Может ли быть вирус на облаке

Спросите любого, где они хранят все свои личные цифровые данные и они, скорее всего, ответят “в компьютере” или “облаке”. Те, кто хранит свои файлы и фотографии на ноутбуках, в папках на рабочем столе или просто в телефоне, находятся в зоне риска – в конце концов, никогда не знаешь, когда компьютер выйдет из строя и потухнет.

Облачное хранилище является альтернативной формой цифрового хранения, где вы можете безопасно складывать свои фотографии и личные файлы. Это обычно считается полностью безопасным вариантом для тех, кто более разумен. Но насколько безопасно облачное хранилище на самом деле?

Что такое облачное хранилище?

Облако – это модель хранения компьютерных данных, в которой они хранятся, управляются и резервируются удаленно. Физическое хранилище находится на нескольких серверах, часто в нескольких местах. Облачные хранилища часто управляются и принадлежат независимым хостинг-компаниям, и их ответственность заключается в обеспечении защиты и бесперебойной работы всех серверов. Поставщики облачных систем также несут ответственность за поддержание данных и гарантию их доступности для своих пользователей. Облачные хранилища, как правило, являются платной услугой, но некоторые компании предлагают небольшие объемы хранения бесплатно.

Многие люди предпочитают хранить свои цифровые файлы в облаке, поскольку это считается более безопасной альтернативой, чем хранение файлов на жестком диске, флэш-накопителе, внешнем жестком диске или USB-накопителе. Другие предпочитают использовать их, когда их дисковое пространство на жестком диске ограничено или когда они желают получить доступ к своим файлам из любого места, с любого устройства. Облачное хранилище также облегчает общий доступ к файлам, поскольку вы просто загружаете файлы в систему и они сразу же готовы к просмотру.

Публичное облако – доступно и безопасно. Этот подходит для тех, у кого осталось мало места для данных.

Частное облако – это обычно локальное хранилище, чтобы пользователи могли полностью контролировать систему хранения данных. Такое решение часто стоит дороже, так как придется покупать и управлять физическим оборудованием и отлично подходит для предприятий.

Гибридное облако – идеально подходит для компаний, которым необходимо огромное хранилище. Оно подходит для тех, кто собирается хранить личные данные в частном облаке и большие объемы файлов.

Как работает облачное хранилище?

Облако позволяет загружать цифровые файлы на сервер, и вы можете получить снова, когда захотите. Если вы используете надежный облачный сервис, ваша информация будет защищена паролем и зашифрована, что означает, что ваши данные безопасны. Часто доступ к вашей учетной записи осуществляется с помощью двухфакторной меры безопасности, а это означает, что для доступа к файлам вам потребуется пароль, а также код, который придет на ваш телефон.

Стандартные облачные службы обычно включают возможность потоковой передачи видео и музыки, доступа к файлам с рабочего стола или мобильного устройства, обмена файлами с другими пользователями, загрузки общих файлов и шифрования файлов для обеспечения их дополнительной безопасности.

Может ли облачное хранилище выйти из строя?

Среди пользователей растет обеспокоенность, что облачное хранилище может быть не самым безопасным из сервисов, и на что нужно обратить внимание?

Рассмотрим преимущества облачного хранения данных.

• Обнаружение вторжений – если бы ваша облачная система хранения данных не обеспечила этого, то возникли бы серьезные проблемы. Система позволяет определить, когда кто-то пытается взломать ее для доступа к данным и потенциальным облачным атакам. Если система имеет несколько уровней “облачной” безопасности, то они могут даже предотвратить проникновение злоумышленников, вышедших за пределы первого уровня.
• Расширенные брандмауэры – ограничивают доступ к облаку для тех, кто не имеет разрешения.
• Ведение журнала событий – они были разработаны для записи сетевых действий и помогают аналитикам понять угрозы.
• Шифрование – зашифрованные данные недоступны никому, кроме владельца. Шифрование шифрует данные так, что даже если они попадут не в те руки, информация не будет читаемой без секретного ключа.

На видео: Безопасно ли хранить данные в облаке?

Существует множество различных типов “облачных” атак, которые действуют различными вредоносными способами.

