Wiele organizacji wdrażających rozwiązania chmurowe ignoruje kluczowe kwestie związane z ich zabezpieczeniem, co czyni ich systemy podatnymi na ataki i wycieki informacji – dowiadujemy się z najnowszego raportu firmy McAfee. Skala tego zjawiska i masowość chmurowy sprawiają, że nadejść może nowa era ataków informatycznych – takich, których podstawowym celem będą właśnie systemy chmurowe, a nie aplikacje i systemy na urządzeniach użytkowników.
Raport zatytułowany “Cloud-Native: The IaaS Adoption and Risk Report” powstał w oparciu o ankiety wypełnione przez przedstawicieli 1000 dużych organizacji z 11 krajów, które wdrożyły lub aktualnie wdrażają rozwiązania bazujące na chmurze. Większość pytań dotyczyła różnych aspektów zabezpieczania takich systemów, ze szczególnym naciskiem na problemy związane z nieprawidłową konfiguracją systemów chmurowych. Eksperci McAfee tłumaczą, że to szczególny rodzaj zagrożenia informatycznego – jest ono stosunkowo powszechne, łatwe do wykorzystania przez przestępców, nie wiąże z konkretnymi lukami w oprogramowaniu, a na dodatek konsekwencje jego wystąpienia mogą być wyjątkowo dotkliwe (jako, że może to być np. masowy wyciek danych klientów czy poufnych firmowych informacji).
Oprócz ankiet, źródłem danych do przygotowania raportu były również wyniki analiz przeprowadzonych przez McAfee u obsługiwanych przez firmę klientów – jego autorzy deklaruję, że mowa tu łącznie o milionach użytkowników usług chmurowych oraz miliardach odnotowanych w systemach cloud incydentów (ze szczególnym uwzględnieniem środowisk IaaS).
“W środowiskach IaaS wykryliśmy liczne przypadki nieautoryzowanego dostępu – aczkolwiek w większości przypadków nie były to typowe sytuacje, w których do czynienia mielibyśmy z wprowadzeniem do systemu złośliwego oprogramowania. Zdecydowaną większość stanowiły oportunistyczne ataki CNB (Cloud-Native Breach – ataki typowe dla środowiska cloud), w których „napastnik” poszukiwał i wykorzystywał błędy w konfiguracji środowiska chmurowego. Takie zaniedbania mogą być wykorzystane przez włamywacza np. do nieautoryzowanego przejęcia uprawnień do określonych zasobów, a następnie przejęcia danych z wykorzystaniem standardowych funkcji danej platformy chmurowej” – wyjaśniają autorzy raportu McAfee.
Brak wiedzy kluczowym problem
Z opracowania dowiadujemy się też, że w 99% przypadków takie błędy konfiguracyjne pozostają niezauważone przez pracowników działów IT firm korzystających z platform IaaS. Efekty są opłakane – bo choć z ankiet wynika, że działy IT dużych organizacji wykrywają średnio 37 takich problemów miesięcznie, to specjaliści McAfee szacują tę liczbę raczej na… 3,500 (tak w każdym razie wynika z analiz przeprowadzanych u klientów firmy).
Problem jest o tyle poważny, że znaczna część specjalistów odpowiedzialnych za zarządzanie firmowymi systemami nie zdaje sobie sprawy z tego, jak poważnym zagrożeniem są błędy konfiguracyjne w popularnych systemach chmurowych. Ale częścią owego problemu jest również to, że nawet ci z CIO, którzy rozumieją zagrożenie… często nie mają do dyspozycji odpowiednich narzędzi zabezpieczających. Tylko 26% ankietowanych zadeklarowało na przykład, że wykorzystywane w ich organizacjach oprogramowanie zabezpieczające potrafi identyfikować błędy konfiguracyjne w popularnych „cloudach”.
Jeszcze bardziej niepokojące jest to, że ok. 50% ankietowanych pracowników działów IT (respondentami byli zwykle menadżerowie) twierdziło, że ich organizacji ten problem nie dotyczy… podczas gdy jednocześnie CISO, CTO czy CIO tych samych firm twierdzili, że odnotowywali już takie incydenty (ataki wykorzystujące błędy konfiguracyjne) w przeszłości.
„Szefowie działów bezpieczeństwa zdecydowanie powinni rozważyć wyposażenie pracowników w narzędzia, które pozwolą im efektywnie śledzić i rozpoznawać nowe zagrożenia – w tym m.in. problemy bezpieczeństwa związane z wdrażaniem i konfiguracją usług IaaS, szczególnie zanim zostaną one wdrożone w środowisku produkcyjnym” – rekomendują autorzy raportu.
