Cloud Technology Security

Cover Page

Cite item

Full Text

Abstract

The article is devoted to the relevance of the use of cloud technologies in the modern world; data on the size of the global market for public cloud services over the past two years is presented. The advantages of using cloud technologies are determined, the classification of cloud systems is considered. The main regulations governing the operation of cloud storage are given. Particular attention is paid to the issues of information security of cloud systems, the most dangerous attacks that are relevant in the field of cloud technologies are presented, their characteristic features and the possible consequences of their occurrence for users and organizations are described. As a solution for creating a cloud system with a high level of security, the concept of multi-level security has been defined, including encryption, multi-factor authentication, the use of the TLS protocol, protection against DDoS attacks, timely monitoring of infrastructure security risks and organizational security policy.

Full Text

ВВЕДЕНИЕ

Современным подходом к формированию IT инфраструктуры являются облачные технологии, представляющие собой сочетание информационных систем, позволяющих осуществлять коллективный удаленный доступ к данным. Облачные сервисы включают серверы, размещенные в центрах обработки данных (ЦОД), которые обеспечивают ресурсами множество различных приложений, используемые одновременно миллионами клиентов разных стран.

Существует три основных модели развертывания облачных систем: частное облако, публичное облако и гибридное облако [1].

Частное облако является внутрикорпоративной облачной инфраструктурой. В частном облаке возможно осуществлять управление как самостоятельно, так и через оператора. Преимуществом первого случая является гибкость настройки и более высокий уровень защиты при работе с конфиденциальной информацией, недостатком является необходимость установки, настройки конфигураций и поддержки работы облачной системы, что требует дополнительных финансовых и временных ресурсов, а также необходимость привлечения высококвалифицированных кадров.

  • Публичное облако -IaaS (Infrastructure as a Service) инфраструктура как услуга предоставляет пользователям физические ресурсы ЦОД, с возможностью устанавливать любое свое программное обеспечение, таким образом клиент не может контролировать облачную систему, но может управлять сетевыми компонентами системы. Безопасность инфраструктуры лежит в сфере ответственности провайдера, а за безопасность приложений отвечает заказчик. Достоинством такой модели является снижение стоимости оборудования, поскольку оно предоставляется ЦОД [3].
  • PaaS (Platform as a Service) платформа как услуга предоставляет пользователям инфраструктуру для размещения приложений, при этом пользователь может контролировать настройки параметров хостинга, а также установленных приложений. Безопасность инфраструктуры полностью лежит в сфере ответственности пользователя. Предоставленные приложения функционируют как в ЦОД, так и в самом облаке. В состав PaaS могут добавляться такие типы облачных сервисов, как DBaaS (Database as a Service), позволяющий получить доступ к базе данных любого типа по соответствующему запросу, MWaaS (Middleware as a Service) содержащий сервер приложений, а также позволяющий обеспечивать информационную безопасность [4].
  • SaaS (Software as a Service) облачные сервисы для конкретных прикладных задач предоставляют пользователю программное обеспечение, которое развернуто на удаленных серверах поставщика. В зоне ответственности пользователя лежит настройка конфигураций и необходимость следовать инструкциям оператора по настройкам приложений в безопасном режиме. К положительным характеристикам можно отнести быстрый и удобный доступ с помощью мобильного приложения или интернета, к недостаткам – низкую скорость обработки данных и запрет на использование сторонних сервисов [5].

Выбор модели осуществляется в соответствии с запросами и возможностями конкретных пользователей и организаций. Так преимуществами PaaS-платформ являются масштабируемость и относительно низкий уровень стоимости, однако существуют и определенные недостатки, такие как проблема ограничения функционала возможностями провайдера, низкая скорость доступа к данным и необходимость повышения требований к обеспечению информационной безопасности, поскольку данные предаются по общедоступным каналам связи. Характерными особенностями платформ IaaS являются гибкость и высокий уровень контроля со стороны пользователя. Чаще всего пользователями IaaS платформ являются IT-специалисты, PaaS платформ – разработчики, а SaaS платформ – бизнес-пользователи, которым необходим доступ к уже готовым облачным ресурсам. Во всех моделях облачных сервисов соответствие стандартам и правилами является общей ответственностью поставщика и клиента, при этом информационная безопасность – критический аспект облачных услуг.