• Insider Attack – это когда пользователь целенаправленно нарушает политику безопасности сервиса изнутри, часто это сам системный администратор.
• Угон аккаунта – с помощью фишинга или шпионских программ злоумышленники могут получить доступ к учетным записям пользователей для кражи конфиденциальной информации.
• APTs – это атаки, которые позволяют хакерам постоянно красть данные, не будучи обнаруженными пользователями.
• Spectre & Meltdown – это новые кибератаки, которые были недавно обнаружены. Используя вредоносный код JavaScript, злоумышленники могут расшифровывать конфиденциальные данные. Они могут нарушить защиту между приложением и операционной системой, которая позволяет им читать данные из ядра.

Лучший способ сохранить облачные данные в безопасности

Если вы загрузите файлы, зараженные вирусом, вы потенциально можете повредить все ваши сохраненные данные, и вредоносное ПО может распространиться по системе. Это чаще всего происходит неосознанно, при обмене вредоносным контентом среди друзей и родственников. Аналогичная проблема может возникнуть, если данные в вашей компьютерной системе также автоматически синхронизируются с облаком. Таким образом, вредоносное ПО может попасть в облачное хранилище. Самый простой способ избежать этой проблемы – использовать антивирусное программное обеспечение. Оно обнаружит не только вирусы, но и другие вредоносные программы, такие как черви, рекламные и шпионские программы. Антивирусы обычно работают в фоновом режиме, не замедляя работу вашей системы, удаляют и предотвращают проникновение вирусов в вашу систему и, следовательно, в облако.

Всем привет, меня зовут Юрий Лазарев, я системный администратор Облака Mail.Ru. Недавно мы внедрили автоматическое антивирусное сканирование всех загружаемых в хранилище файлов. Теперь весь контент проверяется Антивирусом Касперского, чья продукция уже используется для защиты от вирусов в Почте Mail.Ru. Кроме того, были просканированы файлы, залитые в Облако с момента его запуска в прошлом году. Реализовать подобную проверку в условиях высоконагруженного сервиса, сохраняя при этом такую же высокую скорость работы, — достаточно сложная задача.

В качестве аналогии можно сравнить процесс строительства одноэтажного дома и небоскрёба. Одноэтажный дом может построить даже человек без глубоких знаний и большого опыта, и эта конструкция будет худо-бедно стоять и служить. С небоскребом все гораздо сложнее: конструкцию такого здания необходимо серьёзно просчитывать с точки зрения несущей способности грунта, ветровых нагрузок и множества других факторов. Так и антивирусная проверка в облачном сервисе организована совсем не так, как на домашних компьютерах или даже в корпоративных сетях.

Если вы хотите поподробнее узнать, что представляет собой архитектура Облака, то можно почитать предыдущую статью на Хабре. Это даст понимание того, как протекает процесс сохранения файла и его заливка в Облако. А здесь мы опишем, как нам удается проверять на вирусы петабайты данных в нашей высоконагруженной системе, не теряя при этом ни в качестве работы сервиса, ни в скорости загрузки и проверки файлов.

В Облаке существует дедупликация, то есть файл с конкретным содержимым присутствует лишь в одном экземпляре (на самом деле в двух, так как существует резервная копия). Если 200 человек зальют один и тот же файл, то в хранилище не будет находиться 200 одинаковых файлов. Просто всем этим пользователям будут раздаваться копии одного файла. Зачем? Во-первых, это позволяет нам эффективнее использовать место на дисках и, как следствие, предлагать пользователям больше бесплатного пространства для хранения информации. Кроме того, мы экономим мощности для проверки файлов. На данный момент дедупликация позволяет нам снизить нагрузку на хранилище примерно на 15%.

Проверка осуществляется несколько раз: как только файл попадает в Облако и позже, с помощью обновленных антивирусных баз. Ведь всегда есть вероятность, что файл заразился новым вирусом, который ещё не был известен антивирусу на момент загрузки. Так что проверки проводятся на постоянной основе. Если файл инфицирован, сервис не позволит ни произвести скачивание, ни создать на него ссылку.

