De beveiliging van netwerken in de cloud wordt steeds vaker onder vuur genomen. Ruim een op de zes bedrijven (16 procent) had het afgelopen jaar te maken met een lek in de cloud. De belangrijkste aanvalsvectoren die hierbij werden waargenomen, zijn zwakke configuraties, misbruik van inloggegevens en accounts alsmede schaduw-it.
Dit zijn de voornaamste conclusies uit een onderzoek dat Sans Institute (securitytraining en -certificering) deed onder bedrijven en instellingen in Noord-Amerika, Europa en Azië. Het onderzoek richt zich op de vraag hoe cloudbeveiliging de bedrijfsinfrastructuur heeft veranderd. Dit als reactie op Covid-19 en de trend naar thuiswerken. Verder werd bekeken of organisaties de cloud zien als een integraal onderdeel van hun bedrijfsnetwerk. Een andere vraag was hoe netwerkverkeer en metadata worden gebruikt voor opsporing en respons.
Tweederde van de ondernemingen die aan het onderzoek deelnamen, beschouwt saas-, paas- en iaas-platforms voor cloudlevering als onderdeel van hun netwerkperimeter. De belangrijkste netwerk-beveiligingscontroles die in openbare cloudomgevingen worden gebruikt, zijn firewalls voor webtoepassingen (waf’s), netwerktoegangscontroles en detectie en preventie van het binnendringen van netwerken. Sans constateert dat sinds 2019 het aantal kwetsbaarheden binnen de cloud sterk is toegenomen. Gevoelige data kwamen op straat te liggen. Openbare cloudomgevingen bleken niet veilig.
Microsoft Azure
Het rapport noemt als voorbeeld de problemen die Microsoft in 2019 en 2020 met Azure had. In die periode deden zich verschillende storingen voor. In 2019 werd de Azure-database getroffen. Oorzaak waren wijzigingen in de dns-configuratie en enkele fouten in het automatiseringsscript. In december 2019 meldde Microsoft dat het per ongeluk een grote database met customer supportdata binnen Azure had blootgelegd. Hierbij werd de schuld bij ‘verkeerd geconfigureerde securityregels’ gelegd.
In 2020 zorgden tal van Office 365-storingen ervoor dat organisaties hierdoor downtime ondervonden en geen toegang tot hun cloudapplicaties en -data hadden. In april van dit jaar maakte cloud- en hostingprovider DigitalOcean een inbreuk bekend op de factureringsdata van klanten zonder inzicht te geven over hoe dit kon gebeuren.
@jan
maar als het dan mis gaat in die cloud… en tja tegen brand kun je je nog verzekeren en een tapje of wat disks in een kluis leggen elke maand oid is ook nog te overzien. het mooie is dat je dan een data diefstal ook meteen ZIET :). Wees gewoon open minded, niet alles is een vooruitgang en niet alles was vroeger zo stom of slecht… let op voor mensen die woorden als ‘niet meer van deze tijd’ gebruiken. die proberen je te overtuigen van iets maar hebben duidelijk geen inhoudelijk argument daarbij. gisteren op Nieuwsuur ook weer zo een mooie rakker van een zorgverzekeraar die alle huisartsen verplichten wil digitaal consults te gaan doen. meteen daarna een item over hoe slecht het bij MBK nederland vwb cyber security is als 10j lang. laat me niet lachen! overigens mensen die ‘dat is traditie’ zeggen idem dito voor opletten!
Het onderzoek van het Sans Institute geeft aan dat het over de schutting gooien van een verantwoordelijkheid niks hoeft op te lossen. De veiligheidsaspecten bij publieke cloud, private cloud, of conventionele netwerken zijn in principe hetzelfde. De vraag is hoe je er mee omgaat. In ieder geval moet je goed nadenken over wat je als bedrijf nodig hebt, welke flexibiliteit gewenst is, wat je zelf kan doen en hoeveel geld je kan besteden. Daarna moet je het regelen. Mis je daarvoor de tijd of kennis zoals bij het MKB vaak de situatie is, huur dan iemand daarvoor in. Nog belangrijker is dat er een goede afstemming is tussen je partijen.
Een voorbeeld van waar het fout kan gaan staat in artikel waar SWA op wijst. Bedrijven weten vaak niet hoe de restore procedure verloopt (of ze hebben niet eens een procedure). Ze weten niet hoeveel tijd een restore kost want de restore is nooit getest. Ze weten niet of de back-up ook versleuteld kan zijn. Ze weten ook niet of de restore bij een specifieke aanval kan werken omdat bijvoorbeeld servers gewist kunnen zijn. Wellicht kennen ze ook niet de kosten van down time.
Door de inzet van ICT kan je sneller up and running zijn, beter dan bij een paper office, maar dan moet jij en de leverancier het wel goed voorbereid hebben.
@SWA
“cloud” neemt de plicht niet weg om voor backups te zorgen ook als die niet in jouw kluisje liggen.
