Облачная инфраструктура активно используется в финтехе, но вместе с ростом доверия к провайдерам увеличивается и интерес злоумышленников к публичным сервисам. Компании сталкиваются с рисками мисконфигураций, компрометации учетных данных и атаками на цепочки поставок, при этом вынуждены соблюдать жесткие требования регуляторов и обеспечивать бесперебойную работу сервисов.
В интервью Cyber Media старший эксперт SecOps Альфа-Банка Николай Лапин рассказал, почему облака становятся одной из ключевых целей атак, какие уязвимости используются чаще всего и возможно ли в принципе построить по-настоящему безопасную облачную инфраструктуру.
Cyber Media: Можно ли назвать облака одной из главных целей для атак в финтехе сегодня? Почему?
Николай Лапин: Трудно защищать облака и избежать соблазна подобного утверждения. Если критически подходить к данному вопросу, то все публичные ресурсы можно отнести к главным целям злоумышленника. Облака имеют свою специфику: паттерны популярных мисконфигураций, автономные системы облачных провайдеров, которые заранее обозначают область исследования, и главное – managed-сервисы, которые имеют публичные эндпоинты. Облака становятся все популярней – степень доверия клиентов к провайдерам растет, а недостающие компетенции и повышенное доверие делают облака шансом для злоумышленников.
Сама "повышенная уязвимость" облаков — спорная тема, где каждый облачный провайдер охотно вступит в дискуссию
Cyber Media: Есть ли у облаков преимущества, которые компенсируют повышенную уязвимость?
Николай Лапин: Конечно, к главным преимуществам можно отнести: время доставки продукта конечному пользователю также известное как time-to-market. В большей степени клиенты обязаны этим показателям именно managed-сервисам. Следующее – это меньший объем ресурсов, необходимый для сопровождения, а также меньшие требования к экспертизе специалистов клиента.
Далее идет еще одно важное преимущество, которое для каждого клиента имеет свою собственную степень значимости: разделение ответственности между провайдером и клиентом. Сама «повышенная уязвимость» облаков – спорная тема, где каждый облачный провайдер охотно вступит в данную дискуссию.
Cyber Media: Какие основные типы атак на облачную инфраструктуру Вы видите сегодня?
Николай Лапин: Перечислю их. Во-первых, это уязвимости веб-приложений, позволяющие злоумышленнику получить IAM-токен или перемещаться между ресурсами. Во-вторых, ошибки конфигурации ресурсов. В-третьих, это компрометация ключей сервисных аккаунтов. Технические учетные записи не требуют многофакторной аутентификации и для получения доступа к облаку достаточно одного ключа. В-четвертых, атаки на цепочку поставок. И последнее – распределенный отказ в обслуживании.
Лучше соответствовать самым высоким требованиям, чем искать и вычитывать «минимально необходимые»
Cyber Media: Какие слабые места чаще всего используют злоумышленники: ошибки конфигурации, IAM, фишинг?
Николай Лапин: Если верить статистике, которую публикуют облачные провайдеры, то это скомпрометированные и действительные аутентификационные данные, избыточные права, публично доступные сервисы, цепочки поставок и контрагенты. В целом я согласен с такой оценкой.
Cyber Media: Какие меры реально помогают предотвращать атаки на облачную инфраструктуру?
Николай Лапин: Внедрение средств защиты информации: WAF, например, защитит от уязвимостей веб-приложений и атак типа распределенного отказа в обслуживании. Ролевая модель и контроль ее соблюдения помогут избежать появления привилегированных УЗ и ТУЗ. Сетевая изоляция и контроль предоставленных доступов необходимы для предотвращения перемещений злоумышленника внутри инфраструктуры. Регулярный аудит конфигурации облачной инфраструктуры и устранение мисконфигураций в заданный SLA. А для проведения этого самого аудита нужна модель угроз, откуда появятся требования и затем уже инструмент класса CSPM для проведения аудита. Вишенкой на торте будет плейбук для SOC: необходимо настроить сбор нормализованных событий и определить сценарии реагирования.
Cyber Media: Есть ли принципиальные отличия защиты облаков именно в финтехе?
