Обсуждали на днях с коллегами вопросы использования и контроля облаков , но в итоге свелось опять все к обсуждению проблем их безопасности.
В частности, вспомнили про обновление документа " The Treacherous 12: Cloud Computing Top Threats " от Cloud Security Alliance (CSA). Он интересен системным подходом к описанию типов инцидентов ИБ в "облаках" и наличием примеров. Авторы выделяют 12 проблем с ИБ облаков, по каждой из которой присутствует краткое описание, рассматривается влияние на бизнес, приводятся примеры и даются дополнительные ссылки.
В частности, вспомнили про обновление документа " The Treacherous 12: Cloud Computing Top Threats " от Cloud Security Alliance (CSA). Он интересен системным подходом к описанию типов инцидентов ИБ в "облаках" и наличием примеров. Авторы выделяют 12 проблем с ИБ облаков, по каждой из которой присутствует краткое описание, рассматривается влияние на бизнес, приводятся примеры и даются дополнительные ссылки.
- Data Breaches (Утечка данных).
- Weak Identity, Credential and Access Management (Проблемы с управлением доступом).
- Insecure APIs (Небезопасные интерфейсы взаимодействия / API)
- System and Application Vulnerabilities (Уязвимости систем и приложений)
- Account Hijacking (Кража аккаунта)
- Malicious Insiders (Злонамеренные инсайдеры)
- Advanced Persistent Threats (APTs)
- Data Loss (Потеря данных)
- Insufficient Due Diligence (недостаточная "Должная осмотрительность")
- Abuse and Nefarious Use of Cloud Services (Злоупотребление и недобросовестное использование)
- Denial of Service (Отказ в обслуживании)
- Shared Technology Vulnerabilities (Уязвимости, связанные с общим взаимодействием)
На мой взгляд, это не самая удачная классификация (блоки могут пересекаться), но тем не менее она очень показательна.
Потом в разговоре опять вернулись к известному отчету " The 2017 Cloud Security Report " и его статистике:
Да, рисков ИБ для облаков много (но вряд ли больше, чем для внутренней сети, хотя и есть специфика), и безопасникам проще сказать облакам "Нет"... Но уже поздно, бизнес во всю использует облака...
Точно! Уже используют. Значит надо понять риски и угрозы?! (и опять смотрим первую половину заметки).
Нет! Еще рано. Большое количество разнообразных новых угроз (и мыслей о том, как их контролировать и устранять) может привести к так называемому "параличу выбора". С чего начать, что важнее, как лучше? И в итоге мы опять (аналогично мы ведем себя, например, с безопасностью мобильных устройств и Shadow IT) пойдем по стратегии "полуприкрытых глаз" ("не знаем, не думаем об этом") и "лоскутного одеяла" (внедрим отдельные решения, закрывающие лишь малую часть проблемы)...
На мой взгляд, решать проблему безопасности облаков надо вдумчиво и последовательно. А какой у нас обычно первый шаг в ИБ (ну, уже после выявления заинтересованных сторон и их ожиданий)? Правильно, инвентаризация...
Тогда первым вопросом будет не "а знаем ли мы риски и угрозы?", а "знаем ли мы какие облачные сервисы используются и кем конкретно?"... Научимся отвечать на него (быстро и точно), тогда и стоит начинать думать о мерах контроля и защиты. Иначе какой-то бессмысленный и пустой треп получается. Вам так не кажется?
Потом в разговоре опять вернулись к известному отчету " The 2017 Cloud Security Report " и его статистике:
Да, рисков ИБ для облаков много (но вряд ли больше, чем для внутренней сети, хотя и есть специфика), и безопасникам проще сказать облакам "Нет"... Но уже поздно, бизнес во всю использует облака...
Точно! Уже используют. Значит надо понять риски и угрозы?! (и опять смотрим первую половину заметки).
Нет! Еще рано. Большое количество разнообразных новых угроз (и мыслей о том, как их контролировать и устранять) может привести к так называемому "параличу выбора". С чего начать, что важнее, как лучше? И в итоге мы опять (аналогично мы ведем себя, например, с безопасностью мобильных устройств и Shadow IT) пойдем по стратегии "полуприкрытых глаз" ("не знаем, не думаем об этом") и "лоскутного одеяла" (внедрим отдельные решения, закрывающие лишь малую часть проблемы)...
На мой взгляд, решать проблему безопасности облаков надо вдумчиво и последовательно. А какой у нас обычно первый шаг в ИБ (ну, уже после выявления заинтересованных сторон и их ожиданий)? Правильно, инвентаризация...
Тогда первым вопросом будет не "а знаем ли мы риски и угрозы?", а "знаем ли мы какие облачные сервисы используются и кем конкретно?"... Научимся отвечать на него (быстро и точно), тогда и стоит начинать думать о мерах контроля и защиты. Иначе какой-то бессмысленный и пустой треп получается. Вам так не кажется?
