Компания DivvyCloud опубликовала отчет, показывающий размеры потерь для компаний, вызванных ошибками в конфигурациях публичных облачных сервисов. Мы изучили этот документ и подготовили статью, чтобы предупредить тех, кто в зоне риска.
Утечки данных случаются по разным причинам, но в последние годы преобладающей причиной потерь становится неправильная настройка облака. Многие организации пренебрегают безопасностью облачных сервисов, несмотря на то, что потребители, партнеры и государственные органы рассчитывают на осмотрительность и профессионализм компаний, когда доверяют им свои данные. Незащищенный сервер и другие ошибки в настройках инфраструктуры не являются уважительной причиной при утечках данных.
В цифрах
33,4 млрд записей — размер утечек в результате неправильной настройки облачных сервисов. Согласно исследованию Ponemon Institute в 2019 году, стоимость одной такой записи для компании — $150. Умножаем на количество утечек и получаем $5 трлн — общее число ущерба компаний по всему миру, и это только в 2018 и 2019 годах.
Согласно отчету Gartner, рынок публичных облачных сервисов в 2018 году составлял $182.4 млрд и $214.3 млрд в 2019 году, а значит ущерб компаний из-за ошибок в настройках облаков более чем в 12 раз превысил размер вложений в облачные сервисы по всему миру. Защитить инвестиции и предотвратить расходы, связанные с утечкой данных, — одна из важных причин, почему стоит позаботиться о безопасности своих облаков.
При этом число утечек, вызванных проблемами в конфигурации облачных сервисов, в 2019 году на 80% выше, чем в 2018 году, и ущерб компаний показывает такой же рост.
2018 год: 11.8 млрд записей пострадало, общий ущерб составил $1.76 трлн.
2019 год: 21.2 млрд записей пострадало, общий ущерб составил $3.18 трлн.
И эти цифры скорее всего не соответствуют действительности: отчет McAfee выявил, что о 99% случаев проблем с настройкой облаков не сообщается, а значит — реальное число утечек и сумма вызванного ими ущерба для компаний, по всей видимости, гораздо выше.
Группы риска
Компании выбирают облачные сервисы за их скорость и гибкость, которые позволяют оставаться конкурентоспособными в стремительно развивающемся инновационном мире, но не придают значения внедрению соответствующих мер безопасности.
68% компаний, пострадавших в 2018 и 2019 годах от неправильной настройки облаков, были основаны до 2010 года, это говорит о том, что более старым компаниям, переходящим на облачные сервисы, сложнее внедрить и поддерживать контроль за безопасностью облаков по сравнению с молодыми компаниями, которые «родились в облаке».
Другой фактор риска — ситуации слияния и поглощения компаний. Так, например, Утечка Marriott/Starwood в 2018 году является ярким примером того, как ошибки в выполнении правильной комплексной проверки во время слияния и поглощения могут привести к значительным пробелам в безопасности.
Причина этого — весьма сложная процедура безопасного слияния ИТ-инфраструктур разных компаний в единое целое.
Такие случаи могут негативно повлиять на стоимость приобретаемой компании. Например, Verizon уменьшил итоговую стоимость покупки Yahoo на $350 млн, когда выяснилось, что утечка данных в Yahoo, произошедшая накануне слияния, более значительная, чем заявлялось ранее.
Также анализ 196 эпизодов утечек данных, вызванных неправильной конфигурацией облаков, обнаружил сервисы, задействованные в каждом случае, и выявил следующее:
44% исследованных утечек в 2018 и 2019 году пришлось на Elasticsearch (свободная программная поисковая система, ее используют такие сайты, как Wikimedia, Quora, Foursquare, SoundCloud, GitHub, Netflix. Amazon, IBM и многие другие). В 2019 году число утечек утроилось по сравнению с 2018 годом.
16% утечек вызваны S3 Bucket (объектное хранилище от Amazon). Увеличение числа утечек на 45% по сравнению с 2018 годом.
12% утечек — MongoDB (база данных). Удвоение роста утечек в 2019 году.
Самая большая доля потерь происходит через сервисы AWS, но несмотря на то что Microsoft Azure, Google Cloud Platform, и Kubernetes показали незначительное количество инцидентов, неправильная настройка дискредитирует использование всех облачных сервисов.
Распределение по отраслям:
- 41% утечек — технологические и ИТ-компании
- 20% утечек — здравоохранение
- 10% утечек — органы государственной власти
- по 6% утечек — у гостиничного бизнеса и финансового сектора
- 4% утечек — ритейл
- по 3% утечек — образование и безнес-услуги
- 7% утечек — у других отраслей
Корень проблемы
Безопасность облаков далеко не всегда зависит от провайдеров облачных услуг. Gartner прогнозирует: к 2025 году 99% ошибок в настройках безопасности облаков будет происходить по вине клиентов.
При внедрении облачных сервисов компании действуют слишком быстро — им нужно внедрять нововведения, чтобы сохранять конкурентоспособность. И только облака могут предоставить гибкость и скорость, так необходимую в этом деле.
Число людей, использующих облака, стремительно растет. Раньше в организации могло быть 40 человек, имеющих отношение к инфраструктуре. Сегодня обычное дело, когда все 3000 человек в компании разворачивают приложения и вносят изменения в настройки — осуществляют так называемый подход непрерывной интеграции и непрерывной разработки. И эти люди даже не задумываются о безопасности, когда разворачивают приложения в своей облачной инфраструктуре.
У многих компаний отсутствует целостный подход к безопасности инфраструктуры, что в свою очередь усугубляется большим количеством неопытных пользователей и устаревшими моделями киберзащиты. Пока идет освоение постоянно меняющейся сущности публичных облаков и контейнерной инфраструктуры, часто игнорируются контроль и минимизация рисков, управление аккаунтом и соответствие стандартам — то, что сегодня больше не находится в исключительном ведении ИТ-персонала.
Кто виноват и что делать
Когда речь идет о безопасности, ответственность делится между клиентом и провайдером. Клиент отвечает за то, как именно он использует сервис, в том числе за правильную настройку управления доступом, систем хранения и вычислительных мощностей, за внедрение анализа угроз и защиты и за безопасность запущенных приложений и данных, обрабатываемых в облаке. Это часть ответственности клиента, которая часто упускается из виду.
Провайдеры же, в свою очередь, отвечают за безопасность низкоуровневых компонентов облачной услуги — задача, которую они, как правило, выполняют без проблем. Чтобы уменьшить риск утечек в результате ошибок в настройках облачных сервисов и усилить защиту своей инфраструктуры, обращайтесь только к надежным поставщикам ИТ-услуг. А чтобы избавиться от головной боли по поводу администрирования вашей инфраструктуры в дата-центре, воспользуйтесь дополнительными услугами системного администрирования и удаленного управления.
Комментарии