Široce používaná cloudová řešení významně zvyšují bezpečnostní riziko

Cloudy jsou v zásadě homogenní prostředí, které útočník může předem detailně prozkoumat, důkladně otestovat a najít v nich zranitelnosti, kterých může následně zneužít.

Jednoduše si zaplatí a dočasně se stane klientem Microsoftu, Googlu, Amazonu nebo nějaké jiné organizace provozující cloud a vyžádá si bezpečností politiky, standardy, příručky a vůbec veškerou dokumentaci a tu i dostane.

Jistě můžete namítnout, že v dobách, kdy organizace provozovaly datová centra, do kterých neměl kromě nich nikdo jiný přístup, tak se jednalo o security by obscurity přístup. Jistě, jednalo, ale tento přístup byl, je a bude jakou součást vícevrstvé ochrany nadále účinný. V okamžiku, kdy došlo v takovém prostředí k odhalení a zneužití zranitelnosti, tak tato zkušenost byla zpravidla nepřenositelná do jiného prostředí.

V případě cloudů je tomu ale jinak. Na široce používaná řešení umístěná v cloudech jsou vedeny celkem úspěšné útoky. To není nic nového a překvapujícího, protože útočníkovi stačí odhalit danou zranitelnost jen jednou a pak jim může opakovaně zneužít a to proti více subjektům. Jediné, co stojí mezí útočníkem a organizací, je první linie obrany a ta se může organizace od organizace lišit.

V případě přesunutí široce používaného řešení do cloudu tomu ale už tak docela není. Ono řešení totiž bude totiž provozováno ve zcela homogenním prostředí, rozuměj na naprosto stejně nakonfigurované síťové infrastruktuře a vícevrstvé hardwarové a softwarové architektuře a budou jej spravovat i stejní lidé. Je nesporné, že homogenní prostředí umožňuje dosáhnout výrazně nižších nákladů, ovšem na druhé straně nám zde významně roste agregované riziko.

Proto je tak výhodné hledat zranitelnosti a následně vést útok na celosvětově používaný procesor, zařízení, operační systém, framework, službu, aplikaci nebo plugin. Čím různorodější prostředí, tím komplexnější a tím náročnější je jej hacknout. (Matematicky to lze vyjádřit jako součin pravděpodobnosti překonání jednotlivých opatření.)

Že se nejedná jen o teorii lze doložit na řadě příkladů. Např. útok na nejmenované banky v bývalém SSSR byl z pohledu útočníků mimořádně úspěšný především proto, že banky používaly stejný transakční systém. Stejně tak to bylo v případě vzdálené správy bankomatů.

Útočníkovi se proto vyplatilo se s tímto systémem detailně seznámit a pak už pro něj bylo poměrně snadné zaútočit na další banku, která daný systém rovněž používala. A to útočník musel překonat ještě řadu dalších bezpečnostních opatření, která byla v jednotlivých bankách zavedena. (Útok trval cca rok.) A teď si představte, že by ty stejné transakční systémy byly umístěny v cloudu. O co jednodušší by to útočník měl, že.

Obdobná situace se pak opakovala i v případě systému SWIFT, který používají banky po celém světě. Zde v mnoha případech útočníka zastavil jen jiný operační systém (úspěšné útoky byly vedeny především na SWIFT běžící na OS od společnosti Microsoft), který daná banka používala. V případě cloudu by tomu tak opět nejspíš nebylo.

Výše uvedené konkrétní a dobře dokumentované případy názorně demonstrují nevýhody široce používaných řešení, které na jednu stranu snižují náklady na jejich vývoj, umožňují rychleji přicházet s tolik potřebnými inovacemi, ale na stranu druhou představují výrazně vyšší riziko v okamžiku, kdy je v nich objevena zranitelnost, kterou útočník dokáže zneužít a napadnout pak v podstatě všechny subjekty, které dané řešení využívají.

To je ostatně důvod, proč se třeba umísťování systémů spadající pod ZoKB do cloudů a nadto i mimo Českou republiku nejeví jako zrovna nejlepší řešení. Umísťování systémů do cloudů je každopádně trend, mnohdy podpořený i kreativním řízením rizik, se kterým nemá asi smysl bojovat. Nicméně vždy by měla proběhnout analýza rizik a zhodnocení, zda do cloudu jít, a pokud ano, tak za jakých podmínek. Organizace by měla uplatňovat tzv. Zero Trust princip a mít připravenou a otestovanou funkční exit strategii.

Pokud vás tento příspěvek zaujal, sdílejte ho!
Email this to someone
email
Share on LinkedIn
Linkedin
Tweet about this on Twitter
Twitter
Share on Facebook
Facebook
Print this page
Print

Štítky:


K článku “Široce používaná cloudová řešení významně zvyšují bezpečnostní riziko” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: