Туманные перспективы облачной безопасности: доступ к данным пока не защищен

22.06.2018      7176

Потеря конфиденциальной информации или части инфраструктуры компании влечет огромные убытки. Обзор последних новостей показывает, что выбор между облаком или локальным сервером все еще актуален.

Недавно мы рассказывали о расширении возможностей облачного хранения корпорации IBM. Это часть глобальной тенденции – переноса сервисов и служб на распределенные сетевые сервера. Облачные приложения, средства хранения и систематизации информации, использование удаленных вычислительных мощностей, клиент-банки и даже облачные ОС – далеко не полный список технологий, применяющих распределенные сервера. Однако, как у любой передовой технологии, у таких систем есть и обратная сторона – необходимость высокого уровня безопасности и стабильности.

22 тысячи серверов не защищены

Компания Lacework провела исследование уязвимостей облачных серверов. Выяснилось, что 22 тыс. систем управления контейнерами и API интерфейсов не защищены, имеют слабую защиту аутентификации и используют небезопасные протоколы передачи данных. 305 из них и вовсе не защищены паролем. А 22, 6 тыс. платформ имеют открытый доступ из интернета к панели администратора. Многие облака не используют SSL-сертификатов.

Таким образом, большинство этих платформ может легко обнаружить любой пользователь сети и получить доступ к информации или управлению. Готовы ли вы доверить свои данные и инфраструктуру компании незащищенному хостингу?

Казусы с безопасностью

Данные двух серверов TeenSafe оказались не защищены паролем и были доступны для всех желающих. Об этом сообщил британский исследователь интернет-безопасности Роберт Виггинс, который обнаружил два открытых сервера компании, размещенных на облаке Amazon.

После того, как информация просочилась в прессу, доступ к серверам был закрыт, а представитель сервиса заявил: «Мы приняли меры для закрытия одного из наших серверов для общественности и начали предупреждать клиентов, которые потенциально могут быть затронуты».

Также эксперты «Лаборатории Касперского» обнаружили уязвимости в популярных облачных системах для видеонаблюдения. Они работали со смарт-камерами и использовались в основном в качестве радионянь.

По заявлению представителей «Лаборатории Касперского», смарт-камеры фирмы Hanwha Techwin производят обмен данными по протоколу XMPP и могут быть легко взломаны злоумышленниками, зарегистрировавшимися под произвольной учетной записью в системе. В результате, хакеры могут получить доступ к видеоматериалам любой камеры, украсть личные данные или удаленно вывести камеру из строя.

И это не считая классического сценария подмены изображения для конечного пользователя с целью проникновения в дом.

По дороге с облаками

В то же время многие производители антивирусного ПО и систем ИТ-безопасности уже работают над защитой облачных серверов.

Trend Micro выпустило компонент Smart Check, который проверяет образы контейнеров еще до их развертывания, чтобы выявлять вредоносное ПО и уязвимости. Вице-президент компании Билл Макги объяснил: «Платформы с поддержкой контейнеров позволили организациям ускорить цикл разработки программного обеспечения, и те не готовы снова замедлять его ради дополнительных мер безопасности. При этом обеспечение мер безопасности – необходимое требование для любой рабочей среды, и использование контейнеров этого не отменяет».

«Лаборатория Касперского» также работает над решением для защиты гибридного облака. Kaspersky Security призвана обеспечить безопасность гибридной инфраструктуры, интегрированной с Amazon Web Services (AWS) и Microsoft Azure. Она включает в себя компоненты технологий предотвращения активности эксплойтов, оценку уязвимостей и автоматизированное управление патчами обновлений. 

Спускаемся с облаков

Мы уже не раз поднимали тему эффективного использования облачных вычислений и хранения данных. Но не стоит забывать и о рисках. Стабильность работы часто нарушается региональными блокировками, как в случае с Telegram и Google. Безопасность данных часто оказывается под угрозой из-за недобросовестных провайдеров или низкого уровня защиты. IoT-разработки в этом отношении вызывают особое беспокойство. Доступ к вашим данным, онлайн-камерам, смартфону, ноутбуку через уязвимое облако может представлять вполне физическую угрозу безопасности.