В табл. 1 представлены данные по объему (в млрд) глобального рынка публичных облачных сервисов в период с 2022 по 2023 г. и прогноз аналитиков на 2024 г.

 

Таблица 1

 

Годы [Yars]

2022

2023

2024

PaaS (облачная платформа как услуга) [PaaS (cloud platform as a service)]

119,6

145,3

176,5

SaaS (облачные сервисы для конкретных прикладных задач) [SaaS (cloud services for specific application tasks)]

174,4

205,2

243,9

BPaaS (решению бизнес-задач на основе облачных технологий) [BPaaS (solving business problems based on cloud technologies)]

61,6

66,3

72,9

DaaS (рабочее место как услуга) [DaaS (workplace as a service)]

2,4

2,8

3,1

IaaS (облачная инфраструктура как услуга) [IaaS (cloud infrastructure as a service)]

120,3

143,9

182,2

Общая сумма [Total amount]

478,3

563,5

678,6

 

Как показывает практика, наиболее крупным сегментом отрасли являются облачные сервисы для конкретных прикладных задач. Примерами SaaS могут служить такие сервисы в сети, как электронная почта, CRM-системы, веб-конструкторы для разработки сайтов, платформы для ведения блогов и пр.

Если рассматривать отечественный рынок публичных облачных сервисов, то по итогам 2023 г. он составил 121 млрд руб.[1] Согласно прогнозам экспертов, российский рынок облачных технологий ожидает активный рост, который по предварительным расчетам может составить более 30% в 2024 г.2

Стремительный рост расходов на облачные технологии связан сразу с несколькими факторами.

Развитие направления генеративного искусственного интеллекта (GenAI). Внедрение искусственного интеллекта в системы мониторинга, управления и поддержки способствует повышению не только эффективности работы с данными, но информационной безопасности, поскольку используют новый подход в мониторинге угроз, выявляя аномалии поведения и прогнозируя потенциальные атаки на основе существующих тенденций в киберпреступности.

Рост количества отраслевых облачных платформ. Данная тенденция связана в первую очередь с необходимостью повышения скорости бизнес-операций, по прогнозам Gartner к 2027 г. более 70% предприятий будут использовать отраслевые облачные платформы.

ЦЕЛЬ ИССЛЕДОВАНИЯ

Наблюдаемая тенденция роста затрат на облачные технологии, обусловлена удобством их использования. Основные преимущества облачных технологий представлены на рис. 1.

Рассмотрим основные нормативно-правовые акты, регулирующие работу облачных хранилищ:

  • ГОСТ Р ИСО/МЭК 17826–2015 «Информационные технологии. Интерфейс управления облачными данными (CDMI)»;
  • ГОСТ Р ИСО/МЭК 15408 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий»;
  • ГОСТ Р 56938–2016 «Защита информации. Защита информации при использовании технологий виртуализации. Общие положения». Стандарт определяющий требования по защите информации, обрабатываемой с использованием технологий виртуализации;
  • ГОСТ ISO/IEC 17788–2016 «Межгосударственный стандарт. Информационные технологии облачные вычисления. Общие положения и терминология Information technology. Cloud computing. Overview and vocabulary»;
  • Федеральный закон № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
  • Федеральный закон № 152-ФЗ от 27.07.2006 «О персональных данных»;
  • Постановление Правительства РФ № 1119;
  • Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»;
  • Приказ ФСТЭК России от 11.02.2013 № 17 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» [6].

 

Рис. 1. Основные преимущества облачных технологий

Fig. 1. The main advantages of cloud technologies

 

Таким образом, законодательство регулирует и регламентирует хранение и обработку данных с использованием облачных технологий.

