Кибербезопасность в облачной среде. CASB и другие технологии

07.09.2018

Бизнес переживает фундаментальные перемены в связи с вступлением в эпоху цифровой трансформации. Прежние модели и бизнес-процессы становятся неэффективными, старые методы коммуникации не работают. У каждого сотрудника появляется все больше персональных гаджетов, которые активно используются в работе, в том числе и за пределами организации. Для поддержания продуктивной работы сотрудников, вне зависимости от типа используемых устройств и геолокации, применяются облачные приложения, такие как Office 365, Google Apps, Salesforce, Github, Microsoft Azure, Amazon Web Services и др. Вследствие этих изменений происходит «размытие» или «распад» периметра сети.

Цифровая трансформация и миграция данных в облачные сервисы

По данным ведущих аналитических агентств Gartner и Forrester Wave, облачные сервисы в 2018 году будут составлять более 45% ИТ-бюджетов корпораций. К 2020 году затраты на ПО по модели SaaS вырастут на 75 миллиардов долларов. Пути назад уже нет. Вопрос в том, как организации смогут защитить свои данные в новом цифровом мире.

Зачем далеко ходить? К примеру, вы можете ответить на несколько простых вопросов? Уверен, что если ранее вы не задавали себе подобные вопросы, то ответы на них подтолкнут к интересным размышлениям.

Какие облачные приложения используются сотрудниками вашей компании?
Каким образом контролируется использование подобных приложений?
Оценивается ли риск от использования этих приложений?

Ответ на подобные вопросы привел к возникновению нового класса средств защиты без которого, возможно, в скором будущем будет трудно представить функционирование современных компаний.

Новые подходы к кибербезопасности. Решения класса Cloud Access Security Broker (CASB)

Традиционные средства защиты информации, такие как средства защиты от утечек конфиденциальных данных (DLP), файрволы нового поколения (NGFW, UTM), средства защиты от вторжений (IPS) и др., изначально создавались для защиты периметра сети предприятия и абсолютно беззащитны в условиях «размытого» периметра, когда сотрудники обмениваются документами через облачные сервисы с мобильных телефонов и ноутбуков, находясь в любой точке мира. Для закрытия данной потребности существуют специализированные технология, известная как CASB (Cloud Access Security Broker, или брокер безопасного доступа в облако).

Shadow IT (теневые ИТ) – ИТ-решения, которые не контролируются департаментом ИТ. Практически все облачные приложения можно отнести к Shadow IT т.к. сотрудники компаний используют различные сервисы без привлечения ИТ-специалистов. Ресурсы, относящиеся к Shadow IT, не обязательно являются зловредными т.к. зачастую департаменты используют облачные сервисы в легитимных целях, в том числе для повышения производительности команды. Для защиты пользователей и данных организации ключевое значение имеет получение видимости используемых облачных приложений в компании.

Большинство компаний верит, что их сотрудники используют около десяти облачных приложений, а по факту их число в среднем превышает сотню. Наиболее известные компании, например, Amazon, Microsoft, Google, Adobe, Salesforce VMware и др., серьезно подходят к вопросу безопасности. Но есть и другие сервисы, которые являются очень удобными с точки зрения бизнеса, при этом уровень их безопасности страдает. Многие молодые компании развиваются по принципу grow fast or die slow, их основной задачей является предоставить пользователям удобный функциональный сервис, и все силы они бросают на добавление новых фич или оптимизацию пользовательского интерфейса. При этом времени на поддержание должного уровня безопасности своих продуктов не остается. К наиболее распространенным рискам можно отнести:

Небезопасное хранение пользовательских данных и данных учетных записей на стороне производителя;
Ненадежное управление учетными записями, ролями и доступом;
Непостоянная доступность сервиса, уязвимость перед DDoS-атаками;
Уязвимости в инфраструктуре производителя облачных сервисов, отсутствие современных средств защиты информации;
Применение уязвимых технологий при разработке приложения.

