Positive Technologies о проблемах расследования инцидентов в облачной инфраструктуре

Облачные технологии получают все большее распространение. Они имеют ряд преимуществ и плюсов по сравнению с традиционными IT-инструментами. Однако при наступлении инцидента существует ряд нюансов (проблем), которые необходимо решить для успешной ликвидации инцидента. Детально об этом говорил Алексей Новиков, заместитель директора центра компетенции по экспертным сервисам Positive Technologies

1. Сбор криминалистических данных. В зависимости от типа облачной инфраструктуры существует разный тип доступа к облачным данным. При модели IaaS (инфраструктура как сервис) пользователь сервиса имеет практический неограниченный доступе к необходимым криминалистическим данным. Если же используется модель SaaS (ПО как сервис) пользователь может вообще не иметь доступа к необходимым криминалистическим данным.

2. Live forensics. Большое количество мобильных конечных устройств, вопросы синхронизации времени, собственные форматы журналов событий и восстановление данных после удаления это те вопросы, которые как правило вызывают трудности при проведении Live Forensics в облачной инфраструктуре. Плюс большие объемы данных тоже вносят проблемы в работу экспертов.

3. Разделение данных. В облаке разные экземпляры, запущенные на одной физической машине изолированы друг от друга посредством виртуализации. Расположенный на одной физической машине экземпляры ведут себя как полноценные изолированные хосты. Однако, на физическом уровне журналы аудита общих ресурсов собираются в один журнал. При некоторых реализациях в одном журнале можно обнаружить данные нескольких разных арендаторов. Возникают юридические проблемы доступа к данным одного арендатора без разглашения данных другого арендатора. Также зачастую возникают проблемы регистрации действий в облачной инфраструктуре.

4. Виртуализированная среда. Плюсы виртуальной инфраструктуры являются одновременно и ее минусами с точки зрения проведения расследования инцидента. Во-первых, сами гипервизоры могут быть объектом атаки и причиной инцидента ИБ.

«На текущий момент, к сожалению, очень слабо развиты технологии анализа гипервизоров. Во-вторых, перемещение виртуальных машин в инфраструктуре зачастую не контролируется их владельцами, что не позволяет правильно организовать сбор данных. Несмотря на все эти минусы существуют подходы, которые позволяют компенсировать эти минусы. Необходимо только заранее быть готовым к этому», - отметил Алексей Новиков.