Современные облачные вычисления характеризуются высоким уровнем защиты хранимых и передаваемых данных, однако уязвимости системы могут привести к несанкционированному доступу к информации с последующей модификацией или потерей данных, что вызовет сбой в работе сервисов. По результатам исследований компании Palo Alto Networks, для 99% облачных ресурсов настройки осуществлены таким образом, что практически не препятствуют доступу, а как следствие и хищению, персональных данных сотрудников и корпоративных данных организаций [7]. Более 65% обнаруженных киберинцидентов связаны с некорректными настройками при идентификации и предоставлении доступа сотрудникам, кроме этого слабым местом политики безопасности является пароли, которые зачастую используются многократно, либо имеют низкий уровень стойкости. Более половины исследуемых организаций использовали общедоступные облачные ресурсы. До сих пор большая часть криптоугроз связана с «человеческим фактором» и игнорированием политики управления данными, так, например, порядка 75% облачных учетных записей внешних подрядчиков не аннулируются по завершению трудовых отношений [8]. Порядка 15% сотрудников хранят корпоративные данные в личных учетных записях, среди таких данных могут содержаться и конфиденциальные данные, а также данные составляющие коммерческую тайну. Объем атак в облачных инфраструктурах стремительно растет с каждым годом, поэтому решение проблемы обеспечения должного уровня безопасности является одной из первостепенных задач при работе с облачными сервисами. В табл. 2 представлены наиболее опасные атаки, актуальные в сфере облачных технологий, описаны их характерные особенности и возможные последствия их наступления для пользователей и организаций [9].

 

Таблица 2

Наименование атаки

[Name

of the attack]

Характерные особенности [Characteristic features]

Последствия [Consequences]

Способы и сервисы

по защите

[Methods and services

for protection]

DDoS-атака («распределенный

отказ

в обслуживании»)

[DDoS attack (Distributed Denial of Service)]

Кибератака, ориентированная на вывод из строя или затруднении доступа к системам, за счет большого потока запросов на сервер, вызывающего снижение производительности системы, вплоть до полного отказа

[A cyber attack aimed at disabling or hindering access to systems by sending a large flow of requests to the server, causing a decrease in system performance, up to and including complete failure]

·              Нарушение доступности критически важных сервисов [Disruption of availability of critical services]

·              Финансовые потери [Financial losses]

·              Ущерб репутации организации [Damage to the organization’s reputation]

DDOS-GUARD

Cloudflare

StormWall

Yandex DDoS Protection

DoS-атаки

[DoS attack –

Denial of Service]

Аналог DDoS-атак в рамках одной подсети

[Analogous to DDoS attacks within a single subnet]

·              Нарушение доступности критически важных сервисов [Disruption of availability of critical services]

·              Финансовые потери [Financial losses]

·              Ущерб репутации организации [Damage to the organization’s reputation]

DDOS-GUARD

Cloudflare

StormWall

Yandex DDoS Protection

Взлом аккаунта [Account hacking]

Несанкционированный доступ злоумышленника к учетной записи облачных вычислений с целью чтения, модификации или удаления данных пользователя

[Unauthorized access by an attacker to a cloud computing account to read, modify, or delete user data]

·              Кража данных, хранящихся в облаке [Theft of data stored in the cloud]

·              Манипуляция данными [Data manipulation]

·              Риск использования связанных ресурсов данного пользователя [Risk of using the associated resources of this user]

 

Компрометация

учетной записи

пользователя

[User account compromise]

Получение злоумышленником доступа к учетной записи путем фишинга, в результате которого, пользователь сам предоставляет свои учетные данные, либо при нахождении уязвимостей в системе

[An attacker gains access to an account through phishing, as a result of which the user provides their credentials, or by finding vulnerabilities in the system]

·              Кража данных, хранящихся в облаке [Theft of data stored in the cloud]

·              Манипуляция данными [Data manipulation]

·              Риск использования связанных ресурсов данного пользователя [Risk of using the associated resources of this user]

Netcraft

WOT

Bitdefender TrafficLight Netcraft

WOT

Bitdefender TrafficLight

SQL-инъекция

[SQL-injection]

Кибератака, основанная на внедрении в запрос произвольного SQL-кода

[A cyberattack based on the injection of arbitrary SQL-code into a query]

·              Потеря данных [Data loss]

·              Модификация данных [Data modification]

·              Утечка данных [Data leakage]

·              Отказ в доступе [Access denial]

SQL Injection Scanner

Web Application Firewall

SQL Injection Scanner

Web Application Firewall

Небезопасные API [Insecure APIs]

Небезопасные API имеют уязвимости, например [Insecure APIs have vulnerabilities such as]:

·              теневые API: к таким API можно отнести не задокументированные или не авторизованные в соответствии с политикой безопасности, в следствии их использования конфиденциальные данные могут быть предоставлены неавторизованным лицам [shadow APIs: These are APIs that are not documented or authorized by security policy, and their use may expose sensitive data to unauthorized parties]

·              параметры API: уязвимость данных API для атак путем внедрения, если они не проверены и не стандартизированы [API parameters: API data is vulnerable to injection attacks if it is not tested and standardized];

