Недавно компания IBM в своем отчете «Об угрозах в облаке за 2023 год» («IBM X-Force Cloud Threat Landscape Report 2023») отметила, что по результатам исследования облачных уязвимостей в период с июня 2022 по июнь 2023 года их стало больше на 194%.
Основной причиной для взлома доступа к облачным сервисам оказалось использование учетных данных. Это произошло в 36% реальных инцидентов, при этом учетные данные были либо извлечены во время атаки, либо украдены еще до того, как хакеры нацелились на конкретную цель.
Проанализировав информацию даркнета, данных Cybersixgill и службы Red Hat Insights, авторы отчета пришли к выводу, что хакеры чаще всего запрашивают или продают скомпрометированные учетные данные таких популярных решений, как Microsoft Outlook (5,8 млн упоминаний), WordPress (832 тыс.) и Zoom (604 тыс.).
В России объем атак увеличивается с каждым годом, в том числе и в облачных инфраструктурах. По оценкам компании Selectel, количество DDoS-атак увеличилось в четыре раза и в два с половиной раза увеличилось количество IP-адресов, которые атакованы. То есть начали атаковать те компании, которые раньше атакам не подвергались, и из таких отраслей, которые традиционно не были подвержены атакам.
Помимо DDoS, наблюдался резкий рост атак на веб-приложения. Совсем недавно прошла волна атак на облачную платформу DIKIDI, которая позволяет клиентам записываться на услуги онлайн, а владельцам бизнеса вести записи и автоматизировать рабочие процессы. Хакеры получили доступ к данным 40 млн клиентов российской CRM-системы и разместили базу данных в популярных Telegram-каналах, которые ранее были взломаны.
Возможности облачных сред несут с собой не только увеличение мощностей и экономию ресурсов для компании, но и серьезные риски. Атаки на облачную архитектуру могут иметь серьезные последствия, такие как утечка данных, потеря данных, несанкционированный доступ к конфиденциальной информации и сбой в работе сервисов. Именно поэтому сегодня так много внимания уделяется безопасности данных в облаках.
Безопасность облачной инфраструктуры мы подробно разобрали в прошлой статье . В этой мы ходим обозначить актуальные и самые опасные облачные атаки на данный момент, которые активно используются злоумышленниками. А также постараемся перечислить средства и сервисы для каждого вида атак, которые помогут предотвратить действия злоумышленников, нацеленных на взлом ваших облачных сред.
Виды атак и способы защиты облаков
1. Атаки типа «отказ в обслуживании» (DDoS-атаки и DoS-атаки)
DDoS-атака (Distributed Denial of Service «распределенный отказ в обслуживании») — это форма кибератаки на веб-системы с целью вывести их из строя или затруднить доступ к ним для обычных пользователей. Атакующие обычно используют распределенную сеть множества устройств (как правило — “ботнеты”), одновременно отправляющих запросы на сервер жертвы, пока он не будет перегружен. Такие кибератаки наиболее распространены, потому что могут довести до отказа любую систему без должной защиты, не оставляя юридически значимых улик.
Существует также более простая версия подобных атак — DoS-атаки (Denial of Service). Они отличаются тем, что осуществляются из одной подсети. Современные инструменты защиты могут легко их распознать и блокировать, поэтому таким атакам подвергаются в основном простые системы и личные компьютеры.
DDoS-атаки могут иметь серьезные последствия, в том числе нарушать доступность критически важных сервисов, вызывать финансовые потери и наносить ущерб репутации организации.
За первые три месяца 2023 года общее число DDoS-атак возросло на 22% в сравнении с аналогичным периодом 2022 года, по данным Qrator Labs . Чаще других страдали классифайды, платформы для онлайн-обучения и платежные системы с банками.
Способы и сервисы по защите:
-
DDOS-GUARD
-
Cloudflare
-
StormWall
-
Yandex DDoS Protection
2. Взлом аккаунта
Взлом учетной записи в облаке означает несанкционированный доступ злоумышленника к учетной записи облачных вычислений или контроль над ней. Это может позволить злоумышленнику использовать связанные ресурсы в своих целях или украсть / манипулировать данными, хранящимися в облаке.
Взлом (компрометация) аккаунта – одна из наиболее серьезных проблем, поскольку сотрудники компании не всегда имеют достаточно сложные пароли, а иногда используют один пароль для нескольких учетных записей. В результате злоумышленник с помощью одного украденного пароля может получить доступ к нескольким системам, бизнес-логике, данным и приложениям, а порой и компонентам инфраструктуры, зависящим от учетной записи.
