Vraag een cio wat de topprioriteiten zijn voor het komende jaar en de kans is groot dat digitale transformatie bovenaan staat. En vaak is een transitie naar de publieke cloud een van de speerpunten. Maar zo’n overstap naar de cloud kan ook blinde vlekken en gaten opleveren waar aanvallers graag misbruik van maken. Daarom is het belangrijk dat organisaties zich tijdig oriënteren op een goede mix van security tools die klaar zijn voor de cloud.
Digitale transformatie helpt organisaties bij het verhogen van de productiviteit en maakt dat ze sneller kunnen innoveren. Apps en microservices (zoals containers) uit de cloud zijn daarbij belangrijke tools. Ze versnellen de ontwikkeling van nieuwe toepassingen en diensten, waardoor een organisatie sneller en flexibeler kan inspelen op veranderende marktbehoeften.
‘Shadow it’
Toch ontbreekt het veel organisaties aan goed inzicht in hun eigen cloud-omgevingen. Uit onderzoek, zoals dat van BMC, blijkt dat veertig procent van de it-verantwoordelijken geen idee heeft hoeveel hun organisatie uitgeeft aan clouddiensten. Een groot probleem is ‘shadow it’. De cloud maakt het zo veel eenvoudiger om allerlei apps en diensten uit de cloud te gebruiken en uit te rollen binnen een organisatie. Zelden gaan zakelijke gebruikers hierbij over tot het informeren van de it-afdeling, laat staan dat ze de afdeling erbij betrekken.
Volgens Netskope gebruiken grote organisaties gemiddeld duizend cloud-apps, maar is maar liefst 92 procent van die apps niet geschikt voor gebruik in enterprise-omgevingen. Dit betekent dat ze bijvoorbeeld niet bestand zijn tegen cyberaanvallen.
Dit gebrek aan inzicht is nog zorgwekkender als we ons realiseren dat het aantal kwetsbaarheden in software blijft toenemen. Volgens Risk Based Security waren dat er in de eerste negen maanden van dit jaar niet minder dan 16.000 (!), een toename van 38 procent ten opzichte van dezelfde periode in 2016.
Groeiende dreiging
De dreiging is verre van hypothetisch. Een onderzoek door Barracuda wijst uit dat de hoeveelheid infrastructuur dat organisaties in EMEA in de cloud zetten, de komende vijf jaar zal toenemen van 35 naar 63 procent. Daarbij zegt zestig procent al eens getroffen te zijn door een cyberaanval, terwijl ruim een kwart (26%) verwacht in de toekomst te worden aangevallen.
Inzicht en controle zijn essentieel om ervoor te zorgen dat it de cybersecurityrisico’s in de cloud effectief kan beheersen. Maar de recente praktijk wijst uit dat juist hier nog de nodige maatregelen ontbreken. Denk aan de regelmatige meldingen over grote, bekende organisaties waarvan clouddatabases vol met gevoelige informatie probleemloos toegankelijk waren via internet. Zo bleken van onder andere Time Warner (vier miljoen klanten) en Verizon (zes miljoen klanten) data van en over klanten voor iedereen toegankelijk, omdat hun Amazon S3-opslag niet juist geconfigureerd was. En in de meeste gevallen werd dit niet door de organisaties zelf ontdekt, maar werden ze hierop gewezen door beveiligingsonderzoekers. Volgens veel van deze organisaties waren deze lekken de verantwoordelijkheid van externe leveranciers.
Hoewel deze lekken organisaties in verlegenheid brengen en niet best zijn voor de reputatie, zijn deze data in de meeste gevallen niet in de handen van cybercriminelen gekomen. Maar dat is anders bij de steeds doelgerichtere aanvallen waarbij cloud-apps al vroeg in de ontwikkelfase worden besmet. Het probleem met de nieuwe, op DevOps-gebaseerde aanpak bij het ontwikkelen van cloud-apps is dat time-to-market daarbij de belangrijkste prioriteit heeft, vaak ten koste van security. En de aanvallers weten dat.
Dit jaar hebben onderzoekers laten zien dat Docker-containers uitstekende plekken zijn om malwarebesmettingen te verbergen. Onlangs werd bijvoorbeeld malware ontdekt in de officiële bibliotheek voor de populaire Python-programmeertaal. Die malware is vervolgens terechtgekomen in softwarepakketten. Dit soort ‘supply chain’-aanvallen is effectief wanneer ontwikkelaars het nalaten om security al vroeg in het ontwikkelproces mee te nemen.