·              API-посредники удобны при осуществлении взаимодействия между компонентами приложений, но также являются слабыми точками системы [API intermediaries, which are convenient for interaction between application components, but are also weak points of the system]

·              Получение несанкционированного доступа к системам и данным [Obtaining unauthorized access to systems and data]

·              Нарушение работы API, получение несанкционированного доступа к системам и данным [Disruption of the API to obtain unauthorized access to systems and data]

·              Нарушение работы API

·              [Disruption of API operation]

Nginx App Protect

PTAF

Wallarm API Security

InfoWatch Attack Killer

Yandex Smart Web Security

 

Можно сформулировать основные угрозы, характерные для облачных технологий.

Утечка информации

Одной из наиболее частых угроз является несанкционированный доступ к данным и как следствие, утечка и потеря конфиденциальной информации. При этом к категории злоумышленников можно отнести как внешних, так и внутренних нарушителей. Объектом хакерских атак чаще всего становится коммерческая тайна, объекты интеллектуальной собственности, корпоративные и персональные данные. Данная проблема регулируется различными нормативно-правовыми актами, тем не менее несет серьезные репутационные риски для организации и провайдера [10].

Обход аутентификации

Причиной утечки информации нередко является проблема некачественной настройки механизмов аутентификации, что связано с небрежным отношением или отсутствием необходимой квалификации сотрудников, в результате чего права пользователей не соответствуют их должностным полномочиям. Кроме этого, могут применяться не надежные или дублируемые пароли и слабые ключи [11].

Кража учетных записей

Кража учетных записей зачастую происходит из-за фишинга, следствием которого может стать не только утечка данных, но и внедрение эксплойта, аналога вредоносных программ отсроченного действия, который в отличие от социальной инженерии, гарантирует результат за счет эксплуатации уязвимостей. К основным нежелательным последствиям краж учетных записей можно также отнести манипуляции с транзакциями и изменениями данных [12].

Уязвимость систем

Данный тип угроз особенно актуален при использовании публичных сервисов, решение проблемы лежит в формировании грамотного управления информационными технологиями, на основе регулярного мониторига систем и моментального реагирования на возникающие аномалии [13].

Кибератаки

Наряду со стандартными, встроенными способами защиты информации необходимо ориентироваться на повышение квалификации сотрудников, позволяющее расширить используемые инструменты и предотвратить атаку на ранних стадиях [14].

РЕЗУЛЬТАТЫ ИССЛЕДОВАНИЯ

Стандартно выделяют три основные принципа информационная безопасности в облаке: конфиденциальность, целостность и доступность информации или средств ее обработки.

Создания облачной системы с высоким уровнем безопасности возможно только при формировании концепции многоуровневой безопасности, которая включает в себя следующие параметры.

Многофакторная аутентификация

К основным задачам информационной безопасности облачных систем можно отнести:

  • безопасность регистрации;
  • безопасность хранения данных содержащихся в учетных записях пользователей;
  • безопасность данных при взаимодействии облачных сервисов;
  • контроль доступа пользователей облачных сервисов.

Выбор способа аутентификации пользователей напрямую зависит от модели развертывания облачных систем, так, например, для частного облака возможны случаи, когда вполне достаточно применения политики одноразовых паролей. Для публичного облака рекомендуется использовать технологии взаимной аутентификации, в основе которых лежат механизмы усиленной квалифицированной электронной подписи, что не исключает дополнительного применения одноразовых паролей. Таким образом, облачной инфраструктуре необходимо использовать не только статические, но и динамические пароли, позволяющие подтверждать учетные данные пользователя по одноразовому паролю, также возможно использование биометрических схем или аппаратных токенов [15].

