Hacked World

Hacked world

РусЗнающий об угрозах имеет шанс предотвратить их...
EngWho knows about threats, prevents them

Аналитика

Главная » Статьи » Угрозы

Угрозы облачных технологий

Угрозы, связанные с облачными вычислениями, облачными услугами или услугами "облачных вычислений", можно разделить на угрозы для:

  • потребителя облачных услуг;
  • поставщика облачных услуг

На сайте ФСТЭК России приведены следующие угрозы, связанные с облачными услугами

 

Код угрозы

Название угрозы

Описание с сайта ФСТЭК России

О чём здесь?

Угрозы потребителей облачных услуг

УБИ.66

Угроза неопределённости ответственности за обеспечение безопасности облака

Угроза заключается в возможности невыполнения ряда мер по защите информации как поставщиком облачных услуг, так и их потребителем.
Данная угроза обусловлена отсутствием чёткого разделения ответственности в части обеспечения безопасности информации между потребителем и поставщиком облачных услуг.
Реализация данной угрозы возможна при условии недостаточности документального разделения сфер ответственности между сторонами участвующими в оказании облачных услуг, а также отсутствия документального определения ответственности за несоблюдение требований безопасности

Вы выложили свои данные в облако, например, завели почту. Конечно, вы надеетесь, что Ваши данные защищает провайдер. А Вы об этом с ним договорились? Вы хотя бы Условия или SLA читали?

УБИ.138

Угроза потери управления собственной инфраструктурой при переносе её в облако

Угроза заключается в возможности допуска ошибок в управлении инфраструктурой системы потребителя облачных услуг, иммигрированной в облако, со стороны поставщика облачных услуг из-за отсутствия у него сведений об особенностях управления конкретной системы, а также из-за отсутствия у потребителя облачных услуг, обладающего такими сведениями, возможности проводить весь комплекс работ по управлению инфраструктурой собственной системы в связи с её иммиграцией в облако.
Данная угроза обусловлена невозможностью достоверной оценки потребителем облачных услуг реального уровня защищённости, обеспечиваемого поставщиком облачных услуг в отношении защищаемой информации потребителя облачных услуг, в связи с закрытостью для потребителей сведений о применяемых поставщиком облачных услуг технологиях, программных и технических решениях, а также конкретных параметрах настроек средств защиты информации.
Реализация данной угрозы возможна в случаях передачи поставщику облачных услуг части функций управления системой потребителя облачных услуг (при миграции части или всей системы в облако)

Перенесли вы свою ИС в облако – хорошо. Теперь ею кто-то занимается. Желаете по-управлять своей ИСкой по старому? Нет старых кнопок управления и пунктов меню? Зато, есть много другого функционала, который тебе раньше не был нужен :(

УБИ.134

Угроза потери доверия к поставщику облачных услуг

Угроза заключается в возможности снижения уровня защищённости и допущения дополнительных ошибок в обеспечении безопасности защищаемой в облачной системе информации из-за невосполнимого оттока у поставщика облачных услуг необходимых ресурсов в связи с потерей потребителями облачных услуг доверия к их поставщику.
Данная угроза обусловлена тем, что из-за обнародования фактов об инцидентах информационной безопасности, связанных с поставщиком облачных услуг, происходит потеря доверия к такому поставщику со стороны потребителей облачных услуг, и, как следствие, возникает необходимость лавинообразного выделения поставщиком облачных услуг ресурсов (человеческих, технических, финансовых) для решения возникающих в данной ситуации задач (множественные консультации пользователей, экстренный пересмотр политик безопасности, модернизация системы защиты и др.), что не только может вызвать нехватку ресурсов для обеспечения текущего уровня защищённости информации, но и спровоцировать допуск «в спешке» новых ошибок.
Реализация данной угрозы возможна в случае обнародования единичных или множественных фактов об инцидентах информационной безопасности, связанных с поставщиком облачных услуг, повлёкших значительные убытки для его клиентов

Как «банк, который лопнул», как «финансовая пирамида» облачный провайдер, в случае значительного оттока клиентов (чаще по причине потери доверия) не будет иметь достаточно средств для поддержания заявленного уровня оказания услуг оставшимся клиентам