 


Автор:
Обозреватель


Комментарии
В избранное Подписаться на ответы Сортировка: Древо развёрнутое
Свернуть все
1. evn-zorin 28 22.06.18 22:57 Сейчас в теме
насколько надо быть отчаянным собственником, чтобы свою базу кинуть в "облако"?
2. pm74 217 25.06.18 09:39 Сейчас в теме
(1) думаете на вашем сервере безопаснее ?
user915127; +1 Ответить
3. sergathome 3 25.06.18 09:49 Сейчас в теме
(1) Бывают ситуации, когда это оказывается фактически единственным приемлемым выходом. Да, приходится рисковать. Понятно, что сбербанк так делать не будет, а для ООО "Лейла" это вполне себе выход...
4. evn-zorin 28 25.06.18 12:36 Сейчас в теме
потом начинаются вопли - база тормозит
Оставьте свое сообщение

См. также

«Сбер» начнет использовать российские TLS-сертификаты для платежного шлюза

Новость Безопасность ИТ-новость Минцифры

Банк запланировал переход на сертификаты, выпущенные Национальным удостоверяющим центром (НУЦ) Минцифры, на 30 января 2023 года. Клиентам необходимо добавить на свои серверы корневой сертификат ведомства.

вчера в 09:45    1306    VKuser24342747    0       

Минцифры подготовило правила отказа от передачи биометрических данных

Новость ИТ-новость Минцифры

Гражданин имеет право отказаться от сбора и распространения своих биометрических данных. Отказ можно оформить в МФЦ только при личном присутствии.

24.01.2023    1000    VKuser24342747    0       

Банки смогут получить право на передоверие полномочий по электронной подписи

Новость ИТ-новость Цифровая подпись Цифровая экономика

Комитет Госдумы рекомендует принять соответствующий законопроект. Документ позволит компаниям финансового сектора использовать электронную подпись наравне с другими организациями.

20.01.2023    879    VKuser24342747    0       

«ВКонтакте» начал поддерживать получение уведомлений от Госуслуг

Новость Госуслуги ИТ-новость Мессенджеры Налоги

Оповещения с Единого портала госуслуг будут отображаться в Вконтакте и приложении «VK Мессенджер». Кроме того, стала доступна оплата штрафов ГИБДД прямо в VK.

19.01.2023    1001    VKuser24342747    0       

Минцифры подготовило правила аккредитации госорганов на владение информсистемами для биометрии

Новость Законодательство ИТ-новость Минцифры

Проект постановления содержит требования к Цетробанку и госорганам, а также к сторонним организациям, которые будут привлекаться ведомствами в качестве операторов. Требования согласованы с ФСБ.

19.01.2023    911    VKuser24342747    0       

Утвержден профстандарт специалиста по информационной безопасности

Новость Безопасность ИТ-новость

Новый профстандарт вступит в силу 1 сентября 2023 года. А пока у работодателей в кредитно-финансовой сфере есть время проанализировать трудовой функционал специалистов по ИБ и при необходимости уточнить его.

17.01.2023    1577    user1816563    0       

Национальная система пространственных данных начала работу в России

Новость ИТ-новость Цифровая экономика

Пилотный проект по запуску цифровой платформы стартовал в четырех регионах РФ. При помощи системы можно получать актуальные данные о земле и недвижимости, пользоваться электронными сервисами.

12.01.2023    1765    VKuser24342747    0       

Госдума рассмотрит законопроект о цифровом рубле

Новость Законодательство ИТ-новость Цифровая экономика

Документ определяет выпуск и обращение цифрового рубля на территории России, назначает оператора нового платежного средства и его полномочия и обязанности по сохранности денег пользователей.

11.01.2023    3618    VKuser24342747    2       

Оператором Единой биометрической системы стал «Центр Биометрических Технологий»

Новость ИТ-новость

Ранее за работу платформы отвечал «Ростелеком». На «Центр Биометрических Технологий» возложены задачи по развитию в России цифровых технологий идентификации и аутентификации, в том числе на основе биометрических персональных данных.

22.12.2022    2420    VKuser24342747    2       

GitHub бесплатно проверит репозитории на наличие секретных токенов

Новость GitHub Безопасность ИТ-новость

ИТ-хостинг запустил систему сканирования общедоступных репозиториев, чтобы предотвратить случайное раскрытие конфиденциальной информации, такой как учетные данные и токены аутентификации.

22.12.2022    1787    VKuser24342747    1       

GitHub к концу 2023 года введет обязательную двухфакторную аутентификацию

Новость GitHub Безопасность ИТ-новость

Веб-хостинг потребует от всех пользователей, загружающих код, включить двухфакторную аутентификацию (2FA) для дополнительной защиты своих аккаунтов.

21.12.2022    2066    VKuser24342747    0       

Госдума рассмотрит законопроект о провайдере для госсайтов

Новость Государственные, бюджетные структуры Законодательство ИТ-новость

Документ предусматривает запрет на размещение государственных информационных ресурсов на хостингах, не включенных в специальный реестр. Сейчас около 20% ресурсов госорганов размещены на иностранных площадках.