Шифрование данных

Облачное шифрование данных, как правило, уже встроено в облачную инфраструктуру, что позволяет автоматизировать процесс шифрования при хранении и передачи данных. Шифрование должно осуществляться на всех этапах работы с данными: на стороне пользователя, при передаче к серверу, в процессе хранения в базе данных. Дополнительно, в целях повышения криптостойкости, облачные провайдеры предоставляют клиентам сервисы для управления шифрованием, например, сервис Key Management Service. Надежность шифрования зависит от многих параметров, но в большей степени от политики хранения ключей и невозможности их вычисления или кражи. Key Management Service позволяет создавать ключи шифрования и управлять ими, обеспечивая безопасное и централизованное хранение ключей, учитывая при этом специфику шифруемых данных. Данный сервис работает как с симметричными, так и с асимметричными криптосистемами. Криптоматериал ключей хранится в зашифрованном виде и недоступен в открытом виде вне сервиса, он восстанавливается в оперативную память на время выполнения операций с соответствующим ключом. Сценарии шифрования для конкретной организации зачастую определяются ее внутренней политикой информационной безопасности, обязательным требованием является соответствие государственным нормативно-правовым актам, так, например, при работе с персональными данными, необходимо исполнение Федерального закона № 152 «О персональных данных», при работе. Для органов государственной власти, государственных и муниципальных информационных систем, в соответствии с Федеральным законом № 149, необходимым условием является расположение всех технических средств на территории Российской Федерации. Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации ведет реестр мест расположения технических средств информационных систем и контролирует выполнение предъявленных требований. В соответствии с приказом ФСТЭК № 17, все государственные и муниципальные информационные системы должны быть аттестованы, что возможно только при расположении отечественном облаке или центре обработки данных [16].

SSL/TLS протоколы

TLS протоколы обеспечивают защищенное соединение между клиентом и сервером. Данные во время передачи наиболее уязвимы к атакам, направленным на их чтение, перехват и модификацию, их надежное шифрование является гарантом целостности и конфиденциальности. При работе протокола TLS в процессе передачи данных создается канал, основанный на симметричном или ассиметричном шифровании, в зависимости от реализуемого этапа. Во время этапа «рукопожатия», при аутентификации пользователей и в процессе обмена ключами используется более надежное, но более ресурсозатратное ассиметричное шифрование, при шифровании самих сообщений, когда безопасный канал уже установлен, применяется симметричное шифрование, обладающее высокой скоростью реализации. Целостность гарантирует применение хэширования ко всем передаваемым данным на стороне отправителя и получателя. В качестве криптонаборов целесообразно использовать алгоритмы российского стандарта шифрования ГОСТ 34.12–2018. Наиболее современной версией протокола на сегодняшний день является TLS 1.3. К его преимуществам можно отнести: наличие процедуры возобновления сессии, сокращение времени протокола рукопожатия, возможность отправления данных без ожидания подтверждения от сервера [17].

Базовая защита от DDoS-атак

Поскольку отказ в обслуживании – это глобальная проблема безопасности облачных сервисов, обязательным компонентом комплексной защиты облачных хранилищ является система обнаружения вторжений, выявляющая аномальный трафик, а также система предотвращения вторжений, реализующая разрыв соединения или блокировку IP-адреса, с которого ведутся подозрительные действия. Проверка типа трафика реализована во многих межсетевых экранах, что позволяет проанализировать источник, оценить его потенциальную опасность, а также ограничить его исходную скорость и осуществить блокировку скомпрометированных IP-адресов. По принципу действия системы обнаружения и предотвращения вторжений можно разделить на сигнатурные и основанные на аномалиях. Принцип работы первых схож с организацией работы антивирусного программного обеспечения, т.е. происходит анализ и сравнение сигнатур с имеющимися в базе. Результат работы с неизвестными сигнатурами может быть некорректным. Во втором подходе применяются технологии машинного обучения, что увеличивает как эффективность системы, так и сложность ее реализации, и время разработки за счет необходимости предварительного обучения моделей [18].

Вторая категория классификации систем обнаружения и предотвращения вторжений – по месту установки позволяет использовать различные конфигурации данной системы защиты. Network Intrusion Detection System (NIDS) – осуществляет глубокий и детальный анализ трафика всех сетевых устройств системы. Host-based Intrusion Detection System (HIDS) – применяется исключительно к одному хосту и реагирует на малейшие изменения версии хоста, поэтому ее применение целесообразно для критически важных хостов, конфигурации которых не изменяются. Perimeter Intrusion Detection Systems (PIDS) осуществляет общий контроль безопасности сети без принятия каких-либо мероприятий безопасности. Virtual Machine-based Intrusion Detection Systems (VMIDS) является аналогом системы обнаружения для виртуальных машин. Application Protocol-based Intrusion Detection System (APIDS) используется для контроля передачи данных прикладного уровня [21].

Hybrid Intrusion Detection System (HyIDS) – гибридное решение, сочетающее преимущества различных систем обнаружения и предотвращения вторжений.