Zaciemniony obraz firmowego IT
Z raportu wynika również, że rosnąca popularność platform chmurowych oraz problemy organizacyjne w firmach sprawiają, że wielu specjalistów IT nie ma do końca jasnego obrazu stanu zarządzanej przez nich infrastruktury IT. Coraz więcej firm wdraża jednocześnie rozwiązania różnych dostawców usług chmurowych… często nie mając przy tym świadomości, jak skomplikowane, „wielochmurowe” środowiska tworzą w ten sposób.
Zagadnieniu temu poświęcona była jedna z części ankiety – respondentów pytano w niej o to, czy korzystają z usług jednego, czy wielu dostawców rozwiązań IaaS. 3/4 z nich zadeklarowało, że w ich organizacji wdrożono usługi więcej niż jednego dostawcy… tyle tylko, że z analiz McAfee wynika, że odsetek ten jest tak naprawdę znacznie większy i wynosi aż 92%. Oznacza to, ze ponad 15% specjalistów IT funkcjonuje w błędnym przekonaniu, że do zarządzania i monitorowania mają rozwiązania tylko jednego dostawcy chmury… „Jest prawie pewne, że w takich środowiskach błędy konfiguracyjne i incydenty z dziedziny bezpieczeństwa pozostaną niezauważone – skoro osoby odpowiedzialne za zarządzanie IT nie wiedzą, gdzie dokładnie znajdują się ich systemy” – zwracają uwagę autorzy raportu.
Z dokumentu przygotowanego przez specjalistów z McAfee dowiadujemy się także, że w zbadanych firmach od ubiegłym roku aż o 248% wzrosła liczba przypadków wycieku danych z chmury z powodu błędów w konfiguracji systemów DLP (które de facto takim incydentom powinny zapobiegać). Aż 42% wszystkich zbadanych przez firmę systemów storage miało też niepoprawnie (w mniejszym lub większym stopniu) skonfigurowany system Data Leak Protection.
Autorzy zwracają również uwagę na fakt, iż jedną z przyczyn takiego stanu rzeczy – czyli wzrostu liczby incydentów bezpieczeństwa będących konsekwencją błędów w konfiguracji chmury – jest niski próg dostępu do usług cloudowych. Organizacje i specjaliści IT mogą błyskawicznie, wygodnie i bezrefleksyjnie uruchamiać nowe środowiska i instancje, co sprawia, że często zapominają o tym, by odpowiednio je zabezpieczyć – zdając się na domyślne ustawienia i automatyczne procedury.
Problem staje się jeszcze poważniejszy i trudniejszy do zarządzania, gdy dana firma decyduje się na jednoczesne korzystanie z rozwiązań wielu dostawców usług IaaS jednocześnie. W takiej sytuacji ryzyko wystąpienia błędów wzrasta. Co więcej, mogą się one pojawiać z czasem – wdrożenie, które początkowo było przeprowadzone poprawnie i było odpowiednio bezpieczne, z czasem (po obudowaniu innymi usługami, dodaniu funkcji i interfejsów zapewniających współpracę z innymi systemami) może stać się realnym zagrożeniem i potencjalnym punktem zapalnym.
Z raportu wynika również, że choć w przeszłości i obecnie znaczna część z owych błędów konfiguracyjnych dotyczy platformy AWS (co oczywiście wynika z jej ogromnej popularności), to również ten trend aktualnie się zmienia. Wraz z popularyzowaniem się konkurentów AWS, czyli platform chmurowych Microsoftu (Azure) i Google (Google Cloud), również w tych produktach użytkownicy coraz częściej nieświadomie wprowadzają błędy konfiguracyjne, zagrażające ich organizacjom oraz firmowym danym.
Na koniec warto wspomnieć, jakie ustawienia są najczęściej błędnie konfigurowane przez użytkowników platform chmurowych – na przykładzie problemów z AWS autorzy raportu wymieniają funkcje związane z zarządzaniem dostępem, politykami grupowymi i grupami, konfigurację portów Non-Http/Https oraz provisioning dostępu do zasobów za pomocą ról IAM.
Pełen raport “Cloud-Native: The IaaS Adoption and Risk Report” znaleźć można na stronie McAffe.
W AWS te bledy powstaja naprawdopodobniej przez korzystania z szablonow czy tez korzystania z odbudowania/budowania srodowiska tzw jedym kliknieciem gdzie nikt nie sprawdza co jest w kodzie.Sam w szkole odnosnie AWS w Szwecji mialem przyklad niezdania calej klasy z technologi tworzenia srodowiska AWS(mimo omowienia po lebkach uslug)Sam nauczyciel probowal tworzyc srodowisko AWS i sam bledy robil.Szkoda gadac.Kto nie zna kodu nie wie co do czego i nagle mu mowia stworz,zrob,wykonaj.A potem jak raport pokazuje jest jak jest.