Denk je werkelijk dat je meteen ziet of een medewerker data aftapt? Dat is naief.
De bedrijfsmodellen met of zonder “cloud” zijn verschillend net als de randvoorwaarden.
Het oude of het nieuwe afwijzen uit principe toont een gebrek aan flexibiliteit.
@Jaap
inderdaad, restore wordt zelden getest, het kost tijd en velen zien de noodzaak niet, helaas.
“Denk je werkelijk dat je meteen ziet of een medewerker data aftapt? ”
ja ik denk dat mensen vlugger ziet dat een kluis gebroken is dan dat ze door hebben dat er digitaal heimelijk een exfil van data is geweest…
Misschien wil Henri even reageren op het feit dat ‘cloud-enabled’ oplossingen extra data opleveren welke ook tot op de persoon identificeerbare informatie kan bevatten, data die commercieel interessant is want zoals Henri zelf altijd zegt ben je in de cloud het product en niet de klant. Op plaats één (met stip op pagina 5) staat dan ook de zorg over welke data er nu precies in de cloud verwerkt wordt en waar. Want judgemental of niet zijn er wettelijke vereisten waaraan voldaan moet worden als je tot op de persoon identificeerbare informatie gaat verwerken. De vraag of je data diefstal ook meteen ZIET wordt m.i. dan ook met NEE beantwoord want de veiligheidsaspecten bij de publieke cloud zijn in principe niet hetzelfde omdat je door uitbesteding veelal te maken hebt met extra partijen die toegang hebben tot bepaalde I/O stromen, zie pagina 11 voor de conclusies. De essentie van een lek in de cloud gaat niet om de uitval van een services, het gaat om meekijkende ogen die niet geautoriseerd zijn. En ook het geautoriseerd meekijken kent restricties omdat het middel proportioneel moet zijn tot het doel, het grote sleepnet van de overheid levert nog niet veel maatschappelijke discussie op terwijl een eerdere referendum duidelijk maakte dat de meerderheid sceptisch hierover was.
Oja, ik denk dat er technische maatregelen mogelijk zijn om te constateren welke medewerkers ongeautoriseerd data aftappen door het fenomeen logging. Het rapport geeft aan dat 70% van de respondenten die gebruik maken van metadata vroegtijdig lekken konden identificeren, 64% gaf aan dat ze het commando- en controleverkeer (C2) van malafide/niet-goedgekeurde services konden identificeren wat dus meer vertrouwen geeft dan de fatalistische houding van laat maar waaien. Punt blijft echter wat de ‘bijvangst’ is en wat ermee gedaan wordt want zoals ik 11 jaar geleden stelde in een opinie zullen de goeden onder de kwaden leiden door een laag (Zero Trust) vertrouwen in de medewerkers of klanten.
Net als dat cloud provider een aanbieder is van een dienst, generen dienst praktisch altijd data en in het geval van persoonsgegevens, data over anderen en vallen daarmee onder de AVG.
Je kan zelf je stroomvoorziening regelen, dan ben je niet afhankelijk van een energieleverancier, maar in de praktijk is het praktischer en goedkoper door stroom te laten leveren.
Praktisch ieder bedrijf (en consument) kiest tegenwoordig voor cloud oplossingen. De gradatie kan wat verschillen, maar om de discussie to cloud or not to cloud te voeren, daar besteed ik mijn tijd niet meer aan. En als er mensen zijn die principieel roepen “zelluf doen!”, dan mogen ze dat van mij, maar ik ga er verder geen energie aan besteden.
Waar een oudlid op doelt is dat de overheid waarin een cloud aanbieder zich bevind ook een vinger in de pap heeft als het gaat om toegant tot data en dat het uitmaakt waar een cloud dienst van origine vandaan komt. Bert Hubert vult dat nog pragmatisch aan door expliceit aan te geven dat veel werk ook nog uitbesteed wordt aan andere landen met andere overheden en dat de vraag “wie kunnen bij mijn data?” dus niet zo eenvoudig is te beantwoorden. En dan hoef je nog niet eens klant te zijn van die cloud provider.
Vul daarop aan dat een dienstverlener zomaar de dienstverlening stop kan zetten en je hebt een behoorlijk scala aan risico’s te managen. Zoals oudlid aangeeft, logging en detectie doet al een hoop (maar zeker niet alles!), maar je zal ook een back-up plan moeten hebben voor dit soort zaken of een ransom ware aanval.
Zoals we hebben kunnen zien is een storing bij een grote gecentraliseerde DNS aanbieder (Akamai) ook nog eens een factor van betekenis en dat maakt het vak uitdagend en interessant.
Betekent het dat je beter geen cloud zou moeten gebruiken? Blijkbaar niet, want bedrijven en personen kiezen massaal voor clouddiensten.
Terug naar het begin: Waar ik op “triggerde” is door clouddiensten plat te slaan tot andermans computer. Dat is heel ver van de werkelijkheid en wordt vooral gebruikt om zoals dat in Rotterdam heet “gers” te doen. Mensen die cloud als iemand ander zijn computer proberen af te doen hebben verder niet veel boeiends te melden, dus ga ik daar niet op door.