На данный момент на рынке существует достаточно большой спектр межсетевых экранов нового поколения, сочетающих в себе как набор основных функций брандмауэра, так и дополнительные функции, такие как контроль приложений, предотвращение вторжений, анализ URL-адресов, к которым обращаются пользователи и другие [20]. Активно развиваются как программные, так и аппаратные отечественные модели межсетевых экранов. Выбор межсетевого экрана зависит от конкретной организации (например, осуществляется ли работа с государственными информационными системами или на объектах критической инфраструктуры) и определяется такими факторами, как наличие сертификатов ФСТЭК, ФСБ и Минобороны РФ.

Мониторинг рисков безопасности инфраструктуры

Мониторинг и анализ поведения пользователей в режиме реального времени дают возможность не только своевременно обнаружить несанкционированный доступ к той или иной части системы, но и определить аномальные действия, как потенциальную угрозу безопасности системы. Используя облачные технологии можно отслеживать наличие уязвимостей, блокировать несанкционированные соединения. Помимо этого, необходимо проводить постоянную проверку системы безопасности, выявляя слабые стороны выбранной стратегии защиты и оценивая ее эффективность [21].

Резервное копирование и восстановление данных

Резервное копирование поможет сохранить данные, в случае их повреждения или компрометации злоумышленником, чтобы обеспечить их безопасное хранение, можно воспользоваться услугами дата-центра.

Повышение квалификации сотрудников

Регулярное обучение в области информационной безопасности позволяет минимизировать риски, связанные с «человеческим фактором», поскольку информирует сотрудников об актуальных угрозах в сфере облачной безопасности, о правилах работы с персональными и корпоративными данными, и позволяет определять некоторые характеристики вредоносной деятельности злоумышленника.

Лучшим решением в облачной инфраструктуре является Zero Trust – модель нулевого доверия, в основе которой лежит параноидальная модель потенциальной опасности любых точек информационной системы. Результатом применения Zero Trust является установка минимальных привилегии пользователям, персонализированное разграничение доступа, постоянный мониторинг объектов облачной системы.

Необходимо также уделить внимание разработке и внедрению комплексной политики управления данными, формированию единых принципов и нормативных актов по приобретению и использования облачных сервисов в организации.

Статистика подтверждает актуальность проблемы обеспечения безопасности облачных технологий, в 2023 г. число облачных уязвимостей возросло более чем в 2 раза в сравнении с 2022 г. Так, например, число DDoS-атак за последний год увеличилось в четыре раза. Обеспечение безопасности в сервисах и защита приложений при облачных вычислениях является крайне важным аспектом сохранения целостности и конфиденциальности данных, которые нельзя игнорировать.

ЗАКЛЮЧЕНИЕ

Облачные сервисы, благодаря своей гибкости и масштабируемости удобны в использовании, но могут создавать определенную угрозу безопасности данных, как корпоративных, так и персональных, поэтому стабильная и эффективная работа облачных систем возможна только при условии своевременного мониторинга систем, грамотной политики безопасности, ориентированной на подбор программно-аппаратных систем защиты и своевременную подготовку сотрудников.

1 Киберугрозы финансовой отрасли: промежуточные итоги 2023 года // Positive Technologies. URL: ptsecurity.com/ru-ru/research/analytics/financial-industry-security-interim-2023/ (дата обращения: 01.02.2024).

2 Актуальные киберугрозы: III квартал 2023 года // Positive Technologies. URL: ptsecurity.com/ru-ru/research/analytics/cybersecurity-threatscape-2023-q3/ (дата обращения: 04.02.2024).

×

About the authors

Natalia V. Bespalova

Financial University under the Government of the Russian Federation

Author for correspondence.
Email: NVBespalova@fa.ru
ORCID iD: 0000-0003-3733-3119
SPIN-code: 1676-8226
Scopus Author ID: 57194131769

Cand. Sci. (Phys.-Math.); associate professor, Department of Information Technology, Faculty of Information Technology and Big Data Analysis