Одной из ключевых функций CASB является обнаружение всех облачных сервисов, используемых в компании, оценка риска использования каждого из них и помощь в принятии решения о блокировки наиболее уязвимых. Но это не все, на что способны решения класса CASB. О других ключевых возможностях поговорим в следующем разделе.

Четыре столпа CASB

Функционал решений класса CASB можно условно разделить не четыре основных блока:

Аудит использования облачных сервисов;
Безопасность данных;
Защита от угроз;
Соответствие регуляторам и корпоративным стандартам.

Аудит использования облачных сервисов

Стратегически важной задачей для бизнеса является прозрачность взаимодействия с облачными сервисами. Традиционные средства сетевой безопасности, такие как прокси, брандмауэры и журналы DNS, могут предоставить лишь некоторые базовые сведения. Однако лишь специализированное решение класса CASB способно обеспечить полную видимость и провести подробный анализ боле 10000 приложений, используемых в современном мире.

Для чего необходима прозрачность и анализ использования облачных приложений?

Обнаружение Shadow IT. Дает понимание ИТ-специалистам об используемых облачных приложениях и пользователях, которые их применяют.
Идентификация потенциально опасных облачных приложений. Для офицеров безопасности появляется возможность обнаружения уязвимых и мошеннических облачных приложений и внесение их в список нежелательных к использованию сотрудниками компании.
Запрет и разрешение доступа к облачным сервисам. Получив картину, ИТ-подразделения могут применить политики доступа, разрешив использование полезных облачных сервисов и запретить опасные приложения.
Соблюдение нормативных требований. Офицеры безопасности могут отслеживать используемые облачные сервисы и приводить их использование в соответствие нормативным требованиям.

Безопасность данных

Решения класса CASB обладают функционалом, обеспечивающим защиту данных в облачных сервисах. Имеются инструменты управления правами доступа к определенным сервисам, с определенных устройств, а также разграничения прав доступа к критичным данным. Многие зрелые CASB-решения имеют встроенный механизм поведенческого анализа действий пользователей (UEBA), которые позволяют заблаговременно обнаруживать подозрительную активность.

Кроме того, CASB обладает функционалом категоризации информации, позволяющим обнаруживать и анализировать хранение и передачу конфиденциальных данных, что по сути является решением по защите от утечек данных (DLP) в облаке. Для получения продвинутого функционала защиты от утечек, имеется возможность интеграции сторонних DLP-систем с CASB.

И наконец, CASB позволяет обезличивать и шифровать чувствительные данные, передаваемые в облако. Есть возможность применять полное или выборочной шифрование и использовать различные алгоритмы.

Защита от угроз

Облачные приложения корпоративного уровня хорошо защищены. И основным вектором атак, применяемым злоумышленниками, является компрометация учетных данных пользователей и получение таким образом доступа к данным. Кроме того, у злоумышленников появляется возможность распространять вредоносное ПО и проводить целевые атаки на инфраструктуру организации.

Для защиты от угроз CASB имеет в своем арсенале различные методы предотвращения, такие как поведенческая аналитика, антивирусное сканирование, применение машинного обучения для установления шаблонов поведения, использование аналитики угроз в реальном времени от поставщиков облачных сервисов.

Соответствие требованиям регуляторов и корпоративным стандартам

Даже при частичном переходе организации в облако остаётся важным соответствовать внутренним и внешним стандартам, обеспечивающим безопасность личных и корпоративных данных. Благодаря наглядности и контролю всех используемых облачных приложений в компании, появляется возможность оценить текущее состояние облачной безопасности, а также использовать политики доступа для приведения её в соответствие необходимым нормам.

Архитектура и принцип работы CASB

Решения CASB чаще всего разворачиваются в облачной среде и контролируют взаимодействие пользователей и приложений через API и/или прокси-сервера. Также имеется возможность использовать локальный и гибридный режимы.

