – konta użytkowników uprzywilejowanych są często obiektem szczególnego zainteresowania ze strony cyberprzestępców. Według ekspertów zagrożeń tego typu nie należy nie doceniać – ich efektem mogą być bowiem nie tylko straty finansowe, ale też szkody wizerunkowe, kradzież danych, czy nawet zatrzymanie krytycznych procesów biznesowych.

6. Zagrożenia wewnętrzne – oznaczające podejmowanie przez upoważnionych użytkowników usług chmurowych działań narażających organizację m.in. na utratę wrażliwych danych w sposób celowy lub niezamierzony. Skala strat powiązanych z tego rodzaju zagrożeniami jest znacząca. Jak pokazują, cytowane w raporcie Cloud Security Alliance analizy Ponemon Institute, że w 2017 roku średnia wysokość strat związanych z zagrożeniami typu insider threat wynosiła ponad 8,7 mld USD.

7. Niebezpieczne API oraz luki w warstwie interfejsu obsługi – zdaniem autorów analizy te dwie warstwy są bardzo często narażone na różnego rodzaju ataki wykorzystujące odkrywane na bieżąco podatności. Jednocześnie, są to również warstwy podlegające szczególnie dynamicznemu rozwojowi. Zabezpieczenie API oraz eliminacja ewentualnych błędów w warstwie obsługi pozostają w gestii dostawców usług chmurowych, jednak za zapewnienie wysokiego poziomu “higieny” w zakresie wykorzystania kluczy stosowanych w powiązaniu z interfejsami programistycznymi odpowiadają przede wszystkim użytkownicy takich usług.

8. Niewystarczająca staranność oraz błędy na poziomie kopiowania, migracji i przechowywania danych – odpowiedzialność za tego typu aspekty należy do organizacji korzystających z usług chmurowych. Brak kontroli nad przepływami danych uniemożliwia skuteczne ich zabezpieczenie w obliczu rosnącej złożoności środowisk IT zbudowanych na połączeniu lokalnych zasobów i usług chmurowych. W szczególnym stopniu dotyczy to środowisk typu multicloud, gdzie dane są często migrowane pomiędzy platformami chmurowymi różnych dostawców.

9. Błędy na warstwy aplikacyjnej i infrastrukturalnej, a także struktury metadanych – konieczność zapewnienia współdziałania aplikacji chmurowych z innymi rozwiązaniami wykorzystywanymi w firmowych środowiskach IT wymaga m.in. szczegółowej analizy możliwości dostarczanych przez dostawców API, a także specyfiki ich implementacji. Błędy na tym poziomie mogą skutkować poważnymi zagrożeniami w zakresie wycieku lub kradzieży danych. Zdaniem ekspertów Cloud Security Alliance tego typu problemy najczęściej wynikają z niewłaściwego podejścia do kwestii zarządzania tożsamością i danymi dostępowymi lub braku implementacji niezbędnych funkcjonalności. Za eliminowanie tego typu zagrożeń powinni odpowiadać zarówno dostawcy usług chmurowych, jak i ich użytkownicy. Przykładowo, dostawcy rozwiązań chmurowych powinni regularnie weryfikować poziom bezpieczeństwa własnych usług na styku z infrastrukturą klienta.

10. Brak lub niewystarczająca efektywność procesów monitorowania użycia usług chmurowych – pomimo stosowania usług chmurowych na szeroką skalę, wiele organizacji nie posiada rozwiązań i procesów niezbędnych do weryfikacji skali wykorzystania oraz poziomu bezpieczeństwa użytkowanych usług. Oznacza to z jednej strony brak możliwości zapewnienia wystarczającej kontroli nad tym, z jakich usług korzystają użytkownicy biznesowi oraz w jakim zakresie, ale też – brak informacji o tym, jakie dane są przetwarzane poza organizacją. Odpowiedzialność za wdrożenie odpowiednich narzędzi oraz wyeliminowanie zjawiska określanego mianem “shadow IT” spoczywa na organizacjach wykorzystujących usługi chmurowe. To ważne, bo jak szacują eksperci Gartnera, do 2020 roku co najmniej jedna trzecia skutecznych ataków wymierzonych w organizacje biznesowe zostanie przeprowadzona z wykorzystaniem luk w zabezpieczeniach usług stosowanych bez wiedzy osób odpowiedzialnych za bezpieczeństwo IT.

11. Nadużycia i nieuczciwe korzystanie z usług chmurowych – łatwość użycia zasobów chmurowych sprawia, że stanowią one ciekawe rozwiązanie także dla organizacji cyberprzestępczych. W efekcie, rośnie liczba ataków mających na celu uzyskanie dostępu do takich zasobów dzięki włamaniu na konta administracyjne organizacji korzystających z usług chmurowych. Następnie, opłacane przez klientów zasoby bywają wykorzystywane m.in. na potrzeby prowadzenia ataków DDoS i ataków typu brute-force, kopania kryptowalut, czy kampanii spamowych i phishingowych. Koszty wykorzystanych w ten sposób zasobów najczęściej obciążają organizację, której konto zostało przejęte. O ile więc za zabezpieczenie oraz monitorowanie użycia infrastruktury wykorzystywanej na potrzeby usług chmurowych odpowiada operator takich usług, tak zabezpieczenie dostępu do kont użytkowników rozwiązań chmurowych leży w gestii firm decydujących się na używanie zasobów udostępnianych w modelu cloud computing.

Powyższa lista została uporządkowana według oszacowanego stopnia ryzyka wystąpienia poszczególnych zagrożeń – oraz ich wpływu na poziom bezpieczeństwa firmowych danych. Według autorów analizy większości spośród najbardziej istotnych zagrożeń można uniknąć dzięki poprawie widoczności w zakresie funkcjonowania środowisk informatycznych, które w coraz większym stopniu opierają się na usługach chmurowych świadczonych przez zewnętrznych dostawców, nierzadko w modelu chmury publicznej. Jak pokazują badania, duże znaczenie dla bezpieczeństwa danych przetwarzanych w oparciu o usługi chmurowe ma również staranność w zakresie projektowania i wykorzystywania dostarczonych przez usługodawców interfejsów API, a także – analizy zabezpieczeń usług dostępnych w modelu cloud.

Jednocześnie, jak podkreślają eksperci Cloud Security Alliance, uzyskanie dostępu do wrażliwych danych biznesowych staje się głównym celem większości cyberataków. Jednocześnie, nie wszystkim tego rodzaju, kierowanym atakom można zapobiec. Kluczowe jest więc określenie wartości poszczególnych zbiorów danych – tak, aby w razie ich wycieku móc oszacować skutki ataku i skalę wyrządzonych strat.

Raport “Najważniejsze zagrożenia dla przetwarzania danych w chmurze: Egregious Eleven” powstał na bazie ankiety przeprowadzonej na grupie 241 ekspertów branżowych.