Утечка информации в облачные хранилища – выявление

Аналитические возможности
DLP-системы

Удобство облачных хранилищ оценили и обычные пользователи, и бизнес-структуры. Сектор растет быстрыми темпами: через 10 лет более половины всей частной и корпоративной информации будет храниться на облачных сервисах. Однако настройки безопасности «облаков» пока не гарантируют полной защиты конфиденциальных данных.

Что такое облачные сервисы

На облачных хранилищах обычно размещают файлы большого объема, например, программные продукты. Удаленное хранение экономит место на стационарных компьютерах и не перегружает оперативную память.

Популярные облачные сервисы включают:

  • зарубежные хранилища типа Dropbox, OneDrive, Google, iCloud;
  • общедоступные российские облачные сервисы Яндекс.Диск, Облако Mail.ru и другие;
  • хранилища, которые принадлежат социальным сетям и провайдерам связи;
  • облачные версии корпоративного ПО, например, бухгалтерских программ;
  • сервисы облачного майнинга;
  • облачные платформы – мощные вычислительные ресурсы на удаленных серверах, которыми пользуются специалисты научно-исследовательских и проектных учреждений.

Пользователи в группе риска

Значительная часть облачных сервисов общедоступна, поэтому компании, которые заботятся о безопасности, используют «облака» главным образом для обработки или передачи большого объема данных, а не для хранения важной корпоративной информации.

Из-за неправильного хранения информации в первую очередь рискуют потерять данные:

  • рядовые пользователи, которые создают архивы в общедоступных базах;
  • пользователи социальных сетей, чьи личные данные, фотографии, история переписки и другая информация из аккаунтов хранятся в облачных хранилищах;
  • пользователи любых электронных сервисов, которые требуют вводить персональные данные или данные кредитных карт;
  • пользователи мобильных устройств, если сведения о звонках, передвижениях, интересах хранятся у провайдера;
  • предприниматели, которые хранят информацию в «облаках» CRM-систем и в бухгалтерских программах: базы данных, архивы финансово-бухгалтерской отчетности, сведения об активах, номерах счетов, сделках;
  • пользователи, которые используют облачные платформы для майнинга криптовалют.

Статистика утечек и инцидентов в «облаках»

От утечек данных не застрахованы даже такие крупные и популярные облачные хранилища, как Dropbox и Amazon. В 2016 году получил огласку инцидент, когда хакеры похитили персональную информацию 68 миллионов пользователей Dropbox: имена, пароли, адреса почтовых ящиков. Причина масштабной утечки заключалась в том, что что администрация сервиса не установила защиту от поисковика Google на базы данных. Однако ресурсу и пользователям повезло: злоумышленники не использовали сведения в криминальных целях, и большинство клиентов даже не узнало об утечке.

Без последствий обошелся и инцидент, в результате которого злоумышленники похитили размещенные на серверах Amazon персональные данные 93 миллионов избирателей Мексики. Личную информацию не использовали в криминальных или коммерческих целях. Причиной утечки в данном случае стала халатность сотрудников Amazon, которые при обновлении сетевой конфигурации направили данные по дублирующей сети, а не по основному каналу передачи.

Компания Apple долгое время хранила историю местоположений клиентов на своих серверах. Однако способ хранения информации был небезопасным, что закономерно вызвало возмущение пользователей. Ряд громких скандалов заставил компанию усилить меры защиты.

Виды угроз

Специалисты делят угрозы утраты информации из облачных хранилищ на две группы: потеря информации и утечка данных из облачных сервисов.

К первой группе относятся технические и операционные проблемы, но они касаются только небольших проектов. Крупные поставщики услуг многократно копируют и резервируют данные, хранят сведения на серверах, расположенных на разных континентах. Поэтому утечка информации из облачных хранилищ, которые используют большие компании, намного вероятнее. Среди причин потери данных специалисты в области информационной безопасности выделяют:

  • взлом аккаунта и прямое хищение;
  • уязвимость интерфейсов и API в системах провайдеров;
  • массированные и целенаправленные DDoS-атаки – хакерские атаки с целью довести систему до отказа;
  • действия инсайдеров в компаниях – поставщиках услуг или провайдерах, которые имеют служебный доступ к данным;
  • уязвимость каналов передачи информации, особенно – мобильного трафика;
  • халатность или неосторожность провайдера, который не связан с пользователем договорными отношениями и не несет ответственности по закону.

Профессиональные атаки, нацеленные на нарушение работы системы провайдера, основаны не нескольких технических приемах. Это атаки на гипервизор – ключевой элемент системы хранения данных, атаки на системы управления и использование динамичности виртуальных машин.