Кибербезопасность в облачной среде. CASB и другие технологии Softline

Выбор архитектуры развертывания CASB зависит от инфраструктуры и потребностей конкретной организации. Нет однозначного ответа, какой вариант лучше. Однако, ведущие аналитические агентства выделяют гибридный подход как наиболее полный по функциональным возможностям.

Выбор решений CASB

Практически каждый крупный вендор имеет в своем портфеле решение данного класса. Среди лидеров ведущие аналитические агентства выделяют McAfee (Skyhigh Networks), Netskope и Symantec. Также CASB есть у Cisco, Forcepoint, Microsoft, Oracle, Palo Alto.

При выборе решения, наиболее подходящего для конкретной организации, рекомендуется учитывать следующие вопросы:

Обнаружение облачных приложений

Сколько атрибутов риска используется для расчета рейтинга безопасности приложения? Имеется ли возможность ручного назначения весов для атрибутов риска?
Предоставляет ли решение автоматические отчеты по оценке рисков?
Есть ли возможность заблокировать нежелательные облачные приложения за счет интеграции с веб-прокси или брандмауэрами?

Наличие необходимых политик

Имеется ли возможность настраивать политики безопасности как для запрещенных, так и для разрешенных приложений?
Поддерживает ли решение безопасное использование облачных сервисов с мобильных устройств и ноутбуков, находящихся за периметром организации?
Имеется ли возможность применять детальные политики к действиям пользователя на основе контекста и контента, например, имени пользователя, группы, устройства, местоположения, браузера или пользовательского агента?
Имеется ли возможность применять единые политики в нескольких облачных приложениях?

Развертывание

Совместимо ли решение с существующими решениями веб-прокси для максимального повторного использования инвестиций в систему безопасности?
Организована ли модель ролевого доступа к системе?

Управление данными

Обладает ли система функционалом по защите от утечек данных (DLP)?
Имеется ли возможность интеграции со сторонними DLP-решениями?
Поддерживаются ли такие методы классификации данных, как регулярные выражения и контекстный анализ?
Поддерживает ли решение токенизацию и возможность шифрования данных на лету во время их передачи, использования и хранения в облаке?

Обнаружение угроз

Обладает ли решение функционалом поведенческого анализа пользователей (UEBA) для обнаружения подозрительной активности?
Предоставляет ли решение расширенную визуализацию для наглядного изучения вредоносной активности?
Обладает ли решение встроенным функционалом обнаружения вредоносных программ?
Поддерживает ли решение интеграцию со сторонними решениями для защиты от целевых атак (ATP)?

Удобство использования и интерфейс

Насколько сложным является решение для настройки и управления?
Насколько интуитивно понятен пользовательский интерфейс?
Возникают ли какие-либо задержки или неудобства при использовании для конечных пользователей?
Могут ли пользователи получить доступ к облачным приложениям при выходе из строя решения CASB?
Возможности масштабирования: какое количество пользователей и транзакций поддерживает решение?

Заключение

Решения класса CASB нацелены на защиту данных в облачных приложениях. Они способны обнаруживать Shadow IT, контролировать доступ, трафик и действия над данными и предоставляют наглядную аналитику использования разрешенных и запрещенных облачных сервисов. Решения CASB позволяют бороться с утечками данных, имеют инструменты по поведенческому анализу пользователей, способны обезличивать и шифровать передаваемую информацию. Также присутствует функционал защиты от вредоносного ПО и несанкционированного доступа.

Мировой рынок решений CASB до конца еще не сформирован, но на нем уже есть явные лидеры, предоставляющие в своих продуктах наиболее полный функционал. Отечественных решений данного класса пока нет, но уже есть информация о предстоящих релизах в 2019 году. Сложно не заметить взрывной рост развития и использования различных облачных сервисов в нашей повседневной жизни, и можно с уверенностью сказать, что интерес к CASB на российском рынке будет очень высок.