Способы и сервисы по защите:
-
Identity Access Manager
-
Vault
-
Lockbox
3. Компрометация учетной записи пользователя
Такой взлом отличается от взлома учетной записи. Компрометация учетной записи пользователя обычно предполагает получение злоумышленником доступа к учетной записи с помощью обмана, заставляющего пользователя раскрыть свои учетные данные для входа, или путем использования уязвимости в системе или приложении пользователя.
Самая популярная компрометация аккаунта часто происходит с помощью фишинга (от англ. phishing – выуживание) – интернет-мошенничества, которое заключается в краже конфиденциальных данных с помощью «развода» пользователей. Ничего не подозревающие жертвы сами раскрывают свои личные данные, например, номера телефонов, номера и секретные коды банковских карт, логины и пароли электронной почты и аккаунтов в социальных сетях. Для этого пользователям предлагают некую услугу или возможность, которая завлекает их на такие действия.
Способы и сервисы по защите:
Расширения для браузера, предупреждающие о фишинге
-
Netcraft
-
WOT
-
Bitdefender TrafficLight
4. SQL-инъекция
SQL-инъекция — один из распространённых способов взлома сайтов и программ, работающих с базами данных, основанный на внедрении в запрос произвольного SQL-кода. Такой вид атаки может привести к потере данных, повреждению или разглашению посторонним лицам, потере ответственности или отказу в доступе.
База данных SQL являются наиболее распространенным типом реляционных баз данных и поддерживается многими веб-платформами (PHP, WordPress, Joomla, Java), соответственно, она подходит для атак большого количества веб-сайтов.
Способы и сервисы по защите:
-
SQL Injection Scanner
-
Web Application Firewall
5. Небезопасные API
Небезопасные API имеют уязвимости, которые могут быть использованы злоумышленниками для получения несанкционированного доступа к системам, данным или для нарушения работы API.
Примеры включают в себя:
- Теневые API: API, которые не задокументированы или не авторизованы должным образом и могут быть неизвестны организации, владеющей API. Эти API-интерфейсы могут создаваться разработчиками или другими пользователями внутри организации и могут предоставлять конфиденциальные данные или функции неавторизованным лицам.
- Параметры API: входные и выходные данные API, которые могут быть уязвимы для атак путем внедрения, если они не проверены и не очищены должным образом.
- API-посредники, которые обеспечивают взаимодействие между несколькими компонентами приложений.
Способы и сервисы по защите:
-
Nginx App Protect
-
PTAF
-
Wallarm API Security
-
InfoWatch Attack Killer
-
Yandex Smart Web Security
Выводы
Как мы можем увидеть, действительной сегодня существует достаточное количество серьезных угроз для облачных вычислений, которые могут нанести значительный урон всему вашему бизнесу. Но, с появлением новых атак на облачные системы, также появляется больше количество инновационных продуктов, позволяющих обеспечить безопасность ваших данных в облачных вычислительных системах.
На самом деле облака – это лучшая система защиты данных:
-
Надежные облачные провайдеры обязательно используют шифрование сетевого трафика с помощью https-протокола с применением SSL-сертификата.
-
С помощью метода резервного копирования и восстановления данных ОБ обеспечивает отлаженную работу вашего бизнеса, даже при условии атак любого типа и достижения целей злоумышленников.
-
Облачные провайдеры для защиты от хакерских атак используют более мощное, дорогостоящее ПО, которое часто не могут себе позволить многие компании.
-
Современный дата-центр для облачных сервисов — это всегда закрытая территория с многоуровневой системой охраны, видеонаблюдения и контроля доступа, и проникнуть на его территорию незамеченным невозможно.
-
Облачный провайдер предоставляет максимально надежные и защищенные средства доступа к своим услугам. Например, качественная защита от DDoS-атак — имея избыточные каналы связи с пропускной способностью в десятки и сотни Гб/с с территориально разнесенным выходом в интернет, избыточное число аппаратных маршрутизаторов/файерволов, облачный провайдер принимает весь трафик на себя, фильтрует его на специализированных анализаторах и доставляет до сервиса клиента только легитимный трафик.
Главное, выполнять все необходимые меры по безопасности: используйте надежные меры по защите облачной архитектуры, всегда шифруйте данные и создавайте надежные учетные данные, ведите непрерывный мониторинг инфраструктуры и применяйте средства защиты облаков, организуйте безопасность конечных точек пользования, включите многофакторную аутентификацию (MFA). А также следуйте всем необходимым правилам, общепризнанным регламентам и законодательству.
Узнать подробнее о продукте для защиты облачной инфраструктуры компаний: NeoCAT
Присоединяйтесь к сообществу облачной безопасности:
