Dnešní veřejné cloudové platformy nabízejí snadnou ovladatelnost a jednoduchou práci s cloudovými zdroji. Celkově umožňují podstatnou optimalizaci a úsporu nákladů na provoz, bez nutnosti pořizovat a spravovat vlastní hardware. Nižších nákladů je dosaženo sdílením zdrojů mezi mnoha zákazníky, kteří jsou softwarově izolováni. Takové řešení však nahrává agresorům, kteří mohou vést útoky vůči celé řadě cílů současně, případně zneužít nalezené zranitelnosti u více zákazníků, replikovat útoky na různých platformách a tak dále.

I když poskytovatelé cloudových služeb dělají pro bezpečnost svých řešení maximum, nemalý díl odpovědnosti připadá na koncového zákazníka. Problém je, že klienti bohužel ne vždy disponují dostatečným know-how a ne vždy využívají bezpečnostní konfigurační potenciál v plném rozsahu. Častěji se spokojí s výchozím nastavením, což se ukazuje jako nedostatečné a v některých případech přímo rizikové.

Většině rizik spojených s únikem dat v cloudu lze předcházet

Úniky dat se řadí mezi nejčastější hrozby v cloudovém prostředí. Podle DivvyCloud přišly firmy v roce 2019 jen v důsledku chybné konfigurace o vice než 3,18 triliónů dolarů. Úniky dat jsou pro cloudová prostředí větší hrozbou než v případě in-house řešení, a to i z důvodu velkých přenosů dat mezi zaměstnanci a cloudovými systémy.

Většině rizik spojených s únikem dat v cloudu však lze předcházet. Každá firma by měla mít definovány obchodní hodnoty svých dat a dopady v případě jejich ztráty. Měla by mít propracovaný incident-response plán zohledňující podmínky dané poskytovatelem cloudu a zákony na ochranu osobních údajů. Jedním z nejúčinnějších a zároveň nejméně nákladných způsobů ochrany citlivých údajů je vhodná eliminace přístupu k nim a zároveň i jejich důsledné zálohování.

V případě napadení úložiště ransomwarem může reálně dojít ke ztrátě všech dat v důsledku jejich zašifrování a k požadování zaplacení nemalé částky za jejich opětovné dešifrování. Problémům s vydíráním společnosti útočníky lze předejít vytvořením distribuovaného backup systému. Data jsou v tomto případě zálohována ve více systémech a lokalitách tak, aby se zabránilo jejich ztrátě v rámci individuálního SAN (Storage Area Network) systému.

Zranitelná API představují přímé riziko

Bezpečnostní incident může vzniknout v důsledku celé řady pochybení. K naprosto běžným stále patří nedostatečná ochrana hesel a slabá politika nevynucující silná hesla. Opakují se chyby ve správě identit a přístupů nebo absence automatické a pravidelné rotace kryptografických klíčů a hesel.

Zanedbávají se hrozby spojené s tím, že se nevynucuje multifaktorová autentizace, podceňuje se nebezpečí sledování přenášených dat… I to sebedrobnější opomenutí nahrává útočníkům, kteří se mohou snadno vydávat za legitimní uživatele a ohrožovat celý firemní systém.

Řešením je striktní politika přístupu pro cloudové uživatele a identity – limitování přístupů je pro bezpečnost cloudového systému zásadní. Zaměstnanec by měl disponovat jen těmi přístupy, které potřebuje ke své práci. S tím mohou pomoci pravidelné audity zaměřené na úroveň přístupů zaměstnanců v rámci cloudového systému s cílem identifikovat ty nepotřebné a neopodstatněné a odstranit je.

Mnohdy jediným vstupním vektorem do jinak chráněné neveřejné části cloudového prostředí bývají Application Programming Interfaces (APIs) a User Interfaces (UIs). Vzhledem k tomu, že se starají o interakci s cloudovými systémy, patří pravděpodobně k jeho nejexponovanějším částem.

V čem je největší problém? Zranitelná API mohou představovat přímé bezpečnostní riziko s naprosto zřejmými dopady na důvěryhodnost firmy, její integritu a dostupnost. V minulosti jsme byli svědky celé řady reálných kauz spojených s chybami v zabezpečení API, například při ukládání hesel v čitelné podobě, přístupné tisícům zaměstnancům poskytovatele cloudových služeb (viz případy Facebooku, Googlu, Twitteru nebo GitHubu).

Útočníci se v cloudu zaměřují na privilegované účty

Jednou z relativně nových forem kybernetických útoků cílících na cloud je cryptojacking. Vzhledem k tomu, že neovlivňuje samotnou funkčnost služeb v cloudu, ale má vliv na zdroje, je obvykle hůře detekovatelný. Útočníci zneužijí cloudové prostředky k těžbě kryptoměn, což vede k vyšším nákladům na provoz, vyššímu vytížení zdrojů, a tím i ke zpomalení.

To může být mylně přisuzováno například nedávným updatům, pomalejší rychlosti internetové konektivity a dalším podobným procesům. Proto je třeba neustále monitorovat neobvyklé chování systému, jeho zpomalení nebo podezřelé zvyšování provozních nákladů.

Zcizení účtu, ať už zaměstnaneckého, či dokonce administrátorského, může útočníkům otevřít dveře k citlivým firemním informacím. Zákeřnost takového postupu tkví v tom, že v inkriminovanou dobu nemusí být vždy možné detekovat jakoukoli škodlivou aktivitu.

V cloudovém prostředí se útočníci zaměřují na vysoce privilegované, a tím pádem rizikové účty, jako jsou servisní cloudové nebo subscription účty. Podle Cloud Security Alliance patří tento typ útoku mezi tři největší bezpečnostní rizika v cloudovém prostředí.

Rizikových faktorů je v případě útoku na účet celá řada a většina z nich není nijak překvapivá. Možnosti prolomení hesla nahrává především slabá politika hesel. Proto je tak důležité pravidelné školení zaměstnanců v oblasti bezpečnosti, především ohledně socialingu a phishingových útoků. Jde o náročný dlouhotrvající proces, který však svým významem pro bezpečnost firmy předčí řadu nákladných technologických opatření.

Bezpečnost systému mohou narušit i externí aplikace

Jak už jsme zdůraznili, vnější perimetr cloudového prostředí je přístupný – narozdíl od on-premise řešení – nejen zaměstnancům nebo zákazníkům, ale také případným útočníkům. Proto i chyby autorizace přístupu ke službám, aplikacím či datům a konfigurační chyby mohou pro útočníka znamenat volnou vstupenku do firemního cloudového prostředí. Z toho důvodu je třeba provádět pravidelné audity konfigurace nastavení cloudových služeb a penetrační testy vnějšího perimetru cloudové infrastruktury.

Jedním ze způsobů, jímž se agresoři mohou dostat do systému, je sběr a sdílení cloudových dat s útočníkem, a to bez vědomí vlastníka a za pomoci spywaru. Spyware pronikne dovnitř jako skrytá komponenta aplikačního vybavení instalovaného v cloudu nebo skrze jiné sofistikované metody. Na začátku tohoto procesu může figurovat klamavá reklama, webová stránka, e-mail nebo IM (instant messaging). Řešení v tomto případě spočívá především v monitorování přihlášení z neobvyklých lokalit, v neobvyklých časech a pravidelné vyhodnocování rizik instalovaných aplikací a autorizovaných zařízení.

Jakkoli může být bezpečnost cílového systému na vysoké úrovni, nasazení externí aplikace snadno přispěje k její výrazné degradaci. Služby třetích stran, mezi něž patří i aplikace, mohou představovat závažné bezpečnostní riziko, a proto by měl jejich nasazení předcházet pečlivý výběr a schvalovací proces. Stejně tak je bezpečnostním rizikem vystavení služby (například SQL serveru) bez patřičného zabezpečení a hardeningu.

Nebezpečí se týká především veřejně vystavených zranitelných či nedostatečně konfigurovaných služeb, jako jsou databáze, úložiště, služby pro vzdálenou správu apod. Hrozbě nahrává nedostatečná kontrola přístupů (IP white-list) i absence provádění pravidelných záplat. Vedle penetračních testů a pravidelné aplikace updatů a patchů lze problém řešit především pečlivým výběrem aplikací třetích stran a omezením přístupu pouze pro povolené IP rozsahy.