Николай Лапин: Да, повышенная ответственность перед клиентами ставит высокую планку, это так же, как и требования регуляторов, такие как СТО БР ИБСС, PCI DSS и прочие, которые относятся именно к нашему сектору. Я бы не заострял внимание на полном перечне и имею следующее мнение: лучше соответствовать самым высоким требованиям, чем искать и вычитывать «минимально необходимые».
Cyber Media: Что важнее в облаках: жесткий контроль доступа или мониторинг активности?
Николай Лапин: Обе меры важны и на практике нельзя выбрать что-то одно или даже расставить здесь приоритеты. Теоретически, если выбирать, то я за контроль доступа, ведь это превентивная мера. Проблемы с контролем доступа зачастую и являются причиной успешной атаки. Мониторинг же является реактивной мерой и его отсутствие лишает возможности отреагировать на активную атаку.
Небезопасная конфигурация сегодня приведет к большим небезопасным проектам завтра
Cyber Media: Как, на ваш взгляд, будут развиваться атаки на облака в ближайшие 2–3 года?
Николай Лапин: Google Cloud выпускает прекрасные отчеты «Cloud Threat Horizons». В крайнем отчете упоминалось, что:
Порой, читая отчеты из этой прекрасной серии, можно вспомнить хорошо забытое старое, если не узнать что-то новое. Не буду брать на себя прогнозирование, а дальше вместе с вами следил за трендами и отчетами крупных облачных провайдеров.
Cyber Media: Можно ли в принципе построить «по-настоящему безопасное облако», или речь всегда идет о снижении рисков, но не об абсолютной защите?
Николай Лапин: В обиход входит словосочетание «гибридная инфраструктура». Если в начале моей карьеры в области информационной безопасности я регулярно слышал выражения вроде «Какие еще облака? Мы не будем им сливать свои данные», то сейчас наблюдается тенденция роста доверия от Zero Trust к Cloud Trust с оговорками. Регулярные аудиты, проходимые облачными провайдерами, получение сертификатов на соответствие требованиям законодательства делают провайдеров порой куда защищенней своих клиентов. Гибридная инфраструктура подразумевает разделение ответственности и для многих это будет большим облегчением и снижением рисков.
Cyber Media: Что бы вы рекомендовали компаниям, которые только переходят на подобные сервисы?
Николай Лапин: Попытаться оценить свой уровень зрелости за счет критического взгляда на имеющиеся процессы и команду. Стоит начать с изолированного тестового сегмента, изучить рекомендации провайдера и лучшие практики, разобраться с аудитом, мониторингом, ролевой моделью, сетевой сегментацией, моделью угроз и только потом уже пробовать переносить проекты в облако. Почему я так много всего потребовал от команды, которая только начинает переходить? Потому что наследие – наше все, проекты будут обрастать зависимостями и небезопасная конфигурация сегодня приведет к большим небезопасным проектам завтра. А ведь остановить все и привести в порядок будет уже не так просто: проект хочет жить и у него нет времени на даунтаймы.
В 2026 году киберугрозы продолжают усложняться, а требования регуляторов — ужесточаются.
Кирилл Рудик, главный архитектор по кибербезопасности Cloud X, в интервью для Cyber Media рассказал, как меняется ландшафт облачных угроз, какие риски связаны с Kubernetes и cloud-native архитектурами и какие технологии уже в ближайший год могут стать стандартом де-факто в сфере облачной безопасности.
Андрей Масалович — ведущий эксперт по конкурентной разведке, известный широкой аудитории как блогер КиберДед, Президент Консорциума «Инфорус» и создатель аналитической технологии Avalanche.
Гибкость — один из ключевых навыков менеджмента, в том числе в образовании.
Ситуация на российской арене кибербезопасности непрерывно меняется, но некоторые изменения непросто заметить со стороны.
Чем стейблкоины привлекательны для злоумышленников, в каких схемах они используются и какие меры позволяют своевременно выявлять и предотвращать вовлечение в незаконные транзакции — об этом в интервью Федора Иванова, директора по аналитике AML/KYT провайдера «Шард».
Схемы кибератак меняются все быстрее, а генеративный искусственный интеллект снижает барьер для входа в мир киберпреступности.
Как внедрить безопасность в разработку, не замедляя бизнес-процессы?
В последние годы компании начали смотреть на хранение паролей чуть внимательнее.
Дмитрий Овчинников — архитектор информационной безопасности UserGate.