DevSecOps
Het is niet eenvoudig om iets te doen aan deze dreigingen, omdat er nu eenmaal niet één specifieke zwakheid is om te verhelpen. Een goed begin zou zijn om van DevOps naar DevSecOps te gaan, waarbij security in de hele applicatieontwikkelcyclus wordt meegenomen. Dit betekent onder andere het gebruik van web application firewalls en andere beveiligingsmiddelen die api-ondersteuning bieden. Daarmee kunnen ontwikkelteams security optimaal meenemen in cloudprojecten. Dit soort ‘cloud generation firewalls’ is een volgende stap in de evolutie van de firewall, specifiek bedoeld om de beveiliging van cloud-infrastructuur naar een hoger niveau te tillen.
Toch is dit slechts een eerste stap. Om te voorkomen zijn dat it-teams databases niet juist configureren, moeten organisaties eerst het totale ontwikkelproces herzien. Daarbij zou ook het werk van derde partijen meegenomen moeten worden, omdat zich juist daar vaak zwakheden in bevinden die niet ontdekt worden door de eigen it-afdeling.
De grootste uitdaging is echter het creëren van een cybersecurity-cultuur binnen de hele organisatie. Daarvoor moet het personeel bewust worden gemaakt van de risico’s van shadow it, terwijl de it-afdeling vaker ‘ja’ zou moeten zeggen tegen het gebruik van cloud-tools of -diensten die helpen bij het verbeteren van de zakelijke productiviteit.
Organisaties hebben op dit gebied nog een lange weg te gaan. Maar wie er in slaagt om de cloud effectief te beveiligen, zal zeker kunnen rekenen op concurrentievoordeel.
@henri
“Je vergelijkingen zijn leuk, ze snijden alleen geen hout. ”
wees accuraat, ze snijden voor *jou* geen hout.
de kleuter is de ontvanger van een tool en de bad parent is degene die de tool aanbied wetende dat de ontvanger niet rijp daarvoor is. of dat nu de consultant naar een organisatie toe is, of een ITer naar een gebruiker. equivalent.
sucess verder!
“Onvolwassen organisaties die toch grote verantwoordelijkheden aangaan zijn gewoon zonder eigen controle of inzicht zijn onverantwoordelijk. Daar moet je niet de externe consultant of de tool de schuld van geven. Onvolwassen organisaties worden geleid tot volwassen mensen, die komen echt niet weg met “Dat heb ik niet geweten”
De persoon die de complexe tool in die onvolwassen organisatie gebracht heeft draagt ook een grote verantwoordelijkheid. De bad parenting bijdrage die je nu weer weg bagataliseerd.
“En klanten hebben ook een verantwoordelijkheid om de trackrecord te checken van bedrijven waarmee ze zaken doen. Zo weet je dat een bol.com zijn zaakjes beter op orde heeft dan OmeJanGereedschap.nl over HTTP. Als OmeJan dan gehackt wordt draag je ook zelf wel een klein beetje schuld. Als je groot genoeg bent om online te bankieren moet je ook het besef hebben hoe je de minimale goede gewoontes neemt om dit veilig te doen.”
Dat zou je zo zeggen, maar er gebeuren ook net zo veel fails bij die ‘grote jonges’ die je klaarblijkelijk eerder op de blauwe ogen geloofd. equifax je bekend? verder heeft de klant het niet altijd meer voor het kiezen, er zijn in dit land inmiddels genoeg delen waarbij je niet meer ontkomt aan internet bankieren, of je het nu wilt of niet, of je het nu snapt of niet. om deze mensen die dat opgedrongen hebben gekregen nu verantwoordelijk te stellen voor de technologie die ze niet kunnen gebruiken, is ook weer de wereld op zijn kop!
enfin, wees eens genuanceerder en accepteer dat er een duidelijke scherpe rand aan technology zit en dat je misschien wat voorzichtiger met nieuwe tools en hippe dingetjes als consultant om moet springen want het land niet altijd goed bij iedere organisatie en als expert hoor je je verantwoordelijkheden te nemen daarin.
Dus nogmaals sucess ermee, het is wel duidelijk zo…