УБИ.141

Угроза привязки к поставщику облачных услуг

Угроза заключается в возможности возникновения трудно решаемых (или даже неразрешимых) проблем технического, организационного, юридического или другого характера, препятствующих осуществлению потребителем облачных услуг смены их поставщика.
Данная угроза обусловлена отсутствием совместимости между форматами данных и программными интерфейсами, используемыми в облачных инфраструктурах различных поставщиков облачных услуг.
Реализация данной угрозы возможна при условии использования поставщиком облачных услуг нестандартного программного обеспечения или формата образов виртуальных машин и отсутствием средств преобразования образа виртуальной машины из используемого им формата в другой (используемый другим поставщиком)

Угроза простая. Вы давно используете облачные услуги одного провайдера. И тут что-то случилось: у провайдера отобрали лицензию, попал в списки Роскомнадзора, поднялись цены – неважно что, но Вам надо сменить провайдера. И тут Вы понимаете, что миграция «сопряжена с непреодолимыми техническими трудностями»

УБИ.137

Угроза потери управления облачными ресурсами

Угроза заключается в возможности нарушения договорных обязательств со стороны поставщика облачных услуг в отношении их потребителя из-за значительной сложности построения эффективной системы управления облачными ресурсами облачной системы, особенно использующей облачные ресурсы других поставщиков облачных услуг.
Данная угроза обусловлена сложностью определения логического и физического местоположения защищаемой информации и облачных ресурсов, недостаточностью физического контроля доступа к хранилищам данных, надёжностью резервного копирования и др., а также необходимостью учёта особенностей законодательства в области защиты информации стран, резидентами которых являются поставщики облачных услуг, являющиеся субподрядчиками по оказанию заказанных облачных услуг.
Реализация данной угрозы возможна при условии, что выполнение требований к функционалу облачной системы затрудняется (или становится невозможным) из-за правовых норм других стран, участвующих в трансграничной передаче облачного трафика

Вы потеряли учётные данные, у Вас «угнали» учётку, Ваш провайдер Вас не узнаёт (говорит: «неверный ответ на секретный вопрос»)? Так облачный сервер может быть доступен, но только на чтение, или доступен, но не Вам…

УБИ.135

Угроза потери и утечки данных, обрабатываемых в облаке

Угроза заключается в возможности нарушения конфиденциальности, целостности и доступности защищаемой информации потребителей облачных услуг, обрабатываемой в облачной системе.
Данная угроза обусловлена слабостями мер защиты информации, обрабатываемой в облачной системе.
Реализация данной угрозы возможна в случае допущения поставщиком (некорректный выбор или настройка средств защиты) или потребителем (потеря пароля, электронного ключа, вход с небезопасной консоли) облачных услуг ошибок при обеспечении безопасности защищаемой информации

Наши данные в облаке, которое доступно в режиме 24/7/365. Что может быть стабильней для всех, кто хочет денег? Цель большая, дорогая и никуда не денется.
Утечка данных из облаков возрастает быстрее их собственного роста (уже более 40 % от всех утечек)

Угрозы поставщиков облачных услуг

УБИ.65

Угроза неопределённости в распределении ответственности между ролями в облаке

Угроза заключается в возможности возникновения существенных разногласий между поставщиком и потребителем облачных услуг по вопросам, связанным с определением их прав и обязанностей в части обеспечения информационной безопасности.
Данная угроза обусловлена отсутствием достаточного набора мер контроля за распределением ответственности между различными ролями в части владения данными, контроля доступа, поддержки облачной инфраструктуры и т. п.
Возможность реализации данной угрозы повышается в случае использования облачных услуг, предоставляемых другими поставщиками (т.е. в случае использования схемы оказания облачных услуг с участием посредников)

Существует схема субаренды облачных мощностей. При этом цепочка поставщиков облачных услуг может иметь неограниченный размер (лишь бы совместимы). Кто за что отвечает при этом, бывает сложно понять

УБИ.96

Угроза несогласованности политик безопасности элементов облачной инфраструктуры

Угроза заключается в возможности осуществления нарушителем деструктивных программных воздействий как в отношении поставщиков, так и потребителей облачных услуг.
Данная угроза обусловлена недостаточностью проработки вопроса управления политиками безопасности элементов облачной инфраструктуры вследствие значительной распределённости облачной инфраструктуры.
Реализация данной угрозы возможна при условии использования различных политик безопасности, несогласованных между собой (например, одно средство защиты может отказать в доступе, а другое – предоставить доступ)