Мы проверяем файлы на отдельных серверах, которые выделены исключительно под эту задачу. Кроме того, мы написали утилиту, которая позволяет проверять файлы, используя API Касперского. Дело в том, что нельзя просто так поставить коробочную версию антивируса на какой-нибудь сервер и сказать ему, чтобы он проверял все файлы. В этом случае можно будет вообще забыть о таком явлении, как высокая производительность. Антивирусный продукт не является инструментом, специально разработанным для использования в облачных системах, его необходимо интегрировать. И самим процессом антивирусной проверки в высоконагруженных системах необходимо жёстко управлять. Эту роль на себя взяла вышеупомянутая утилита. Она не только определяет последовательность проверки файлов, но и оптимизирует нагрузку. Если описать по-простому: не надо загружать весь файл из хранилища и передавать на проверку. Утилита берет начало файла, скачивает определенный кусочек из хранилища. Дальше Касперский анализирует тип этого файла. Как правило, нет смысла проверять все тело файла целиком. В зависимости от типа файла SDK антивируса определяет стратегию проверки. Дальше идёт запрос в нашу утилиту, мол, дай мне этот кусок, и нужная информация загружается из хранилища. В итоге, когда SDK решает, что файл проверен, тот получает отметку о самом факте проверки, указывается время её проведения и версия антивирусной базы. Таким образом, использование управляющей утилиты существенно сокращает время проверки, снижает нагрузку на сеть и на сами диски.

На данный момент у нас более 20000 дисков с файлами пользователей Облака. И проверка ведется постоянно. В хранилище попадают самые разные данные, включая огромные видеофайлы. Вытаскивать их из хранилища и перегонять по сети было бы крайне неоптимальной тратой ресурсов. Но, благодаря описанному выше механизму, нам удалось наладить антивирусную проверку силами нескольких десятков серверов. Сейчас в сутки проверяется около 8 млн файлов, порядка 50 терабайт. Это далеко не пиковая производительность системы, к тому же мы заложили возможности по дальнейшему масштабированию.

Итак, мы снижаем стоимость хранилища и нагрузку на неё за счёт использования дедупликации, а также существенно увеличиваем скорость антивирусной проверки с помощью управляющей утилиты. Но этого было бы недостаточно для быстрой обработки столь большого объёма данных. Поэтому мы применили ещё один инструмент — очередь проверки. Она представляет собой не просто список файлов, в который снизу добавляются данные, это отдельный сервис. Сама очередь находится на отдельном сервере и работает под управлением СУБД Tarantool. Это собственная разработка сотрудников Mail.Ru Group, и одной из её особенностей является очень высокая производительность. Именно это стало определяющим фактором при выборе СУБД, а вовсе не её происхождение. Прежде всего, в очередь попадают новые файлы, загружаемые в Облако. Их туда помещает сервис-загрузчик. А также в очередь добавляются файлы с самым большим временем, прошедшим с момента их последней проверки. У второго сервиса, пополняющего очередь проверки, есть ограничение на максимальное количество добавляемых старых файлов, чтобы он не замедлил процесс проверки новых. На каждом сервере одновременно работает несколько таких сервисов обработки. Сейчас мы пробуем распределять файлы разных типов и размеров по разным очередям, чтобы еще сократить время проверки для большинства загружаемых файлов.

В связи с тем, что автоматическая проверка была внедрена через некоторое время после запуска Облака Mail.Ru, накопилось порядка 14 петабайт данных, которые нужно было проверить. Причем, естественно, они лежали не на одной машине, а были раскиданы по нескольким дата-центрам. Ситуация осложнялась тем, что все эти серверы активные, а значит нельзя было нагружать их задачами по проверке файлов. Если сервер, на котором хранятся файлы, будет занят какими-то аналитическими задачами, которые нагружают аппаратные ресурсы хранилища, то потенциально скорость выполнения всех операций существенно уменьшается, в том числе, и передача файлов по сети. И в таком случае мы получили бы деградацию качества сервиса.

Проверять такой объем данных постепенно тоже было бы нецелесообразно, на это ушло бы слишком много времени. Поэтому решено было задействовать дополнительные ресурсы, чтобы провести проверку в кратчайшие сроки. Для этой цели был собран временный кластер из 60 серверов. Они и осуществили проверку всех ранее загруженных данных примерно за три недели.