Множественные уязвимости сервисов привели к тому, что государственный сектор полностью отказался от использования «облаков». Частным пользователям и коммерческим организациям приходится выбирать: мириться с угрозами или отказаться от использования облачных сервисов, несмотря на выгоду и удобство. Притом что для небольших компаний порой даже безопаснее хранить информацию в «облаке», чем на собственных серверах, уязвимых изнутри.

Чаще всего компании используют комбинированные способы хранения: менее ценная и более объемная информация размещается в «облаке», а коммерческие тайны или ноу-хау – на внутренних, более защищенных ресурсах. При выборе облачного хранилища учитывают возможные риски и степень обеспечения безопасности данных. Выявление возможных утечек через облачные хранилища стало одним из этапов риск-менеджмента. При комбинированной защите используют специализированные решения и инструменты, которые отслеживают необычную активность администраторов хранилищ в сетевом окружении.

Выявление утечек

Чтобы проверить защищенность облачных хранилищ от утечек информации, нужно анализировать техническое оснащение и процессы управления компании. Чек-лист проверки надежности облачных сервисов включает определение:

  • категории, мест размещения и степень охраны оборудования;
  • технологии защиты оборудования от перепадов напряжения, резервирования мощностей;
  • способов шифрования и защиты передаваемой информации;
  • процедуры создания резервных баз, периодичность и места хранения резервных копий;
  • местоположения сервиса хранения данных и сервера управления ключами, которые должны находится в разных местах, что прежде всего требуется для облачных вычислений и майнинга, так как обеспечивает защиту от входа при помощи подбора паролей;
  • квалификации персонала;
  • стандартов и регламента работы сервиса.

В зависимости от сферы деятельности компаниям также может понадобиться установить, при каких обстоятельствах и на каких основаниях провайдер готов предоставлять клиентскую информацию проверяющим организациям.

После начала работы с облачным сервисом для выявления утечек необходимо регулярно сканировать данные, находящиеся на «облаке». Для этого используются программы типа Data Discovery, которые выявляют сведения, которые хранятся или переносятся в системе с нарушением установленных правил.

Профессиональные методы получения данных из «облака»

Хакеры и криминалисты используют несколько способов для получения информации из «облаков» и баз данных социальны сетей. Например, программы типа UFED Cloud Analyzer. Подобное ПО позволяет быстро получать информацию из хранилищ, систематизировать данные и форматировать массив для использования в качестве судебных доказательств.

По аналогичному принципу работает программный комплекс «Мобильный криминалист», который легко извлекает из смартфонов пароли, токены и другие сведения, используемые для входа на интернет-ресурсы.

Способы защиты

Предотвратить утечку информации из облачных хранилищ можно только отказавшись от использования «облаков». Российское законодательство обязывает провайдеров при передаче персональных данных предупреждать пользователей о том, насколько защита передачи соответствует законодательно установленным нормам. Но это помогает не всегда.

Документально провайдеры не несут ответственности за разглашение коммерческой тайны, а пользовательские соглашения о предоставлении услуг не содержат пунктов, которые гарантируют сохранность информации разработчиком.

Сами операторы облачных хранилищ, которые заинтересованы в привлечении и удержании клиентов, сочетают различные элементы для обеспечения надежной защиты данных:

  • хешируют пароли при помощи криптографической технологии bcrypt или алгоритма SHA-1, так данные сложнее расшифровать;
  • используют внешние серверы отдельных провайдеров, которые генерируют ключи;
  • шифруют хранимую информацию;
  • применяют туннели виртуальной частной сети (VPN) для передачи трафика – они создают надежную и защищенную сеть на основе незащищенной;
  • сообщают о протоколах защиты и дорабатывают для крупных клиентов.

Также провайдеры рекомендуют пользователям при угрозах получать сертификаты безопасности, полностью обновлять учетные данные, генерировать новые API-ключи и токены протокола авторизации OAuth.

Компаниям при работе с облачными хранилищами для усиления защиты рекомендуется:

  • самостоятельно шифровать информацию с помощью современного программного обеспечения, расшифровывать файлы только на собственных серверах, хранить в запечатанных контейнерах с дополнительным паролем;
  • использовать двухфакторную идентификацию для доступа к критически важным сведениям;
  • заключать дополнительные соглашения о сохранности важной информации и ответственности за утечку;
  • учить сотрудников работать с базами хранения данных, рекомендовать создавать только защищенные аккаунты со сложным паролями, регулярно менять пароли, контролировать работу с базами, перед тем как предоставить доступ;
  • скачивать файлы на серверы через браузеры, а не только через клиентские приложения.

Защита от утечек информации должна учитывать как внутренние процессы в компании, так и работу с внешними ресурсами. Важно правильно выбирать облачные хранилища, не размещать в «облаках» важную информацию и регулярно проверять надежность защиты от утечек.

Подпишитесь на нашу рассылку и получите свод правил информационной безопасности для сотрудников в шуточных стишках-пирожках.