Каждый из цепочки поставщиков облачных услуг выполняет (должен выполнять) функции безопасности. При этом в силу сложности согласования политик безопасности между крупными организациями, вопрос обеспечения безопасности может так и не быть решён

УБИ.70

Угроза непрерывной модернизации облачной инфраструктуры

Угроза заключается в возможности занесения в облачную систему уязвимостей и слабостей вместе с добавлением нового программного или аппаратного обеспечения. При этом система, рассматриваемая как защищённая на этапе ввода её в эксплуатацию, уже не может считаться таковой после её модернизации.
Данная угроза обусловлена тем, что, во-первых, поставщики облачных услуг предоставляют возможность осуществления потребителем облачных услуг выбора и (или) изменения первоначального состава программного обеспечения облачной инфраструктуры в процессе оказания таких услуг, а, во-вторых, при интенсивном подключении новых потребителей модернизация облачной инфраструктуры может проходить несколько раз в год.
Реализация данной угрозы возможна в случае, если срок до следующей модернизации не превышает срока проведения оценки соответствия системы требованиям безопасности в условиях отсутствия системы менеджмента облачных услуг и обеспечения их безопасности (системы облачного менеджмента)

Синонимом данной угрозы является не «стремление к совершенству», а «вечный ремонт». Работать в системе, которая постоянно переделывается, обновляется сложно, но интересно ;)

УБИ.142

Угроза приостановки оказания облачных услуг вследствие технических сбоев

Угроза заключается в возможности снижения качества облачных услуг (или даже отказа в их оказании конечным потребителям) из-за возникновения технических сбоев хотя бы у одного из поставщиков облачных услуг (входящих в цепь посредников при оказании облачных услуг их конечному потребителю), а также из-за возникновения существенных задержек или потерь в каналах передачи данных, арендуемых потребителем или поставщиками облачных услуг.
Данная угроза обусловлена слабостями процедуры контроля за выполнением технического обслуживания и соблюдением режимов функционирования технических средств облачной информационной системы.
Реализация данной угрозы возможна при условии отсутствия механизмов резервирования средств обработки, хранения и передачи информации, входящих в состав облачной информационной системы

Классика жанра:

- Почему не работаем?!

- Песок не подвезли…

 

Или:

- Где газ, который вошёл в трубу?

- Шо, какой газ??

УБИ.52

Угроза невозможности миграции образов виртуальных машин из-за несовместимости аппаратного и программного обеспечения

Угроза заключается в возможности возникновения у потребителя облачных услуг непреодолимых сложностей для смены поставщика облачных услуг из-за технических сложностей в реализации процедуры миграции образов виртуальных машин из облачной системы одного поставщика облачных услуг в систему другого.
Данная угроза обусловлена тем, что каждый поставщик облачных услуг использует для реализации своей деятельности аппаратное и программное обеспечение различных производителей, часть которого может использовать специфические (для данного производителя) инструкции, протоколы, методы, схемы коммутации и другие особенности реализации своего функционала.
Реализация данной угрозы возможна в случае несовместимости стандартных программных интерфейсов обмена данными (API) для реализации процедуры миграции образов виртуальных машин между различными поставщиками облачных услуг в одном или обоих направлениях.
Также данная угроза обуславливает ограничение возможности смены производителей аппаратного и программного обеспечения поставщиком облачных услуг, что может привести к нарушению целостности и доступности информации по вине поставщика облачных услуг

Облачное ПО не кроссплатформенное. Каждый облачный провайдер старается использовать системное ПО максимально быстродействующее (адаптированное, «допиленное») на его оборудовании

УБИ.64

Угроза некорректной реализации политики лицензирования в облаке

Угроза заключается в возможности отказа потребителям облачных услуг в удалённом доступе к арендуемому программному обеспечению (т.е. происходит потеря доступности облачной услуги SaaS) по вине поставщика облачных услуг.
Данная угроза обусловлена недостаточностью проработки вопроса управления политиками лицензирования использования программного обеспечения различных производителей в облаке.
Реализация данной угрозы возможна при условии, что политика лицензирования использования программного обеспечения основана на ограничении количества его установок или числа его пользователей, а созданные виртуальные машины с лицензируемым программным обеспечением использованы много раз

Самый простой пример – Вам нужно арендовать по схеме SaaS программу, лицензия на которою выдаётся только на год. А Вам на пару дней/недель. Что делать провайдеру SaaS, отказать Вам? Купить и переплатить. В итоге Вы можете остаться без доступа к этой программе