Russian Federation, Moscow

References

  1. Komar R., Patil A. Emerging trends in cloud computing: A comprehensive analysis of deployment models and service models for scalability, flexibility, and security enhancements. Journal of Intelligent Systems and Applied Data Science. 2023. Vol. 1. No. 1.
  2. Toutov A. et al. Optimizing the migration of virtual machines in cloud data centers. International Journal of Embedded and Real-Time Communication Systems (IJERTCS). 2022. Vol. 13. No. 1. Pp. 1–19.
  3. George A.S., Sagayarajan S. Securing cloud application infrastructure: understanding the penetration testing challenges of IaaS, PaaS, and SaaS environments. Partners Universal International Research Journal. 2023. Vol. 2. No. 1. Pp. 24–34.
  4. Nanda A.K. et al. Securing Cloud Infrastructure in IaaS and PaaS Environments. In: Improving Security, Privacy, and Trust in Cloud Computing. IGI Global. 2024. Pp. 1–33.
  5. Gantsatsuk V.V. et al. Approach to organizing information security in the cloud. In: Information security of regions of Russia (IBRR-2021). 2021. Pp. 138–139.
  6. Bespalova N.V., Nechaev S.V. Ensuring information security of cloud storages. Security Issues. 2023. No. 2. Pp. 19–26. (In Rus.)
  7. Tonkikh A.S., Avksentyeva E. Yu. Security threats in cloud technologies and methods for eliminating them. International Journal of Humanities and Natural Sciences. 2024. No. 1-2 (88). Pp. 232–238. (In Rus.)
  8. Mironova A.O. et al. Application of methods for assessing threats to information security. Power Plants and Technologies. 2021. Vol. 7. No. 4. P. 71. (In Rus.)
  9. Maslova M.A., Kuzminykh E.S. Problems of cloud services and methods of protection against risks and threats. Scientific Result Information Technology. 2022. Vol. 7. No. 3. Pp. 14–22. (In Rus.)
  10. Akbarova M.R. Security and data protection in cloud technologies. Universum: Technical Sciences. 2022. No. 10-1 (103). Pp. 17–19. (In Rus.)
  11. Mazneva O.A., Volobuev A.A., Efremov M.A. Information security in cloud data storage. In: Modern information technologies and information security. 2024. P. 87.
  12. Nesterenko V.R., Maslova M.A. Modern challenges and threats to information security of public cloud solutions and ways of working with them. Scientific Result Information Technology. 2021. Vol. 6. No. 1. Pp. 48–54. (In Rus.)
  13. Kocheshkov A.A., Senkiv D.A. Information security of public cloud services. Scientific and Technical Bulletin of the Volga Region. 2020. No. 7. Pp. 70–72. (In Rus.)
  14. Alshamrani A. et al. A survey on advanced persistent threats: Techniques, solutions, challenges, and research opportunities. IEEE Communications Surveys & Tutorials. 2019. Vol. 21. No. 2. Pp. 1851–1877.
  15. Nikiforova A.A. Information security and cloud computing. E-Scio. 2021. No. 11 (62). Pp. 22–28. (In Rus.)
  16. Yakovishin A.D. Application of cryptographic technologies to protect information in cloud services. International Journal of Humanities and Natural Sciences. 2024. No. 1-2 (88). Pp. 245–249. (In Rus.)
  17. Semeko G.V. Information security in the financial sector: Cybercrime and counteraction strategy. Social Innovations and Social Sciences. 2020. No. 1. Pp. 77–96. (In Rus.)
  18. Bamrara A. Evaluating database security and cyber-attacks: A relational approach. Journal of Internet Banking and Commerce. 2015. Vol. 20. No. 2. Pp. 1–17.
  19. Canizo M. et al. Multi-head CNN–RNN for multi-time series anomaly detection: An industrial case study. Neurocomputing. 2019. Vol. 363. Pp. 246–260.
  20. Ahmed M., Mahmood A.N., Hu J. A survey of network anomaly detection techniques. Journal of Network and Computer Applications. 2016. Vol. 60. Pp. 19–31.
  21. Castillo D.P., Regidor F.M., Higuera J.B. et al. A new mail system for secure data transmission in cyber physical systems. International Journal of Uncertainty, Fuzziness and Knowledge-Based Systems. 2020. Vol. 28 (2). Pp. 23–48. DOI: 10.1142/ S0218488520400127.

Supplementary files

Supplementary Files
Action
1. JATS XML
Download
2. Fig. 1. The main advantages of cloud technologies

Download (259KB)
Indexing metadata

Copyright (c) 2024 Yur-VAK

License URL: https://journals.eco-vector.com/2313-223X/about/editorialPolicies