Является ли облачная безопасность иллюзией?

Я сижу здесь, исправляю сервер под управлением Windows Server 2016 и жду… и жду… и жду установки обновлений. Обновления программного обеспечения обычно применяются намного быстрее в более поздних версиях Windows Server, таких как 2019 и 2022, но не все могут обновиться до последней версии, верно? В любом случае, пока я жду, пока процесс обновления достигнет этой волшебной вехи 100% установки, чтобы я мог снова войти на сервер, я решаю быстро пройтись по Twitterverse.

И что я нахожу? Этот маленький самородок:

Облачная безопасность — это иллюзия. Передача рисков не приводит к их исчезновению. В лучшем случае вы потеряете видимость и будете лучше спать (но на самом деле вы не должны). https://t.co/HeDWdnSntL

— x0rz (@x0rz) 27 августа 2021 г.

В этом утверждении скрыты некоторые интересные истины, если вы попытаетесь его распаковать.

Так что давайте попробуем.

Управление рисками — игра с нулевой суммой

Нулевая сумма, если я правильно понимаю, это когда один человек выигрывает, а другой человек должен что-то терять. Это полная противоположность тому, что мир маркетинга всегда рекламирует как «беспроигрышные решения», которые могут сделать всех счастливыми.

И когда дело доходит до управления рисками в нашей ИТ-специальности, включая облачную безопасность, идея заключается в том, что вы не можете полностью устранить риск или даже уменьшить его — вы можете только передать его. То, что одна сторона (вы, клиент) выигрывает от снижения подверженности риску, теряет другая сторона (ваш поставщик решений в области кибербезопасности или провайдер безопасности), беря на себя риск обеспечения безопасности вашей инфраструктуры.

Ну, я думаю, они не полностью проигрывают, так как вы платите им деньги за это. Но это еще одно уравнение с нулевой суммой.

По этой же причине некоторые предприятия предпочитают вкладывать серьезные средства в защиту своей ИТ-инфраструктуры. Вместо этого они отдают часть своих денег страховой компании, специализирующейся на страховании рисков кибербезопасности, таким образом приобретая уверенность в том, что они могут возместить свои убытки, если их бизнес пострадает от нарушения кибербезопасности. Страховая компания, которая также на самом деле заинтересована только в защите своей прибыли, взимает достаточно высокую премию, чтобы защитить себя от значительной потери доходов, если им в конечном итоге придется выплатить полис своего клиента в результате нарушения — за исключением, конечно, все обычные положения об исключении типичного договора страхования.

Другими словами, я хочу сказать, что защита от киберугроз — это не инновационные технологии или передовые решения. На самом деле это просто экономия денег — как и все остальное в деловом мире.

Как избежать переноса всех рисков

Положите все свои яйца в корзину вашего поставщика решений для кибербезопасности — привлекательная идея, но может быть разумно держать несколько яиц под рукой на случай, если корзина опрокинется. Как вы можете держаться за некоторые из ваших яиц?

Один из способов, когда вы договариваетесь о соглашении с поставщиком решений для обеспечения безопасности, особенно когда речь идет об использовании услуг, предоставляемых из облака, — это спросить их, как вы можете получить больше информации о своих активах, работающих в их облаке. И, возможно, в некоторой степени в базовую инфраструктуру, которую провайдер использует для размещения своих облачных сервисов. Устанавливают ли они исправления для своих хостов — систем, которые они предоставляют для выполнения ваших виртуализированных рабочих нагрузок — в соответствии с установленным расписанием или рабочим процессом? Вы, клиент, должны быть в курсе об этом. Обладает ли их ИТ-персонал для обслуживания облачной инфраструктуры большим опытом и ресурсами, чем ваш собственный ИТ-персонал? Вы должны убедиться в этом, прежде чем позволить им взять на себя ответственность за обеспечение безопасной работы инфраструктуры после ее переноса в их облако. Тот факт, что облачная компания намного больше вас, не означает, что она умнее вас с точки зрения ИТ. Или более дисциплинированным в управлении процессами. Или более усердно справляться с ситуациями, когда они возникают.

Помните также, что кибербезопасность с точки зрения ответственности обычно распространяется не только на две стороны, в данном случае на ваш бизнес и на вашего облачного провайдера. Есть также вопрос ваших клиентов. Если один из ваших клиентов доверит вам свои данные, а решение вашего провайдера не защитит их и они будут украдены, вы и компания можете столкнуться с проблемой ответственности, когда ваш клиент подаст на вас в суд. Затем вы можете попытаться передать эту ответственность, подав в суд на своего облачного провайдера, но помните, что в конце таких игр обычно выигрывают только юристы. Все остальные проигрывают. Опять нулевая сумма.

И не думайте, что только потому, что ваш поставщик облачных услуг намного крупнее вас, он должен тратить много денег на безопасность, укрепляя свою собственную облачную инфраструктуру с помощью частых аудитов, пентестов и предлагая вознаграждение за обнаружение ошибок. Поскольку деньги — это все, что имеет для них значение, поэтому срезание углов встречается чаще, чем вы думаете. Особенно для крупных, устоявшихся компаний, пытающихся сохранить свое господство на рынке.

Это, вероятно, стартапы, инновационные новые поставщики кибербезопасности, которые наиболее добросовестно следят за тем, чтобы их услуги были защищены от атак. Потому что они изо всех сил стараются завоевать долю рынка в высококонкурентной сфере. Но продержатся ли они? Будут ли они доступны через два-пять лет или их приобретут более крупные, менее чувствительные к клиентам поставщики?

Так много вопросов, так мало однозначных ответов. Лучше иди проверь, закончил ли мой сервер патчить…

Крысы! Думаю, пришло время для еще одного кофе.