Использование облачных сервисов в российских организациях частая практика. Облачная инфраструктура становится частью ключевых бизнес-процессов, а в ряде случаев и критически важной средой обработки информации.
При этом вопрос контроля расходов на облако рассматривается как финансовая задача. Однако на практике резкое изменение затрат часто является первым признаком инцидента информационной безопасности.
В условиях модели оплаты по факту потребления ресурсов любые несанкционированные действия напрямую отражаются в расходах. Это делает мониторинг затрат эффективным инструментом выявления нарушений, в том числе связанных с компрометацией учетных записей и несанкционированным использованием вычислительных мощностей.
Почему контроль расходов — это задача информационной безопасности
В облачной инфраструктуре ресурсы (вычисления, хранение данных, сетевой трафик) предоставляются по запросу и оплачиваются по мере использования.
Это означает, что:

злоумышленник, получив доступ, может самостоятельно увеличивать объем потребляемых ресурсов;
такие действия не всегда блокируются средствами защиты;
но практически всегда приводят к росту затрат.

Таким образом, аномальное увеличение расходов это объективный и измеримый индикатор возможного инцидента.
Несанкционированный криптомайнинг как типовой сценарий
Одной из наиболее распространенных угроз в облачной среде является несанкционированное использование ресурсов для добычи криптовалюты.
Суть угрозы
Злоумышленник получает доступ к облачной инфраструктуре организации и запускает вычислительные процессы, направленные на генерацию криптовалюты.
Особенность ситуации заключается в следующем:

вычислительные ресурсы оплачивает организация;
злоумышленник получает прибыль;
нагрузка на инфраструктуру резко возрастает.

Типовой сценарий реализации

Компрометация учетных данных (например, доступ к учетной записи или ключам доступа)
Создание новых виртуальных машин или масштабирование существующих
Запуск программ для майнинга
Непрерывная загрузка ресурсов

В отличие от многих других атак, цель здесь не скрытность, а максимальное использование ресурсов до момента обнаружения.
Признаки аномального потребления ресурсов
Контроль расходов позволяет выявлять инциденты на ранней стадии.
К основным признакам относятся:
Резкое увеличение затрат

рост расходов в несколько раз за короткий период;
отсутствие связи с реальной деятельностью организации.

Появление новых ресурсов

создание виртуальных машин без согласования;
запуск ресурсов в неиспользуемых ранее регионах.

Изменение характера нагрузки

постоянная высокая загрузка процессора;
работа ресурсов в ночное время или выходные дни.

Использование дорогих типов ресурсов

задействование специализированных вычислительных мощностей без обоснования.

Ограничения традиционных средств защиты
В облачной среде действует принцип разграничения ответственности:

поставщик облачных услуг обеспечивает работоспособность инфраструктуры;
организация отвечает за управление доступами, настройками и использованием ресурсов.

В результате:

вредоносная активность может не распознаваться как атака;
сетевой трафик может выглядеть допустимым;
защитные системы не всегда фиксируют нарушение.

При этом финансовые показатели остаются универсальным индикатором, так как отражают фактическое использование ресурсов.
Практические меры: как использовать контроль расходов для защиты
1. Определение нормального уровня потребления
Необходимо зафиксировать:

средний объем затрат по каждому сервису;
типичную нагрузку в рабочее и нерабочее время;
допустимые отклонения.

2. Настройка уведомлений о превышении затрат
Рекомендуется внедрить механизмы, позволяющие оперативно реагировать на отклонения:

уведомления при превышении бюджета;
сигналы о резком росте расходов;
контроль создания новых ресурсов..

3. Контроль доступа и учетных записей
Большинство инцидентов связано с неправомерным использованием учетных данных.
Необходимо:

предоставлять минимально необходимые права;
регулярно пересматривать доступы;
использовать дополнительные методы подтверждения входа (многофакторная аутентификация).

4. Ограничение использования ресурсов
Рассмотрим практически значимые меры, позволяющие снизить ущерб даже при компрометации:

лимиты на количество создаваемых виртуальных машин;
ограничения на использование определенных типов ресурсов;
контроль географии размещения.

5. Связка финансовых и технических данных
Эффективный контроль достигается при объединении:

данных о расходах;
журналов событий в облаке;
информации о действиях пользователей.

Это позволяет выявлять причинно-следственные связи и быстрее реагировать на инциденты.
Типовой сценарий выявления инцидента
Организация фиксирует:

увеличение расходов в несколько раз за короткий период;
появление новых вычислительных ресурсов;
постоянную высокую загрузку системы.

В ходе анализа устанавливается:

использование скомпрометированных учетных данных;
запуск процессов, не связанных с деятельностью организации.

В подобных ситуациях именно контроль затрат позволяет выявить проблему раньше других механизмов.
Дополнительные риски, выявляемые через расходы
Мониторинг затрат позволяет обнаружить не только майнинг, но и:

ошибки конфигурации (например, неконтролируемое масштабирование);
несанкционированное использование ресурсов сотрудниками;
неотключенные тестовые среды;
аномальную передачу данных.

Типичные ошибки организаций

отсутствие контроля расходов в режиме реального времени;
отсутствие уведомлений о превышении затрат;
избыточные права доступа;
отсутствие регламентов реагирования;
игнорирование аномалий в нерабочее время.

Заключение
Мониторинг расходов облачных ресурсов — это не только инструмент финансового контроля, но и важный элемент системы информационной безопасности.
В условиях облачной инфраструктуры к нему относится:

любое несанкционированное действие отражается в потреблении ресурсов;
аномальные затраты становятся одним из первых признаков инцидента;
своевременное выявление отклонений позволяет существенно снизить ущерб.

Интеграция контроля расходов в процессы обеспечения информационной безопасности позволяет повысить прозрачность использования ресурсов и обеспечить более эффективную защиту информационных систем.
Автор статьи: Филиппова Анастасия Вячеславовна, специалист по информационной безопасности — Астрал. Безопасность