Transcript Express BIA workshop

Риски информационной
безопасности в
облачной среде
11-ая международная конференция «Обеспечение
доверия и безопасности при использовании ИКТ»
23 марта 2012 г.
г. Москва
Максим Гусляев
Бизнес-консультант
CISSP, CISM
©2011 Hewlett-Packard Development Company, L.P.
The information contained herein is subject to change without
notice
Содержание
Риски информационной безопасности в облачной среде
•
Особенности при управлении рисками в облачной
среде
•
Риски информационной безопасности в облачной
среде и методы их снижения
•
Риски, связанные с непрерывностью
функционирования и доступностью ИТ сервисов
Особенности при управлении
рисками в облачной среде
Особенности (1/2)
•
Клиенту и поставщику использовать согласующиеся между собой
методики оценки рисков, в т.ч. согласовать значения, которые
могут принимать уровни рисков, вероятности реализации угроз и
ущерб от их реализации;
•
Сценарии реализации угроз должны прорабатываться и
оцениваться клиентом и поставщиком совместно;
•
Клиент и поставщик должны использовать согласующиеся
подходы при оценке и классификации активов;
•
Клиент должен включать в перечень активов компоненты,
находящиеся в ведении поставщика;
Особенности (2/2)
•
Взаимоотношения на основе договора и SLA;
•
Провести всестороннюю оценку процессов и практик управления
ИБ, а также защитных мер поставщика облачных услуг до
принятия решения о выборе поставщика;
•
Обеспечить возможность проведения регулярной оценки
состояния ИБ поставщика облачных услуг клиентом или
предоставление поставщиком услуг свидетельств проведения
такой оценки независимой организацией;
•
Согласовать разграничение ответственности между клиентом и
поставщиком в отношении проведения инструментальных
проверок (vulnerability scanning, penetration testing);
•
Если поставщик облачных услуг декларирует наличие
сертификата для СУИБ, обратить внимание на область действия
СУИБ.
Риски
информационной
безопасности в
облачной среде
и методы их
снижения
Высокоуровневая
модель угроз Cloud
Security Alliance
Высокоуровневая модель угроз Cloud Security
Alliance
Основные категории рисков ИБ
Неправомерное
использование
облачных сервисов
Риски, связанные с
использованием
разделяемой среды
Незащищенные API
Потеря или утечка
данных
Действия сотрудников
Кража учетных данных
компании-поставщика
Unknown Risk Profile
Неправомерное использование облачных
сервисов
• Несовершенные процедуры регистрации клиентов облачных услуг
создают возможность их анонимного использования;
• Поставщики облачных услуг обладают ограниченными
возможностями обнаружения неправомерных (мошеннических)
действий;
• Разработчики вредоносного кода, спамеры и прочие
злоумышленники имеют возможность действовать безнаказанно;
• Объектами являются как IaaS, так и PaaS поставщики;
SaaS
• Также в фокусе: DDOS атаки, размещение вредоносного кода,
PaaS
управляющих центров бот сетей др.
Контрольные меры:
Более строгие правила начальной регистрации
клиентов.
• Анализ сетевого трафика клиентов.
• Анализ публичных черных списков IP адресов на
предмет попадания в них адресов поставщика
облачных услуг.
•
•
IaaS
CSA Guidance Reference
Domain 8: Data Center
Operations
Domain 9: Incident Response,
Notification and
Remediation
Незащищенные интерфейсы и API
• Поставщики услуг предоставляют набор программных интерфейсов,
API;
• Интерфейсы используются для инициализации, управления и
мониторинга;
• Интерфейсы должны быть защищены от случайных и
преднамеренных попыток их использования в нарушение
установленных политик;
• Иногда такие интерфейсы дорабатываются и используются для
предоставления клиентам дополнительных услуг.
• Это приводит к повышению сложности таких многоуровневых API и
увеличению риска.
Контрольные меры:
Анализ подходов обеспечения безопасности
программных интерфейсов.
• Обеспечение строгой аутентификации и контроля
доступа наряду с шифрованием трафика при
передаче.
• Анализ цепочки зависимостей, связанной с API.
•
•
SaaS
PaaS
IaaS
CSA Guidance Reference
Domain 10: Application Security
•
•
•
•
•
Сотрудники компании-поставщика облачных
услуг
Риск вследствие сосредоточения множества IT сервисов, функционирующих в
интересах разных компаний-заказчиков, под единым управлением в сочетании с
непрозрачностью процессов и процедур поставщика для клиентов;
Поставщик не объясняет, исходя из чего он предоставляет своим сотрудникам
физический или логический доступ к защищаемым ресурсам и как он
осуществляет мониторинг их действий или следит за соблюдением
установленных политик;
Отсутствие понимания относительно порядка приема сотрудников на работу;
Все это может привести к НСД к информации (любопытство обслуживающего
персонала, действия преступных группировок, промышленный шпионаж,
действия иностранных спецслужб);
Предоставляемые права доступа могут позволить злоумышленнику получить
доступ к конфиденциальной информации или получить контроль над
предоставляемым IT сервисом без риска быть обнаруженным.
