Cloudy jako základ stínového IT: Jak tomu správně čelit?

Když jednotlivci či celá oddělení obejdou IT, aby získali cloudové služby a aplikace, jsou bezpečnostní týmy slepé vůči zranitelnostem zabezpečení a souvisejícím problémům s dodržováním předpisů.

Cloudy jako základ stínového IT: Jak tomu správně čelit?


Stává se to v každé společnosti. Zaměstnanci najdou skvělou novou službu on-line, která jim dokáže zvýšit produktivitu. Vytvoří si bezplatné nebo levné účty na zařízeních, jež používají pro práci, a přesvědčí všechny své přátele a kolegy, aby se přidali.

Tato nová cloudová služba je přece skvělá, uživatelské rozhraní je radost používat a nabízí také mobilní aplikaci.

Špatnou zprávou je, že tyto neschválené cloudové aplikace a služby vytvářejí ve firmě stínové informační technologie, čímž obcházejí hned několik oddělení: IT, dodržování předpisů a nákupy.

Taková aplikace může zároveň porušovat oborové předpisy nebo vystavovat společnost závažným bezpečnostním rizikům. Protože však zakořenila, je příliš obtížné přimět uživatele, aby ji přestali používat.

 

Jak velké je to riziko?

Podle nedávno vydané zprávy společnosti Netskope o využití cloudu využívají zaměstnanci průměrného podniku 1 022 různých cloudových služeb a více než 90 % z nich není podnikové třídy, což znamená, že nenabízejí pro společnosti potřebnou správu, zabezpečení a kompatibilitu s předpisy.

Například 67 procent cloudových služeb ve svých smluvních podmínkách nedefinuje, že data vlastní zákazník, a více než 80 procent z nich data při ukládání nešifruje.

Průzkum mezi 900 znalostními pracovníky zveřejněný společností Harmon.ie zjistil, že 48 procent respondentů připouští, že využívají aplikace neschválené oddělením IT včetně aplikací pro zápis poznámek, správu projektů a sdílení souborů.

Například společnost Optiv Security poskytuje služby posuzování cloudových rizik, v rámci nichž po určitou dobu sleduje používání webových stránek společnosti a pak jí oznámí informace o používaných cloudových aplikacích.

„Nacházíme doslova tisíce aplikací používaných v organizaci,“ tvrdí John Tuner, ředitel pro cloudovou bezpečnost v Optiv Security. Pro IT personál je to podle něj často docela šok. A ještě větší šok to je, když podrobněji popíšou nejen tisíce aplikací, ale také využití těchto aplikací, množství dat, která protékají tam a zpět, a typy těchto dat.

Pokusy vše zakázat jen nutí uživatele přejít do příslovečného podzemí, čímž se problém jen zhoršuje, nebo se z obchodních jednotek vzedme tak velký odpor, že se od pokusu upustí.

„Ve většině případů jsou přínosy produktivity často obchodní prioritou organizace,“ prohlašuje Tuner. „V případě zablokování dostanou blokující týmy týdně čtyři až pět žádostí o odblokování nových aplikací. V mnoha případech jsou pak přehlasovaní někým v postavení nad bezpečnostním oddělením.“

„Cloudová řešení se množí pro téměř každý problém, kterému čelí společnosti v podstatě v každém oboru,“ tvrdí Alvaro Hoyos, ředitel zabezpečení ve společnosti OneLogin. „Pokud má někdo z vašich týmů nějaký problém, je pravděpodobné, že pro něj už existuje řešení.“

Je to obrovská potíž, která se navíc jen zhoršuje, varuje David Holmes, evangelista výzkumu hrozeb ve společnosti F5 Networks. „Každá malá služba, kterou si můžete představit, přechází na cloudové řešení. Dnes je tak snadné vytáhnout svou podnikovou platební kartu.“

 

Eskalované problémy

Celé to začíná nejprve uživatelskými identitami. Když se zaměstnanci sami přihlásí ke službám, obvykle vytvářejí nový osobní uživatelský účet.

„Všechny tyto cloudové aplikace dlouhou dobu spoléhaly na vlastní identifikační a autentizační systém založený na uživatelském jménu a heslu,“ říká Francois Lasnier, viceprezident pro autentizaci ve společnosti Gemalto.

„Pokud jste se chtěli zaregistrovat do Salesforce.com, museli jste v Salesforce.com také vytvořit účet. Bylo to v podstatě zavedení systému identity pro tyto cloudové aplikace,“ tvrdí Lasnier.

V současné době nabízejí nejoblíbenější služby standardizovaný provisioning a správu uživatelů, obvykle s použitím jazyka SAML (Security Assertion Markup Language), vysvětluje Lasnier.

Dalším přijímaným standardem je OpenID. „To je přínosné, protože to umožňuje vznik takových řešení pro správu přístupu, která skutečně dokážou vyřešit většinu vašich problémů s přijetím cloudu,“ dodává.

Přestože může většina nejoblíbenějších cloudových aplikací pro podnikový trh podporovat jeden z těchto standardů, u nových start-upů a spotřebitelsky orientovaných služeb to tak být nemusí.

Menší poskytovatelé cloudových aplikací mohou také odvádět špatnou práci v oblasti ochrany dat uživatelů před hackery.

„Bezpečnost nemusí mít potřebnou důležitost,“ varuje Mark McArdle, technologický ředitel společnosti eSentire. „Nebo tito vývojáři sice vědí, že mají dělat věci správně, ale nemusejí chápat, co to znamená.“

Když se zaměstnanci přihlásí k takovým službám, obvykle nekladou důležité otázky. „Jak dodržují (cloudové služby) hygienu v oblasti instalace oprav?“ říká McArdle. „Jak monitorují svou vlastní infrastrukturu? Jsou to otázky, které si koncový uživatel obvykle neklade, pokud to není odborník z oblasti kybernetického zabezpečení.“

Absence správy identit vede přímo k problémům s ochranou dat. Když zaměstnanci vytvoří osobní uživatelské účty, nedojde k automatickému vypnutí těchto účtů při jejich ukončení zaměstnaneckého poměru.

Když například založí účet u společnosti pro sdílení souborů za účelem výměny dokumentů s dalšími zaměstnanci a obchodními partnery, dostanou se potom taková data mimo kontrolu zaměstnavatelů.

„Člověk má tato data k dispozici, kdekoli bude, přestože již nebude pro danou společnost pracovat,“ upozorňuje Erik Brown, technologický ředitel společnosti GigaTrust. „Je to skvělé pro zaměstnance, ale představuje to značné bezpečnostní riziko pro společnost.“ Navíc neexistuje žádná kontrola nad tím, s kým zaměstnanci data sdílejí.

Podniky původně vytvořily své bezpečnostní architektury, aniž přitom myslely na cloudové služby, uvádí Jim Reavis, výkonný ředitel aliance CSA (Cloud Security Alliance).

„Vytvořili jsme poněkud zkostnatělou architekturu, která závisí na datových tocích procházejících podnikovými sítěmi, firewally, zařízeními pro detekci narušení a webovými bránami,“ vysvětluje Reavis.

Cloudové služby, a to schválené i neschválené, podle něj ale vyžadují, abyste chápali, že potřebujete virtuální pohled na svět.

Například systém ochrany před únikem dat (DLP – Data Loss Prevention), který monitoruje tradiční e-mailové přenosy uvnitř vaší infrastruktury, bude zcela bezmocný při využívání cloudových e-mailových systémů.

Ve skutečnosti bylo používání webového e-mailu jedním z největších zdrojů porušování zásad DLP, jak uvádí průzkum společnosti Netskope, což představuje 42 procent přestupků. Jako další bylo využívání cloudových služeb pro ukládání dat (30 procent) a nástroje pro spolupráci (10 procent).

Dále je zde problematika dodržování předpisů. Podle expertů Netskope vyhovuje méně než čtvrtina cloudových služeb používaných podniky Obecnému nařízení o ochraně osobních údajů (GDPR) Evropské unie, které vstoupí v platnost na jaře.

Dokonce i služby, které mají vysokou míru připravenosti na GDPR, stále mají závažné problémy. Například 57 procent nepodporuje šifrování dat při ukládání a více než 80 procent replikuje data do geograficky rozptýlených datových center.

 

Hrozba malwaru

Nezabezpečené a neschválené cloudové služby nepředstavují jen riziko sdílení korporátních dat mimo podnik. Mohou také vytvořit zneužitelný kanál pro útočníky.

Kompromitovaná webová služba by mohla aktualizovat klientský software na uživatelských počítačích pomocí upravené škodlivé verze, protože aktualizace často procházejí bez kontroly zabezpečení.

To se přesně stalo letos v létě jedné ukrajinské společnosti produkující daňový software, upozorňuje McArdle ze společnosti eSentire. Infikovaná aplikace totiž instalovala malware Petya.

Nejprve zaútočila na ukrajinské banky, energetické společnosti, vládní úřady, letiště a zařízení pro sledování radiace v elektrárně Černobyl a poté se rozšířila do dalších zemí a podnikatelských sektorů.

Některé cloudové aplikace navíc provozují malé týmy, ale mohou se v určitém oboru široce používat, upozorňuje McArdle.

„Můžete mít start-up s 50 lidmi a provozovat cloudovou službu hostovanou na AWS,“ popisuje McArdle a dodává: „Útok na takovou cloudovou službu se stává velmi cenným. Není to teorie. Už se to děje. Zločinci mají představivost. Jsou to zlí inovátoři a kreativita, kterou používají při svých útocích, by se neměla podceňovat.“

Útočníci mohou využívat výhody cloudových systémů i jinými způsoby. Společnost McAfee udělala průzkum mezi tisícem IT profesionálů před letošní konferencí RSA a 52 procent respondentů uvedlo, že již měli malwarový incident pocházející z cloudové aplikace, jako je například Dropbox. Celkově 65 procent uvedlo, že nepovolené cloudové aplikace narušují jejich firemní zabezpečení.

Podle společnosti Netskope měl nejobvyklejší bezpečnostní problém, který souvisí s cloudovým službami, podobu zadních vrátek, což byl případ 27 procent veškerého zjištěného malwaru.

Dalším pak byl ransomware s devíti procenty následovaný škodlivým kódem v JavaScriptu, malwarem pro Mac, škodlivými makry sady Microsoft Office a exploity PDF.

 

Jak zabezpečit přístup

Nejběžnější metodou, jakou používají společnosti ke zvládnutí cloudového bujení, je využití zprostředkovatelů zabezpečení přístupu do cloudu (CASB, Cloud Access Security Brokers) a systémy jednotného přihlašování (SSO – Single Sign-On).

Skyhigh, Netskope, Forcepoint, Okta a další zprostředkovatelé zabezpečení přístupu do cloudu umožňují společnostem spravovat uživatelské účty a přistupovat k mnoha nejoblíbenějším firemním aplikacím v cloudu.

IBM, Microsoft, VMware nebo Cisco také nabízejí řešení CASB. Většina z nich také zahrnuje nějakou podobu jednotného přihlašování nebo uživatelských portálů, kde mohou zaměstnanci snadno přistupovat ke všem svým webovým službám.

Pro uživatele je výhodné mít jedno centralizované přihlašování pro všechny jejich cloudové služby, aby si nemuseli pamatovat stovky různých hesel, nebo hůře – používat všude stejné heslo.

„Podniky by měly používat technologii jednotného přihlašování, která dokáže oznámit, kdy vyžaduje přístup k citlivým datům zesílení autentizace a kdy bude stačit federované přihlášení,“ uvádí Darrell Long, viceprezident produktového managementu CA Security ve společnosti CA Technologies.

„Je také nezbytné, aby si podniky promyslely způsob práce s přihlašovacími údaji a pověřeními v případě, kdy zaměstnanec opustí společnost. Musí zablokovat jakýkoli budoucí přístup, ale přitom stále zajišťovat způsob, jak každodenně kontrolovat komplexní správu takové identity,“ dodává Long.

Využívání systému jednotného přihlašování také pomáhá snížit počet neschválených aplikací, ke kterým se zaměstnanci přihlašují, vysvětluje Holmes ze společnosti F5. „Pokud jste nový zaměstnanec a přihlásíte se, uvidíte všechny služby a můžete říct: Aha, vidím, že máme používat službu Box a naopak nepoužívat Dropbox.“

Společnosti by podle expertů neměly otálet se zavedením řešení jednotného přihlašování. „Čím rychleji organizace zvládne zavést a používat toto řešení, tím větší úspěch jí to přinese,“ uzavírá Holmes.

 

Tento příspěvek vyšel v Security Worldu 4/2017. Časopis (starší čísla i předplatné těch nadcházejících) si můžete objednat na adrese našeho vydavatelství.

Úvodní foto: Fotolia © ra2 studio










Komentáře