Облачный хостинг и его безопасность. Часть 3

Продолжение дискуссии об облачных решениях.

Облачный хостинг и его безопасность. Часть 3

Облачный хостинг: особенности перехода

Про DDoS

Данила Чежин: — Мы видим такие атаки, они выглядят в форме обычного прямоугольника. На графиках — эффект каналов полки. У такой атаки есть достаточно четкие параметры, в основном, атаки выскакивают высокочастотные. Это флуд, и именно такие дешевые атаки они, в основном, заказываются, я предполагаю.

Есть иной подход, когда заказывают атаки не просто с параметрами по длительности и объему, а есть заказ именно на результат. Не думаю что 200 американских долларов для хороших ресурсов, это совершенно другие деньги. И здесь хакер, он пробует различные методы уходит покурить, затем возвращается, пробует еще что-то, снова не получатся. Там ведь тоже живые люди и так как у них задача сделать заказ, то они прикладывают все усилия.

В случае если я скажу, что мы всегда будем от всего защищать, чтобы ни случилось, мне кажется, это будет допущением, причем не очень честным в отношении к клиенту, потому то, что предлагает компания AIG, это интересно. Здесь ведь всегда вопрос баланса, так как есть страховая премия и есть цена страховки для конечного заказчика. Для бизнеса в наших реалиях любые дополнительные затраты тяжелые.

У населения уже долгое время, к сожалению, падает покупательская способность. У бизнеса такая же ситуация. У них нет заказов и они получают меньше прибыли, а бюджет расходов, который они имеют, стараются оптимизировать. И приобретая страховку у компании AIG, очевидно мы будем перекладывать на клиента, закладывать в цену, если будет значительное увеличение услуг, это не будет востребованным у такого маленького бизнеса.

Для корпораций это будет очень востребованным. Это то, что они желают видеть.

Александр Мисюрев, директор по развитию AIG: — На самом деле мы и не стремимся поскорее продать наши продукты, мы хотим помочь нашим заказчикам и здесь необходимо найти золотую середину. Все попались на КАСКО на подобных вещах, когда нам предлагали — ребята, давайте страховаться без франшизы, ну а когда начался скачок валюты, определенное число убытков — все сразу стали страховать с франшизой чтобы удержать премию, так как цена страховки, она просто колоссальна.

Вот тот главный месседж, который я все время хочу донести до клиентов. Итак, страхование должно помогать в трудной ситуации, с легкими чихами и простудой, вы можете справиться сами, страховка же должна помогать бизнесу там, где есть существенная угроза, когда происходят такие плохие вещи как ужасный WannaCry, когда все падает, в таком случае и должна помогать страховка. И не стоит забывать, что милых котиков лайкают все, и такие сообщения приходят, сколько бы не выстраивали вашу техническую безопасность. Вам нельзя забывать работать с вашими работниками, проводить специальные тесты, рассылать сообщения, где будут ссылки, что угодно, что будет не так опасно для компании, но будет выявлять слабые звенья, которые смогут в дальнейшем принести определенные проблемы.

Облачный хостинг и его безопасность. Часть 3

Страховщики

Данила Чежин, директор по продажам Variti: — Мы здесь с одной стороны говорим о DDoS, затем об утечках данных — это все же немного различные истории. Я просто хочу уточнить: как я понимаю, бизнес любой страховой организации построен на эффективной оценке рисков наступления страхового события. Если же говорить об атаках DDoS, то цена полиса должна полностью зависеть от оттого есть там надежная защита или же нет.

Бизнес может застраховаться и не имея такой защиты, может к вам прийти и сказать, я желаю застраховаться от потери информации, от недоступности. И вы, как опытные эксперты должны посмотреть, что же у заказчика с защищенностью, провести полноценный аудит. Либо просто посмотрев на соглашение с вендором защиты и увидя какое-то знакомое название сказать «окей, вам это будет стоить на 40% дешевле, так как у вас отличное решение по защите». Есть ли у вас такие подходы, как вы обычно здесь действуете?

Александр Мисюрев: — Разумеется, как и при продаже любого полиса, всегда есть так называемая процедура андеррайтинга, то есть коробочное решение, которое основывается на допущении и коробка, как любой современный финансовый продукт, она стоит дороже, так как базируется на допущении. Безусловно, мы просим заполнить наш вопросник. В случае если это крупный заказчик или финансовые учреждения, мы непременно проводим особый предстраховой сюрвей, привлекаем экспертов, которые смотрят, как это все устроено. Это все есть.

И возвращаюсь к нашему продукту с Group-IB, мы, перед тем как запустить что-то, понимаем тот удивительный эффект, который дает их решение, и благодаря этому можем предоставить намного более выгодные условия, включенные в данный совместный продукт. Потому андеррайтинг крайне важен для любого страховщика, но намного важнее то, как заказчик будете работать, когда нас не будет. В случае если вы будете действовать целесообразно и разумно, то премия для вас будет дешевле, если у вас нет никаких степеней защиты, а вы хотите приобрести полис, мы вам его просто не продадим.

Никита Цаплин: — Итак, предложений у рынка сегодня достаточно, есть разные предложения в сфере антивирусных защит, защит от атак DDoS, а там где и то, и то не помогает, есть и ЦОД в более безопасном месте и, наконец, полноценная страховая защита. Однако хотелось бы услышать также какие-нибудь вопросы из зала со стороны потребителей данных услуг. Насколько доводы наших спикеров были для вас убедительными и, какие, возможно, дополнительные риски в облачных продуктах видите вы, которые не покрываются уже представленными здесь решениями?

