Облачные среды подвержены тем же самым угрозам, что и традиционные корпоративные сети, но, ввиду высокой концентрации данных, поставщики облачных сервисов становятся привлекательной мишенью для злоумышленников, а в случае направленных DDoS-атак запросто могут пострадать все клиенты сразу — как говорится, «за компанию». Так что риски возрастают многократно. Впрочем, провайдеры научились неплохо защищаться, и сегодня в списке актуальных угроз для облачных сред, который ежегодно публикует Cloud Security Alliance, этот вид атак находится на предпоследнем месте.
Облачные сервисы становятся привычным инструментом, а все хорошо знакомое уже не кажется столь опасным. Так, по данным недавнего опроса SDХ Central, в ходе которого выяснялось, какие проблемы информационной безопасности больше всего беспокоят пользователей, только 26% респондентов отметили пункт «Обеспечение безопасности облачных сред», тогда как еще в прошлом году таковых было 37%. Впрочем, угроз меньше не стало — наоборот, разнообразие и интенсивность атак возросли.
В этой связи любопытно взглянуть, как менялись угрозы для облаков в течение десятилетия. В 2010 году Cloud Security Alliance (CSA) опубликовал свой первый перечень из семи угроз со скромным уточнением: «версия 1.0». Видимо, цифра семь вдохновила его создателей подыскать для последующих версий более звонкое и устрашающее название (по аналогии с «Великолепной семеркой»). Опубликованный в 2013 году список содержал 10 угроз и назывался «Отъявленная десятка» (notorious ten). Затем была добавлена еще пара угроз, и появилась «Коварная дюжина» (treacherous twelve).
Если сопоставить перечни 2010 и 2017 годов, можно увидеть, что угрозы семилетней давности остаются актуальными и по сей день. Правда, некоторые так изменились, что их не сразу можно опознать. Например, вместо «Неизвестный профиль рисков» появился пункт «Неполнота проведенной оценки» (insufficient due diligence), в результате чего, как предупреждает CSA, компания может столкнуться с мириадами «технических, коммерческих, финансовых, юридических и нормативных рисков».
В числе новых угроз — точнее, не считавшихся актуальными в 2010 году — можно выделить DDoS, целевые кибератаки (Advanced Persistent Threat, APT), системные уязвимости и «дыры» в приложениях, а также неправильное управление паролями и правами. При этом одна из них — потеря и утечка данных — разделилась почкованием, и теперь потеря данных (data loss) и уязвимость данных (data breach) рассматриваются отдельно. Последняя подразумевает риск того, что важная, конфиденциальная или защищенная информация будет украдена или использована без разрешения. На протяжении последних лет эта угроза считается основной (для сравнения, в 2010 году ей отводилось только шестое место).
В то же время высокая актуальность угрозы вовсе не является предвестником ее обязательной материализации. Аттестованные виртуальные ЦОДы способны обеспечить надлежащую защиту персональных данных и другой информации ограниченного доступа в полном соответствии с требованиями закона (см. статью Сергея Орлова «Безопасный ЦОД»). Однако это не означает, что заказчику можно расслабиться. Он должен выполнить свою часть обязанностей по обеспечению безопасности (см. статью автора «Кто ответит за безопасность облака?»). И тогда наверняка с облаками ничего не случится.