Также мы посчитали, какие заблокированные вредоносные программы наиболее распространены:

Итак, благодаря комплексному применению управляющей утилиты, очереди проверки и СУБД Tarantool, нам удалось добиться высокой производительности антивирусной проверки, почти в реальном времени, задействовав сравнительно небольшие ресурсы.
Тенденция такова, что со временем все больше пользовательской информации будет храниться в облаках. Поэтому антивирусная проверка становится неотъемлемой частью не только устройств пользователей, но и онлайн-сервисов, где хранятся их данные.

Механизм проверки в нашем Облаке мы ещё будем существенно модернизировать. Например, планируется ввести удельный вес. Благодаря этому параметру чаще всего будут проверяться наиболее востребованные пользователями файлы. Файлы большого размера будут выделяться в отдельную очередь, поскольку их проверка занимает очень много ресурсов и времени. Организация подобных очередей для разных файлов – это интересная задача, о которой мы расскажем в одном из следующих постов.

Вирусы-шифровальщики — наиболее быстрорастущая угроза кибербезопасности. Так ransomware-атаки характеризует в специальном докладе за 2016 год Минюст США. В статье расскажем, как построить систему безопасности и о чем говорить с сотрудниками, чтобы защитить корпоративные данные в cloud-сервисах от подобных атак.

Введение

Количество ransomware-атак растет с каждым месяцем в геометрической прогрессии. Если в 2011 году была зафиксирована одна модификация вируса в год, то в 2017-м каждый месяц появляются 10 новых модификаций, и такие вирусы, как WannaCry, который парализовал работу компьютеров в 150 странах, и Petya, будут только совершенствоваться и модифицироваться. Рост числа вирусов еще усугубляется тем, что развивается направление RaaS (Ransomware-as-a-Service), то есть софт для вируса становится доступным для самостоятельного приобретения. Стремительный рост разновидностей вируса-вымогателя делает его более изощренным и способным атаковать новые цели. Следующими на очереди атак после компьютера становятся облачные хранилища, поэтому бизнесу, даже самому малому, стоит позаботиться о защите своих данных уже сегодня.

С чего начинается безопасность

Построение системы IT-безопасности начинается с выбора софта. Малый и средний бизнес в России и ближнем зарубежье часто грешит нелицензионным ПО, но в определенный момент желание сэкономить на программном обеспечении может вылиться в немалые потери из-за внешних атак.

Опыт показывает, что крупные производители софта со своей стороны стараются отслеживать уязвимости в собственных продуктах и как можно быстрее латать дыры. К примеру, пользователь Microsoft в течение нескольких недель с момента обнаружения уязвимости получает необходимое обновление. Само собой, на пиратские сборки Windows, скачанные с торрент-трекеров, компания не поставляет обновления с исправленными уязвимостями, более того, зачастую такие сборки уже содержат в себе вредоносные элементы.

Еще стоит сказать об антивирусах. Для корпоративных сетей минимальная частота обновлений вирусной базы — один раз в сутки на каждом подключенном устройстве. При таком режиме обновлений реальную опасность составляют лишь атаки первой волны, а последующие вполне могут быть отражены защитным ПО.

Поможет автоматический, ежедневный версионный бэкап

Жертвами подобных зловредов могут стать не только крупные предприятия, но и совсем небольшие компании. Последние редко могут позволить себе отдельного специалиста по компьютерной безопасности. Чтобы защитить корпоративные данные, необходима целая серия действий, а единственный, кто отвечает за защиту сети, — администратор этой самой сети. У него может не хватить возможностей или ресурсов. В таких ситуациях оптимальный выход — использовать готовое решение, обратиться к компании, которая специализируется на безопасности данных в облачных сервисах. Примером такого сервиса является Spinbackup — сервис по защите SaaS-данных в облаке.

Рассмотрим, как это работает, на примере данных, хранящихся в Google-облаке.

1. Ransomware-вирусы могут зашифровать ваши документы через синхронизацию компьютера с облаком Google Диска.

Вирус-вымогатель шифрует все файлы на зараженном устройстве, требуя деньги за ключ дешифровки. Жертвой атаки может стать как обычный пользователь, так и целая корпорация, при этом вероятность возврата файлов даже после уплаты выкупа не гарантируется, да и оплата скорее становится стимулом для злоумышленников снова и снова совершать атаки. Подобных атак лучше избегать, чем решать уже возникшую проблему, однако выход есть всегда.