Контрольные меры:
Провести детальную оценку состояния ИБ
организации-поставщика в контексте вопросов,
связанных с персоналом.
• Внести требования к обслуживающему персоналу в
договор между клиентом и поставщиком.
• Потребовать от организации-поставщика услуг
предоставления актуальной информации
относительно существующих подходов и практик в
области ИБ и корпоративного управления, а также
соответствия требованиям.
• Determine security breach notification processes.
•
•
SaaS
PaaS
IaaS
CSA Guidance Reference
Domain 2: Governance and
Enterprise Risk
Management
Domain 7: Traditional Security,
Business Continuity
Disaster Recovery
Использование разделяемой среды
• Поставщики услуг IaaS используют общую инфраструктуру, но
компоненты инфраструктуры не всегда позволяют надежно
изолировать друг от друга среды, принадлежащие разным
клиентам;
• Необходимо обеспечить надежное разделение сред для
предотвращения неправомерного доступа к обрабатываемым или
остаточным данным, а также сетевому трафику.
SaaS
PaaS
IaaS
•
•
•
•
•
•
Контрольные меры:
Осуществить инсталляцию и конфигурирование в
соответствии с лучшими практиками.
Осуществлять мониторинг среды с целью выявления
несанкционированных изменений/активности.
Реализовать механизмы строгой аутентификации и
контроля доступа;
Внести в SLA положения, регламентирующие вопросы
установки обновлений и исправлений ПО, а также
устранения уязвимостей.
Проводить сканирования уязвимостей и анализ
конфигураций.
CSA Guidance Reference
Domain 8: Data Center
Operations
Domain 13: Virtualization
Потеря или утечка данных
• Удаление или изменение данных при отсутствии резервной копии
этих данных в неизмененном состоянии;
• Хранение данных на ненадежных носителях;
• Утрата ключа шифрования может привести к фактической потере
данных;
• НСД к данным вследствие использования слабых методов
аутентификации, авторизации и аудита;
SaaS
• Утечка данных вследствие отсутствия или несоблюдения процедур
вывода из эксплуатации носителей информации;
PaaS
• Утечка данных вследствие реализации политических рисков;
IaaS
• Утрата данных вследствие ненадежности ЦОД или отсутствия
процедур аварийного восстановления.
• Контрольные меры:
CSA Guidance Reference
•
•
•
•
•
•
Осуществлять контроль доступа к API.
Осуществлять шифрование и контроль целостности
данных при передаче.
Проводить анализ применяемых средств и методов
защиты данных как на этапе проектирования, так и на
этапе эксплуатации.
Разработать порядок генерирования, хранения,
управления уничтожения ключевой информации.
Требовать от поставщика применять надежные
механизмы уничтожения данных при выводе носителей
из эксплуатации.
Определить в договоре порядок резервного
копирования.
Domain 5: Information Lifecycle
Management
Domain 11: Encryption and Key
Management
Domain 12: Identity and Access
Management
Кража учетных данных
• Кража учетных данных при помощи фишинга,
мошенничества и эксплуатации уязвимостей ПО;
• Используя украденные учетные данные злоумышленник
может нарушить конфиденциальность, целостность и
доступность данных и сервиса;
• Т.о. злоумышленник сможет осуществлять мониторинг
действий пользователей и транзакций, изменять данные
и перенаправлять клиентов на сторонние сайты.
SaaS
PaaS
IaaS
Контрольные меры:
Не допускать использование общих учетных записей
пользователями и сервисами.
• Во всех возможных случаях использовать
двухфакторную аутентификацию.
• Осуществлять мониторинг с целью выявления
несанкционированной активности.
• Проанализировать политики безопасности
поставщика, а также SLA.
•
•
CSA Guidance Reference
Domain 2: Governance and
Enterprise Risk Management
Domain 9: Incident Response,
Notification and Remediation
Domain 12: Identity and Access
Management
Unknown Risk Profile
•
•
•
Поставщики с готовностью говорят о преимуществах
облачных услуг для бизнеса;
Упускаются такие детали как версии используемого
ПО, обновления и исправления ПО, уязвимости,
попытки НСД, архитектура решений, работа с
журналами регистрации.
Это приводит к тому, что клиент не обладает всей
полнотой информации об облачной среде и не
осознает рисков информационной безопасности.
