Скорость, с которой могут создаваться теневые облачные среды, вызывает беспокойство у ИТ-специалистов и служб безопасности. Поиск «слепых зон» в системе безопасности может помочь сфокусировать внимание на некоторых проблемах, пишет на портале Network Computing Марк Гаффан, генеральный директор компании IONIX.

Защитить организацию от киберугроз и атак становится все сложнее, поскольку поверхность атаки постоянно расширяется. К этому добавляется неоспоримый рост теневых ИТ — когда инфраструктура и сервисы используются организацией и ее подразделениями (например, отделами разработки, финансовым, юридическим, маркетинговым и т. д.) без ведома ИТ-службы и службы безопасности. К таким неуправляемым сервисам относятся новая бизнес-инфраструктура, хостинг-партнеры, SaaS-сервисы, подключенные приложения сотрудников, программные платформы low-code/no-code и т. д.

По данным Gartner, на теневые ИТ приходится от 30 до 40% расходов на ИТ в корпоративных организациях, что делает их постоянной проблемой.

Риски безопасности теневых ИТ

В компаниях, где теневые ИТ получили широкое распространение, зачастую используется несколько облачных сервисов, которые часто связаны между собой. Создание облачных сред отличается простотой, а в случаях развертывания нескольких таких сред — в том числе автоматически на основе сценариев — ИТ-командам и службам безопасности приходится поспешать, чтобы успеть справиться с растущей поверхностью атак.

Часто DevOps невольно создает риски безопасности, связанные с теневым ИТ. Возьмем, к примеру, разработчика, который создает свой собственный сервис, развертывая облачную инфраструктуру. Для этого может использоваться мастер-аккаунт облачного провайдера компании или множество других способов, облегчающих жизнь разработчикам, но затрудняющих отслеживание со стороны ИТ-службы.

Возможно, через некоторое время эти сервисы перестают использоваться, но они остаются в облачной среде компании. Далее злоумышленник находит этот сервис и проверяет, защищен ли базовый актив. Злоумышленники часто ищут слабые места, связанные с активами компании, которые должны были быть выведены из эксплуатации или не входят в число тех, которые известны и управляются ИТ-отделом. Если умножить это на количество разработчиков в организации, а затем на количество облачных приложений, то проблема резко усиливается. Дело в том, что ИТ-департамент может просто не знать об используемых облачных ресурсах.

Как мы теперь понимаем, организациям стало проще, чем когда-либо, масштабировать и ускорять ИТ-операции за счет использования публичных облачных платформ. Однако по мере того, как облачная поверхность атаки в организации становится все более сложной и трудно контролируемой, злоумышленникам становится все проще использовать неправильные конфигурации и уязвимости облака.

Точка зрения злоумышленника

В мультиоблачной среде, где серверы и сервисы постоянно меняются, контроль безопасности часто не справляется со своей задачей. Это приводит к появлению «слепых зон», неопознанных и непроверенных устройств и данных.

По данным опроса специалистов по кибербезопасности, проведенного ESG Research, 76% из них заявили, что подверглись кибератаке из-за неизвестных, неуправляемых или неправильно управляемых активов, доступных через Интернет. Почти три четверти предприятий (73%) считают, что они хорошо осведомлены о менее чем 80% своих активов. Это означает, что каждый пятый интернет-актив является «слепым пятном», которое может быть уязвимо для атаки.

В современных условиях обеспечения безопасности все организации должны действовать на опережение и иметь 365-градусный обзор, чтобы видеть облако с точки зрения злоумышленников. Управление поверхностью внешних атак является мощным инструментом для достижения такого видения. Это позволяет организации выявлять угрозы, а не только активы, чтобы проактивно защищать всю цифровую цепочку поставок.

Сегодня организациям необходимо заложить основу для выявления теневых ИТ как части этой постоянно расширяющейся поверхности атаки. Эта основа включает в себя:

  • Постоянное и точное обнаружение активов. Если активы постоянно меняются, то непрерывный мониторинг и обнаружение активов — это первый шаг к снижению риска. Организация должна знать, какими активами она располагает, чтобы защитить их.
  • Контекстуализация вокруг критически важных для бизнеса активов. После того как вы получили представление о полном перечне подключенных активов и осуществляете непрерывный мониторинг изменений, наступает время принятия решений. Какие из этих активов являются критически важными? Какие из них содержат конфиденциальную корпоративную, клиентскую, партнерскую или личную информацию. Для того чтобы применить надлежащие средства защиты, необходимо соотнести понимание ИТ-активов с их важностью для бизнеса.
  • Внимание к сторонним активам. Речь идет не только о собственных активах. В современном взаимосвязанном цифровом мире расширенная сеть вашей организации включает в себя ПО сторонних производителей, а также управляемые и обслуживаемые поставщиками активы. Злоумышленники часто используют эти активы и связи для получения доступа к конечной цели в вашей организации. Поэтому картирование путей атак из цифровой цепочки поставок является важнейшей частью получения представления о злоумышленнике.

При наличии этих элементов можно уменьшить или устранить «слепые зоны», сделать теневые ИТ менее страшными и предпринять проактивные действия для уменьшения поверхности атаки и рисков безопасности.