Simpel toch? Laten we het nu weer over zinnige zaken hebben…
Mee eens Henri, laten we eens kijken hoe we gebruikers motiveren backup en restore te oefenen.
ja, laten we het over zinnige zaken hebben.
zoals waarom je op de snelweg altijd 2 soorten mensen ziet.
zij die langzamer rijden dan jij, dat zijn slome sukkels.
zij die sneller rijden, de gevaarlijke gekken.
“andermans computer”
Even los van allerhande technische en niet-technische invalshoeken: dit is toch helemaal *niet* relevant?!
Clouddiensten worden en-masse ingezet – soms bewust; maar meestal onbewust. En onbewust in termen van “site-effects” bij het gebruik. Zie van een willekeurige SaaS-dienst maar eens te achterhalen waar alles nu daadwerkelijk opgeslagen is. Of zie maar eens een geautomatiseerde backup te maken – laat staan een (handmatig?) herstel bij een calamiteit.
Tot nu toe geen SaaS-dienstverleners gezien die hier serieus werk van maken – anders dan wat generieke statements zoals “wij voldoen aan alle wettelijke regels” of “wij maken dagelijks een backup”. Met als uitsmijter “u bent zelf verantwoordelijk voor een goede backup”.
Maar hoe dan? Anders dan handmatig een CSV-achtige export doen? Of een vergelijkbare aanpak van een log-export?
Platgeslagen: ja – cloud biedt zeer zeker mogelijkheden. Maar nee – alles bij elkaar opgeteld behoren “makkelijker” en “goedkoper” in ieder geval niet tot die mogelijkheden; in ieder geval niet voor topics als governance/compliance en continuïteit. Met die invalshoek heeft een “eigen” kompjoeter nog altijd de voorkeur… 😉
@herni
– “Vul daarop aan dat een dienstverlener zomaar de dienstverlening stop kan zetten en je hebt een behoorlijk scala aan risico’s te managen.”
Dank u voor het bevestigen van mijn punt. Hoe manage je dat als een hacker bij MS de Azure ransomwared? Ga je bij MS aankloppen en dan ‘boos’ doen? Ga je ze uiteindelijk voor de rechter dagen? [Begin niet dit als ‘dat gebeurt nooit’ weg te wuiven, want er zijn immers al incidenten en voorbeelden!]
– “Mensen die cloud als iemand ander zijn computer proberen af te doen hebben verder niet veel boeiends te melden, dus ga ik daar niet op door.”
Dat is dus ongefundeerd judgemental zijn en tekent eigenlijk eerder je gebrek aan begrip en inlevingsvermogen. Zeker als het originele stuk enkele duidelijke voorbeelden benoemd en er extra voorbeelden gegeven worden. Het simpel feit dat je daar maar niet op in wilt gaan wekt bij mij dus de suggestie op dat andere belangen de overhand hebben bij jouw. Misschien is het wel zo dat die ‘reductie’ die gedaan is een heel duidelijk pijnpunt bloot legt? Een groot deel van de point van het originele stukje misschien? Want vooralsnog hoor ik je tegen die stelling roepen maar heb nog geen enkel inhoudelijk argument of iets van je gehoord terwijl er wel voorbeelden en argumenten aangedragen zijn die de stelling ondersteunen. Tja.
– “Betekent het dat je beter geen cloud zou moeten gebruiken? Blijkbaar niet, want bedrijven en personen kiezen massaal voor clouddiensten. ”
De historie zit vol met voorbeelden van bedrijven die dingen deden en waarvan ze achteraf dachten tja was dat nu zo slim en handig. Daar hoef ik je toch geen voorbeelden van de geven toch? Veelal valt dan de rekening ‘bij de klant’ of ‘bij het volk’. Ook hier proef ik dan dus duidelijk een smaak van ‘andere belangen’ die bij jouw lijken te prevaleren. Afwimpelen en ‘business as usual’ dan maar?
– “Simpel toch? Laten we het nu weer over zinnige zaken hebben…”
Ha ha ha the understatement of the year! Hoe vaak ik dat niet hoor van groene studenten die het denken te weten. Vraag je dan een beetje door and the cookie crumbels….
Beste Herni, mijn laatste poging, eigenlijk tegen beter weten en ervaring met types zoals je lijkt te zijn in!
Lees het originele stuk nog nog eens rustig door en probeer eens niet zo vast in je eigen denk draad en geloof daarbij te zitten. Zoek niet de bevestiging van je eigen mening daarbij, maar probeer nu eens kritisch naar jezelf te zijn en denk daarbij eens in je leven een keertje, ‘ik vind dat nu wel, maar waarom nu eigenlijk en waar baseer ik dat dan op?’. Je zult zien dat je dan veel verder gaat komen en minder vergissingen in het leven zult begaan en dat je meer successen zult gaan boeken! Goed bedoeld advies…