УБИ.40

Угроза конфликта юрисдикций различных стран

Угроза заключается в возможности отказа в трансграничной передаче защищаемой информации в рамках оказания облачных услуг в соответствии с требованиями локального законодательства стран, резиденты которых участвуют в оказании облачных услуг.
Данная угроза обусловлена тем, что в зависимости от особенностей законодательства различных стран, резиденты которых участвуют в оказании облачных услуг, при обеспечении информационной безопасности могут использоваться правовые меры различных юрисдикций.
Реализация данной угрозы возможна при условии того, что на обеспечение информационной безопасности в ходе оказания облачных услуг накладываются правовые меры различных юрисдикций, противоречащих друг другу в ряде вопросов

Вы решили сохранить криптофайл в облаке. Но если Ваше хранилище территориально окажется в стране, где нельзя использовать шифрование в личных целях – Вы лишитесь файлов :(

УБИ.56

Угроза некачественного переноса инфраструктуры в облако

Угроза заключается в возможности снижения реального уровня защищённости иммигрирующей в облако информационной системы из-за ошибок, допущенных при миграции в ходе преобразования её реальной инфраструктуры в облачную.
Данная угроза обусловлена тем, что преобразование даже части инфраструктуры информационной системы в облачную зачастую требует проведения серьёзных изменений в такой инфраструктуре (например, в политиках безопасности и организации сетевого обмена данными).
Реализация данной угрозы возможна в случае несовместимости программных и сетевых интерфейсов или несоответствий политик безопасности при осуществлении переноса информационной системы в облако

Тут всё понятно – работа, которую плохо делают, вряд ли даст хороший результат

УБИ.55

Угроза незащищённого администрирования облачных услуг

Угроза заключается в возможности осуществления опосредованного деструктивного программного воздействия на часть или все информационные системы, функционирующие в облачной среде, путём перехвата управления над облачной инфраструктурой через механизмы удалённого администрирования.
Данная угроза обусловлена недостаточностью внимания, уделяемого контролю вводимых пользователями облачных услуг данных (в том числе аутентификационных данных), а также уязвимостями небезопасных интерфейсов обмена данными (API), используемых средствами удалённого администрирования.
Реализация данной угрозы возможна в случае получения нарушителем аутентификационной информации (при их вводе в общественных местах) легальных пользователей, или эксплуатации уязвимостей в средствах удалённого администрирования

Опять же просто. Не желаешь защищать себя, заставят хакеры

УБИ.101

Угроза общедоступности облачной инфраструктуры

Угроза заключается в возможности осуществления несанкционированного доступа к защищаемой информации одного потребителя облачных услуг со стороны другого.
Данная угроза обусловлена тем, что из-за особенностей облачных технологий потребителям облачных услуг приходится совместно использовать одну и ту же облачную инфраструктуру.
Реализация данной угрозы возможна в случае допущения ошибок при разделении элементов облачной инфраструктуры между потребителями облачных услуг, а также при изоляции их ресурсов и обособлении данных друг от друга

Если Вы совместно арендуете один склад, то сделать проход к чужому добру проще через перегородку, чем поникнуть через внешние стены и защищаемый периметр

УБИ.164

Угроза распространения состояния «отказ в обслуживании» в облачной инфраструктуре

Угроза заключается в возможности распространения негативных последствий от реализации угроз на физическом или виртуальном уровне облачной инфраструктуры на уровни управления и оркестровки, а также на все информационные системы, развёрнутые на базе дискредитированной облачной инфраструктуры.
Данная угроза обусловлена невозможностью функционирования информационных систем, иммигрированных в облако, при некорректной работе самой облачной инфраструктуры, а также зависимостью работоспособности верхних уровней облачной инфраструктуры от работоспособности нижних.
Реализация данной угрозы возможна в случае приведения облачной инфраструктуры на физическом или виртуальном уровне облачной инфраструктуры в состояние «отказ в облуживании»

Умрёт гипервизор – остановится вся виртуальная инфраструктура. Вырубят свет, пожар – не будет облака