Více než čtyři z deseti útoků jsou vedeny zevnitř firem

Přesun z on-premise řešení, včetně zachování všech interních bezpečnostních IT kontrol, není vždy možné uskutečnit v poměru 1:1. Cloudové prostředí má svá specifika, nástroje a služby. Firemní prostředky vystavené v cloudovém prostředí mimo firemní síť, provozované na infrastruktuře, kterou navíc společnost ani nevlastní, s sebou přinášejí zcela nové výzvy.

Bezpečný návrh cloudové infrastruktury a strategie je absolutním základem pro úspěšný a bezpečný přesun do cloudového prostředí, včetně samotného nasazení softwaru a následného provozu v něm. Pro společnost je rozhodující nasazení správných bezpečnostních nástrojů, které zajišťují dostatečnou vizibilitu a umožňují monitoring cloud-based zdrojů a jejich ochranu před útoky a útočníky z veřejné sítě, včetně těch interních.

Hovoříme-li o útočnících, kteří naleznou slabinu v našem vnějším perimetru a snaží se dostat dovnitř s cílem ukrást data, často mylně předpokládáme, že útok musí být veden „zvenčí“. Realita je však jiná. Podle průzkumu společnosti McAfee stojí za 43 % všech úniků dat útoky zevnitř společnosti a většinou jsou prováděné samotnými zaměstnanci. Abychom to však neviděli úplně černě, nemusí jít vždy o úmysl; únik dat může jít i na vrub obyčejné lidské chyby.

Přesto je pro společnosti klíčové správné nastavení off-boarding procesu, protože nemalé množství společností je „hacknuto“ právě nespokojenými bývalými zaměstnanci v důsledku jejich „odplaty“. Tzv. „insideři“ obvykle nemusí složitě obcházet firewally, virtuální privátní sítě a další bezpečnostní ochranné prvky, ale mohou v rámci důvěryhodné úrovně zneužít svých přístupů k získání citlivých dat, a mít tak přímý přístup do sítí a počítačových systémů.

Kybernetický zločin je výdělečný byznys

Cloudová infrastruktura je vystavena ve veřejném internetu, na sdílené platformě pro více zákazníků. Smyslem takového řešení je především optimalizovat náklady. Vzhledem k tomu, že tato infrastruktura není vždy dokonale zabezpečena, stává se pro svůj citlivý a cenný obsah vyhledávaným cílem profesionálních skupin útočníků, kteří mají v úmyslu na datech profitovat.

Útočníci mají propracovaný systém, díky němuž mohou nalezené zranitelnosti opakovat vůči celé řadě dalších uživatelů. Výjimkou nejsou kybernetické útoky sponzorované cizími státy nebo konkurencí. Cílem může být exfiltrace citlivých dat, jejich zašifrování, krádež obchodních tajemství, jejich následné zveřejnění, prodej nebo vydírání oběti. Ani střední či malé firmy proto dnes nesmí podceňovat ochranu proti DoS/DDoS útokům, nemluvě o pravidelně prováděných bezpečnostních auditech a penetračních testech.

Je-li společnost zcela závislá na cloudovém prostředí a provozuje-li v cloudu business-critical data nebo důležité interní či zákaznické aplikace, může ji útok cílící na odepření služby zcela ochromit. Při tomto typu útoku agresoři zahltí cílové systémy velkým množstvím webového provozu, který není možné kapacitně obsloužit, což vede k nedostupnosti služeb, a to nejen pro klienty, ale i pro samotné zaměstnance či obchodní partnery.

Bezpečnost máme stále ve svých rukách

Cílem tohoto textu nebylo podat kompletní výčet hrozeb v cloudovém prostředí a jejich řešení, jde spíše o nástin rizik typických právě pro cloud. To, zda budou zákazníci spoléhat na bezpečnost výchozí konfigurace cloudových služeb nebo dají přednost hardeningu konfigurace, je čistě jejich rozhodnutí.

Jedno je však jisté. Váhy odpovědnosti za určité oblasti se oproti klasickému on-premise řešení při nasazení v public cloudu výrazně liší. Pozitivním zjištěním je, že celá řada oblastí a jejich bezpečnost zůstává v našich rukách. Abychom je mohli chránit efektivně, musíme především vědět, proti čemu vlastně stojíme a bojujeme.

Stanislav Klubal Autor článku je Senior Cyber Security Specialist ve společnosti AEC a.s.