При подготовке обзоров для журналов "Сети" и Computerworld Россия я часто получаю в ответ целые готовые статьи и интервью, но для обзора мне нужно всего несколько цитат. Мне всегда жалко проделанной спикером работы, поэтому решил, что буду публиковать в своём блоге полные тексты подобных интервью.
Начну с недавнего
обзора по защите коммуникационных облаков, подготовленного для журнала "Сети". На мои вопросы по теме отвечает
Алексей Бессарабский, руководитель отдела маркетинга «Манго Телеком».
Какие типы мошенничества характерны для корпоративных и гибридных коммуникационных облаков?
Главные особенности коммуникационных облачных сервисов с точки зрения информационной безопасности — это отсутствие или размывание понятия «периметр» и сложное разделение сфер ответственности между провайдером и клиентом. С одной стороны, такое разделение часто не осознается и не отражается в контрактах. С другой — одних контрактов, зачастую, недостаточно, так как защита должна иметь комплексный характер. Она должна охватывать и серверы провайдера, и клиентское оборудование — в чьей бы сфере ответственности оно ни находилось.
Не менее важно и то, что широкие возможности и многочисленные удобства облачных сервисов могут привести бизнес к новым точкам уязвимости. И часто, чем больше в облаках удобства, тем меньше безопасности и наоборот. Например, эластичность и неограниченная масштабируемость облачных сервисов — это, в том числе, неограниченные возможности для воровства трафика. А самостоятельное управление услугами — это, одновременно, и новая точка уязвимости. Мощные сервисы распределения вызовов, переадресации, записи разговоров дают новые (по сравнению, например, со взломом SIP) возможности перехвата звонков, подслушивания, доступа к конфиденциальной информации и так далее.
Еще одна особенность ситуации состоит в том, что современные провайдеры коммуникационных облачных услуг могут предоставлять одновременно ИТ- и коммуникационные сервисы. Поэтому они сталкиваются не только с ситуациями, знакомыми ИТ-компаниям, но и с банальным телефонным мошенничеством.
Таким образом, основные угрозы, которые характерны для корпоративных и гибридных коммуникационных облаков — это кража трафика, несанкционированный доступ к данным клиентов, повреждение этих данных, потеря управления своими коммуникациями, DoS-атаки. Эти же проблемы, как правило, беспокоят и клиентов облачных сервисов. Так, по данным исследования Information Week Cloud GRC Survey, при переходе на облачные сервисы клиентов беспокоят вопросы безопасности. Перечисленные мной особенности занимают первые строчки среди факторов, вызывающих опасения клиентов при переходе в облака, и составляют в сумме более 50 %.
Положительные моменты при использовании облачных сервисов тоже есть. Обычно серьезный сервис-провайдер обладает гораздо большими ресурсами по сравнению со своими клиентами, может нанять штат квалифицированных специалистов и обеспечить такие меры по защите клиентских данных и коммуникаций, которые для самих клиентов с финансовой точки зрения просто невозможны. И, наконец, чтобы избежать мошенничества, важно, конечно, изначально правильно выбрать провайдера. Потребитель услуг должен убедиться, что провайдер пришел на рынок всерьез и надолго. И действительно будет вкладывать средства в ИБ, то есть, по сути, в будущее своего бизнеса. Так, 15% клиентов в процитированном обзоре отметили среди факторов, способствующих распространению облаков, лучшую безопасность, обеспечиваемую провайдером.
В чем особенность защиты облачных коммуникационных сервисов?
Первая особенность — борьба с кражами трафика методами, которые обычно используют телефонные компании. Это эвристическая оценка профиля активности клиента, производимая иногда в ручном, иногда в автоматическом режиме. Как ни банально это звучит, основной метод взлома — подбор простых пользовательских паролей роботами. Мы пытаемся приучить наших клиентов не использовать пароли типа «12345», в то же время наши SIP-серверы блокируют подозрительную активность, например, слишком частые попытки авторизации или слишком большое количество попыток установить соединение в секунду.
Облачные коммуникационные сервисы во многом основаны на SIP-протоколе. Мы используем аккуратную схему авторизации запрос-ответ, которая исключает кражи паролей. Однако легкая доступность каналов IP-коммуникаций упрощает возможность атак типа man-in-the-middle, прослушивания и перехвата сессий. Для защиты необходимо шифрование с помощью TLS или S/MIME. А это уже тянет за собой необходимость использования PKI (альтернативные технологии слабо поддерживаются оборудованием).
Другая особенность облаков — удобный интерфейс самообслуживания. Я не буду сейчас говорить о защите провайдером своих серверов, на эту тему написано много. Новая опасность в простом доступе злоумышленника к удобному интерфейсу. В основном, она появилась из-за того, что у типичного пользователя облачных сервисов отсутствует система управления учетными записями для этих сервисов, а попытки провайдера внедрить определенные политики внутренней безопасности могут по большей части клиентами игнорироваться. Выход лежит в предоставлении облачных услуг Identity Management. Роль таких услуг будет возрастать, по мере того, как компании будут интегрировать свои ИТ-системы со все большим количеством облачных сервисов, для доступа к которым необходима единая политика управления учетными записями, правами и ролями.
Борьба с DoS-атаками в случае облачных коммуникационных сервисов не имеет заметных особенностей, за исключением того, что появляется еще один канал атаки — телефонные сети. Атаки оттуда, впрочем, блокируется гораздо проще, чем из IP-сетей. Ну, и важно, пожалуй, строить SIP-инфраструктуру с учетом того, что она открыта внешнему миру, и может быть объектом атаки типа DoS.
Насколько в России актуальны атаки на коммуникационные сервисы?
Крупные инциденты пока встречаются не очень часто, но такая возможность всегда присутствует. А вот попытки недорогих атак с понятной и очевидной всем монетизацией идут постоянно. Речь идет об атаках на SIP-аккаунты и краже трафика, которая встречается чаще, чем принято думать.