Контрольные меры:
• Предоставление клиенту необходимых
журнальных файлов и данных.
• Предоставление клиенту сведений об
облачной инфраструктуре (напр., обновления
ПО, межсетевые экраны и т.д.).
• Мониторинг событий и управление
инцидентами.
SaaS
PaaS
IaaS
CSA Guidance Reference
Domain 2: Governance and Enterprise
Risk Management
Domain 3: Legal and Electronic Discovery
Domain 8: Data Center Operations
Domain 9: Incident Response,
Notification and Remediation
Риски, связанные с
непрерывностью
функционирования и
доступностью ИТ
сервисов
Облако как основа ИТ сервиса или
средство резервирования собственной
ИТ инфраструктуры
Какие требования заложить в SLA?
Business Impact Analysis
Цель
• Выявить прямое и косвенное влияние на бизнес в результате утраты
критически важных бизнес-процессов и функций
• Разработать согласованные с бизнес-требованиями цели по
восстановлению работоспособности бизнес-процессов и ИТсервисов после сбоя.
Результат
• Разработка категорий восстановления, отнесение бизнес-процессов
к соответствующим категориям;
• Определение и документирование RTO и RPO для каждой бизнесфункции/процесса;
• Выяснение взаимосвязей между наиболее критичными бизнесфункциями;
• Установление соответствий между бизнес-процессами, ИТсервисами, ИС и элементами ИТ инфраструктуры;
• Разработка требований к ИТ сервисам.
Анализ бизнес-процессов
Business Impact Analysis
Влияние отказа во времени
Бизнес-процесс (функция)
Режим
исп-я
Процесс № 1
24х7
Процесс № 2
24х7
Процесс № 3
24х7
Процесс № 4
24х7
Процесс № 5
8x5
Процесс № 6
24х7
Процесс № 7
8x5
Процесс № 8
24х7
<30
мин
30
мин
–
2 hrs
2
–
4
час
4
–
8
час
8
--24
час
24
час
--3 дн
3
–
5 дн
5
–
10 дн
10
–
15 дн
Классификация сервисов по степени
критичности
Business Impact Analysis
Информационная
система/ сервис
Service Desk
Класс
критичности
1 (Mission Critical)
CRM
…
1 (Mission Critical)
1C
2 (Business Critical)
RTO
RPO
4 часа
X
4 часа
X
8 часов
Y
Какие меры защиты предпринять?
Для каждого класса критичности разрабатывается
набор требований, в совокупности определяющих
целевое состояние, позволяющее уложиться в
значения RTO/RPO:
•
•
•
•
•
•
•
•
Методы защиты приложения
Методы защиты данных в оперативном доступе
Методы резервного копирования данных
Дублирование персонала
Процессы эксплуатации
Мониторинг
Инфраструктура ЦОД
Уровень внешней технической поддержки
Load-balancing
MC
Серверы highend или Midrange
Виртуализация
High-end СХД
Мониторинг сбоев
Резервный ЦОД
Внешняя
техническая
поддержка
Упреждаю
щий
мониторинг
Резервный
ЦОД,
способный
выдержать
полную
нагрузку
План и
процедуры
аварийного
восстановления
Oracle RAC
Business copy or
snapshots на базе
дисковых
массивов
Инфраструктура
ЦОД
Failover кластер
(hot-standby)
Мониторинг
Репликация
данных (dual
storage)
Процессы
эксплуатации
Дублирование
персонала
Методы
резервного
копирования
Методы защиты
данных в
оперативном
доступе
Методы защиты
приложения
Класс
Какие меры защиты предпринять?
Enterprise
back-up
solution
Дежурная
смена 24x7
Дублировани
ZDT backе
up
специалистов
Учения
Change и
configuration
management
MCP и CS
6h CTR +
proactive
maintenan
ce
Регламентные
окна для
обслуживания
SAN
Репликация
Archlogs
High-end или mid-range СХД
BC
Warm-standby или Dedicated coldstandby
SAN
Репликация
Дежурная смена 24x7
План и процедуры аварийного
восстановления
Дублирование специалистов
Регламентные окна
Enterprise back-up or local
solution
Дублирование специалистов
План и процедуры аварийного
восстановления
Не формализованы
Не формализованы
Enterprise back-up
solution
CS и P24
proactive maintenance
Восстановление из резервных копий
Восстановление из резервных копий
BO
Dedicated cold-standby
SAN, NAS, DAS
OP
Не формализованы
Не формализованы
Не формализованы
Мониторинг сбоев
Не формализованы
Контракты на поставку,
резервные комплектующие на
складе
Fix hours CTR
P24 и NBD
Не формализованы
Не формализованы
Спасибо за
внимание!