Ransomware-защита для G Suite — это первое автоматическое решение по защите G-Suite-данных. Решение определяет атаку, блокирует источник, идентифицирует наличие зашифрованных файлов в Google Диске сотрудника и автоматически восстанавливает из последнего успешного бэкапа копию данных. Это позволяет бизнесу работать без остановок, стрессов, автоматизирует работу G-Suite-администратора и экономит огромное количество времени по мануальному восстановлению. По сути такой Disaster Recovery Plan жизненно необходим бизнесам, работающим в облаке.

1. Сторонние приложения, подключенные к G-Suite-домену, могут служить уязвимостью и одновременно возможностью для хакеров.

Для увеличения продуктивности работы сотрудники нередко ставят дополнительные приложения. Такое приложение, подключенное к корпоративному Google-аккаунту, может потенциально означать дыру в безопасности для администратора. Отдельная проблема — ситуации, когда для доступа к корпоративным данным сотрудник использует несколько устройств, включая смартфон, планшет, личный лэптоп. Bring Your Own Device — подход, когда каждое из устройств может быть открытой дверью для вируса, в контексте ransomware-угроз особенно актуален.

Для этого осуществляется мониторинг сторонних приложений. Мы реализуем это через Spinbackup 3rd-party Apps Audit для G Suite. Анализируется потенциальный уровень угрозы приложений на корпоративные данные, который рассчитывается на основе ряда критериев. Один из критериев — уровень доступа, который получает приложение к данным сотрудника. Приложение, получая права редактирования и изменения данных, может нанести вред без ведома пользователя.

Также для контроля BYOD-устройств рекомендуется использовать MDM-системы, которые позволяют определять политики безопасности устройств и корпоративных данных на них. К примеру, можно запретить доступ к корпоративным данным с несанкционированно перепрошитых устройств, можно ограничивать возможность копирования определенных файлов внутри устройства. Часть функционала MDM есть в Google G Suite: например, администратор может настроить доступ к данным компании только с устройств, которые зашифрованы и имеют защиту PIN-кодом или паролем.

Как разговаривать о безопасности с сотрудниками

Вот примерное содержание письма, которое можно подогнать под особенности своей компании и отправить всем специалистам.

«Коллеги, в мире распространяется угроза вирусов-шифровальщиков: вредоносная программа попадает на компьютер через прикрепленные файлы в письмах или с зараженных флешек . Вирус шифрует любые файлы, которые могут представлять ценность. Расшифровать данные в лучшем случае дорого, в худшем — невозможно.

Важно! Чтобы не заразиться вирусом-вымогателем, не открывайте письма от неизвестных отправителей и, тем более, не запускайте вложенные файлы. Особенно опасны файлы, расширение которых вам незнакомо.

Подобные письма с советами можно составлять хоть каждую неделю, небольшими порциями повышая компьютерную грамотность коллег. В целом, это такая же часть профилактики, как и тестирование плана восстановления. Если подобные рассылки станут в компании традицией, думать об аварийном восстановлении систем придется гораздо реже.

Выводы

Чтобы обеспечить защиту на уровне технологий, необходимо:

• выбирать надежные облачные приложения для хранения данных;
• регулярно обновлять ПО и базы антивируса;
• разграничить уровни доступа для разных пользователей — в соответствии с политикой безопасности;
• мониторить доступ с BYOD-устройств;
• отслеживать сторонние приложения;
• организовать cloud-to-cloud backup в независимое облако;
• регулярно проверять целостность резервных копий.

Часть этих задач можно автоматизировать, что позволит экономить ресурсы. Для малого и среднего бизнеса, техническое обслуживание которого ложится на плечи одного-двух администраторов, такое решение можно считать оптимальным.

Что касается человеческого фактора, работа в этом направлении должна включать в себя, в первую очередь, обсуждение угроз с топ-менеджментом — с конкретными цифрами и решениями. Кроме того, обязательно нужно повышать компьютерную грамотность всего персонала компании — путем регулярных встреч, лекций или даже корпоративной рассылки. Чем больше сотрудники знают о безопасности — тем проще администратору поддерживать жизнеспособность системы, которую он с таким трудом выстраивает.