УБИ.43

Угроза нарушения доступности облачного сервера

Угроза заключается в возможности прекращения оказания облачных услуг всем потребителям (или группе потребителей) из-за нарушения доступности для них облачной инфраструктуры.
Данная угроза обусловлена тем, что обеспечение доступности не является специфичным требованием безопасности информации для облачных технологий, и, кроме того, облачные системы реализованы в соответствии с сервис-ориентированным подходом.
Реализация данной угрозы возможна при переходе одного или нескольких облачных серверов в состояние «отказ в обслуживании». Более того, способность динамически изменять объём предоставляемых потребителям облачных услуг может быть использована нарушителем для реализации угрозы. При этом успешно реализованная угроза в отношении всего лишь одного облачного сервиса позволит нарушить доступность всей облачной системы

Облачный сервер может быть недоступен по ряду причин, например, обновление, программная ошибка…, не важно, вместе с ним Вы можете перестать получать Ваши облачные услуги

УБИ.54

Угроза недобросовестного исполнения обязательств поставщиками облачных услуг

Угроза заключается в возможности раскрытия или повреждения целостности поставщиком облачных услуг защищаемой информации потребителей облачных услуг, невыполнения требований к уровню качества (уровню доступности) предоставляемых потребителям облачных услуг доступа к их программам или иммигрированным в облако информационным системам.
Данная угроза обусловлена невозможностью непосредственного контроля над действиями сотрудников поставщика облачных услуг со стороны их потребителей.
Реализация данной угрозы возможна в случаях халатности со стороны сотрудников поставщика облачных услуг, недостаточности должностных и иных инструкций данных сотрудников, недостаточности мер по менеджменту и обеспечению безопасности облачных услуг и т.д.

Вы не можете гарантировать, что провайдер обеспечит для Вас завтра полноценное функционирование облака. И он не даст абсолютных гарантий, только то, что написано в SLA

УБИ.21

Угроза злоупотребления доверием потребителей облачных услуг

Угроза заключается в возможности нарушения (случайно или намеренно) защищённости информации потребителей облачных услуг внутренними нарушителями поставщика облачных услуг.
Данная угроза обусловлена тем, что значительная часть функций безопасности переведена в сферу ответственности поставщика облачных услуг, а также невозможностью принятия потребителем облачных услуг мер защиты от действий сотрудников поставщика облачных услуг.
Реализация данной угрозы возможна при условии того, что потребители облачных услуг не входят в состав организации, осуществляющей оказание данных облачных услуг (т.е. потребитель действительно передал поставщику собственную информацию для осуществления её обработки)

Да, сотрудники облачных провайдеров такие же люди как и другие. Им тоже что-то нужно в этой жизни

УБИ.20

Угроза злоупотребления возможностями, предоставленными потребителям облачных услуг

Угроза заключается в возможности осуществления потребителем облачных услуг (нарушителем) рассылки спама, несанкционированного доступа к виртуальным машинам других потребителей облачных услуг или осуществления других деструктивных программных воздействий на различные системы с помощью арендованных ресурсов облачного сервера.
Данная угроза обусловлена тем, что потребитель облачных услуг может устанавливать собственное программное обеспечение на облачный сервер.
Реализация данной угрозы возможна путём установки и запуска потребителем облачных услуг вредоносного программного обеспечения на облачный сервер. Успешная реализация данной угрозы потребителем облачных услуг оказывает негативное влияние на репутацию поставщика облачных услуг

Самый наглядный пример – DDOS as a Service. Схему придумайте сами. Это несложно

 


Если Вам понравилось - поделитесь ссылкой с друзьями в соцсетях. Кнопки ниже:
Категория: Угрозы | Добавил: vaminakov (12.02.2017)
Просмотров: 1055 | Теги: Угрозы облачных технологий, Угрозы облачных услуг, Угрозы ИБ, угрозы | Рейтинг: 5.0/3
Всего комментариев: 0
avatar
Среда
21.08.2019
06:15
Вход на сайт
Категории раздела
Угрозы [5]
Аналитические материалы об угрозах, моделях угроз безопасности информации
Уязвимости [1]
Уязвимости кода, конфигурации, документации
Средства и меры [2]
Средства защиты информации, меры защиты информации. Их применение. Проблемы и решения
Требования и рекомендации [5]
Требования нормативных правовых актов. Рекомендации методических документов. ФСТЭК России. ФСБ России. NIST. ISO. ISACA
Популярное
Поиск
Наш опрос
Следует ли использовать сертифицированные средства ЗИ
Всего ответов: 6
Автор в медиа
Блоггер
Читатель твиттера
Архитектор систем защиты информации
Статистика

Онлайн всего: 1
Гостей: 1
Пользователей: 0