Примерно четверть всех случаев нарушения информационной безопасности в облачной среде вызвана некорректными настройками, такими как: сбои в процедурах аутентификации, излишне широкие права доступа, незакрытые служебные порты, ошибочная конфигурация систем логирования и наблюдения и другие подобные причины. Такую статистику приводят аналитики департамента оценки защищённости компании «Кросс технолоджис», опираясь на практический опыт проектов 2025 года. Эксперты отмечают, что в прошлом году рынок облачных услуг увеличился на 35%, и по мере роста их популярности и внедрения последствия каждой ошибки становятся всё серьёзнее.
К категории облачных сервисов относят облачные хранилища данных, IaaS-платформы, среды для разработки, готовые приложения, функционирующие на мощностях внешних серверов. При этом около 80% рынка занимают именно IaaS-платформы, которые в эпоху активной цифровизации дают бизнесу возможность быстро наращивать вычислительные ресурсы, не инвестируя в создание собственной дорогостоящей инфраструктуры.
Сотрудники «Кросс технолоджис» указывают, что свыше 70% ошибок в настройках обусловлены человеческим фактором, а остальные возникают из-за технических нюансов, например, из-за несовместимости отдельных решений, развёрнутых в инфраструктуре провайдера облачных услуг. Самые частые проблемы — это некорректно настроенная аутентификация и чрезмерные привилегии пользователей. В первом варианте система аутентификации может, к примеру, быть подвержена атакам по времени из-за разницы в отклике сервиса на валидные и несуществующие учётные записи. Во втором случае система потенциально может предоставить пользователю доступ к чужим файлам, содержащим конфиденциальные данные.
«Современная информационная инфраструктура давно вышла за границы защищённого периметра. Облачные сервисы — наиболее показательный пример такого расширения. Организациям нужно проводить аудит своих подрядчиков и анализировать уровень защищённости всех действующих интеграций. В свою очередь, самим поставщикам услуг необходимо работать над собственной безопасностью — для них это прямое конкурентное преимущество и знак качества. Требуется комплексный подход к обеспечению защиты, чтобы своевременно обнаруживать уязвимости, устранять их, а также определять стратегию развития инфраструктуры», — прокомментировала Анастасия Мельникова, руководитель департамента оценки защищённости «Кросс технолоджис».