20.12.2022    1692    VKuser24342747    1       

«Яндекс» открыл доступ к фреймворку Yatagan для сборки Android-приложений

Новость ИТ-новость Яндекс Разработка

Инструмент свободно распространяется через GitHub. Перед публикацией в открытом доступе фреймворк долгое время применялся во внутренних проектах компании. Решение основано на API Dagger.

16.12.2022    2515    VKuser24342747    1       

В России появится национальная издательская система вместо иностранных аналогов

Новость Импортозамещение ИТ-новость

Программный комплекс будет создан на базе существующего отечественного решения Axiocat. Сейчас это приложение не внесено в Единый реестр российского ПО, хотя применяется некоторыми компаниями.

15.12.2022    1733    VKuser24342747    0       

Google рассказала о проблемах и преимуществах поддержки разработки на Rust в Android 13

Новость Google ИТ-новость Языки программирования

По итогам внедрения поддержки разработки на Rust снизилось число уязвимостей, связанных с управлением памятью. Инженеры считают, что основное внимание нужно уделить написанию нового кода, а не переписыванию старого.

14.12.2022    1809    VKuser24342747    0       

Банки обяжут принимать оплату по картам «Мир» с QR-кодом в смартфоне

Новость Банки ИТ-новость

Оператор платежной системы «Мир» разослал российским банкам документ с требованием обеспечить прием платежей по новой технологии. Первый этап внедрения завершится в апреле 2023 года.

14.12.2022    2012    VKuser24342747    1       

Госдума рассмотрит законопроект о создании Национального удостоверяющего центра

Новость Законодательство Интернет ИТ-новость

Информационная система позволит российским сайтам получать сертификаты безопасности без участия иностранных организаций. Для их выдачи будет применяться отечественная криптография.

09.12.2022    1863    VKuser24342747    0       

Госдума планирует отложить срок обязательного перехода на машиночитаемые доверенности

Новость Законодательство ИТ-новость

Госдума в первом чтении одобрила законопроект, который продлевает переходный период для машиночитаемых доверенностей. Еще полгода организации смогут не применять МЧД при использовании электронных подписей.

08.12.2022    1948    VKuser24342747    0       

GitHub опубликовал статистику по языкам и проектам за 2022 год

Новость ИТ-новость Языки программирования Разработка

В статистическом отчете репозитория названы самые популярные языки программирования среди пользователей платформы, а также данные об активности аудитории сервиса.

01.12.2022    2335    VKuser24342747    11       

Инспекторы смогут проводить дистанционные проверки через смартфон

Новость ИТ-новость Мобильные приложения

Минэкономразвития представило мобильное приложение, которое позволит осуществлять надзорные мероприятия бизнеса без посещения офиса. Программа работает через Госуслуги.

28.11.2022    2297    VKuser24342747    0       

«Яндекс» представил бесплатный сервис для быстрого поиска в облаке

Новость ИТ-новость Облачные технологии

Сервис Managed Service for OpenSearch от платформы Yandex Cloud предназначен для оптимизации поисковых систем и проверки стабильности и безопасности работы приложений. Услуга доступа в режиме Public Preview.

24.11.2022    3064    VKuser24342747    1       

В декабре начнут действовать новые правила регистрации доменов .RU и .РФ

Новость ИТ-новость Роскомнадзор

С 12 декабря Роскомнадзор получит право прекращать делегирование домена, если он оформлен нелегально, или на сайте содержится запрещенная в России информация.

23.11.2022    2226    VKuser24342747    1       

Stack Overflow запустил проект для оффлайн-доступа к форуму

Новость ИТ-новость Разработка

Проект под названием Overflow Offline позволяет скачать актуальную версию архива вопросов и ответов по разработке ПО. По объему данных база форума уступает только «Википедии».

02.11.2022    2103    VKuser24342747    1       

Минцифры запустило магазин российского ПО из реестра ИТ-решений

Новость Импортозамещение ИТ-новость

Маркетплейс «Руссофт» стал доступен для всех пользователей. С его помощью можно подобрать программы от отечественных разработчиков для решения корпоративных задач бизнеса.

21.10.2022    2487    VKuser24342747    4       

В ноябре начнется создание российского государственного аналога GitHub

Новость ИТ-новость

Правительство озвучило дату запуска эксперимента по разработке отечественного репозитория ПО. Исходники программ, в том числе разработанных для госорганов, будут публиковаться в нем под открытой лицензией.

19.10.2022    3393    VKuser24342747    14