Путь HOSTKEY

Шевченко Андрей, HOSTKEY: Здравствуйте, Шевченко Андрей, фирма HOSTKEY. Я бы хотел немного шаг в сторону сделать. В случае если мы говорим именно про облачный хостинг в Украине и можно ли там обеспечить безопасность, я, наверное, бы сказал, а можно ли обеспечить данную безопасность на собственной инфраструктуре?

Приведу краткий пример. 152 ФЗ. Все знают его, все понимают его. Закон становится чуть жестче.

В своей собственной инфраструктуре сделать верное решение довольно тяжело.  Не у всех сегодня есть лицензии ФСТЭК, ФСБ, дабы поставить криптографию. Однако на рынке есть облачные решения за нормальную цену, которые фактически до первого уровня — позволяют все перекрыть.

Второй нюанс касательно DDoS. Соглашусь с коллегами, у нас есть большой опыт защиты клиентов. Атакующий, всегда пытается под тебя подстроится, такая игра, игра в мяч.

Одно время защищали достаточно крупного игрового хостинг провайдера, четыре часа — это то время, которое необходимо коллегам с той стороны, дабы подстроится под твою защиту. Проходит четыре часа, меняется характер атаки, нужно перестраивать. Полагаю, что сегодня есть множество возможностей для полноценной атаки. У нас сегодня есть столько проблем в RFP, которые никто просто не использует.

Недавно научились применять умные вещи для существенных атак, получили целых 700 гигабит атаки, правда это малая часть, которая даже близко не будет в ближайшее время решена. Молодцы парни из Китая. На своей сети они сами взломали все железки, а затем сами поставили актуальные прошивки, устранили многие вектора атак, вот молодцы.

Знаю, что по этому направлению Ростелеком частично пошел, что для своих клиентов они это прекращают. Во всем остальном мире, увы, это не так. К примеру, Нидерланды вообще не считают атаки DDoS чем то плохим, это считается легитимный трафик, и за это практически не наказывают.

Далее, по поводу безопасности размещения сервера в собственной стойке, в настоящее время криптография позволяет защитить все диски так, чтобы возможность расшифровать их оставалась, однако очень низкие шансы и длительный процесс всего этого. В принципе, что современное облако с криптоконтейнером внутри, что специальный частный сервер у себя в стойке — еще вообще неизвестно где надежнее. Поскольку, как верно заметили, дабы попасть в нормальный ЦОД необходимо пройти некую безопасность, иметь правильные корочки или решения суда.

Могу привести недавний пример. Не в нашей организации, а просто в хостинг сообществе. Приходит от суда официальный запрос, чтобы информацию, базы данных одного клиента выдать другому человеку. Есть определенные тонкости.

Мы, как хостинг провайдер, не имеем никакого права лезть в сервер нашего клиента. Я уже не могу это выполнить.

Второй нюанс, спасибо нашему суду. Тот человек, который записывал официальное решение суда все написал наоборот: тот, кто подал иск, должен был отдать БД тому, на кого подал иск. Вот такие наши реальности.

Облачный хостинг и его безопасность. Часть 3

ФСБ и юрисдикции

Никита Цаплин: — Чем же все закончилось? Кто кому передал базу данных?

Шевченко Андрей: — Данная ситуация позавчера была. Развязку я не знаю, самому интересно посмотреть. Еще один момент, который спросили у наших коллег, в какой именно юрисдикции работаем, как выдавать информацию, должно быть официальное решение Швейцарии или же решение любого государства. В отечественных реалиях тоже все хорошо прописано.

Мы, как хостинг провайдер, или ориентируемся на решение суда и затем исполняем, или на обращение от ФСБ.

Никита Цаплин: — Не только лишь ФСБ сегодня имеет права на запросы.

Шевченко Андрей: — Извините, я имею в виду запросы с зарубежных юрисдикций. Эти запросы идут двумя разными путями: суд или ФСБ.

Если запрос напрямую приходит ко мне, я все-таки обязан отвечать, что мы полностью готовы сотрудничать, можем сделать правильные бэкапы. Сделать, что угодно, но выдать вам информацию самостоятельно мы, к сожалению, не имеем никакого права.

По действующему законодательству внешние запросы проходят исключительно через ФСБ. Поэтому здесь есть обратная защита от зарубежных конкурентов, к примеру. В РФ мы можем чуть-чуть отгородиться от данного вопроса.

Никита Цаплин: — Итак, все, видимо, поняли, что облако безопасно также, как и свой собственный сервер, размещенный у себя. Наверное, решения, которые есть, покрывают большинство вопросов. Остался лишь вопрос человеческого инжениринга, однако здесь, пожалуй, помимо страховой защиты сегодня ничего не сможет помочь вообще при любом раскладе. Будь то ваш ЦОД, будь то облако.

Полагаю, что собравшиеся предложили достаточно убедительные и весомые аргументы. Посмотрим теперь, что будет спустя год.  Я хочу поблагодарить всех собравшихся и закончить пленарную сессию.


Оставить комментарий



Хостинг с отличным саппортом — HOSTiQ