Bedreigingen voor de beveiliging van clouddata komen van alle kanten, zowel intern als extern, variërend van geldige gebruikers die data misbruiken tot kwaadwillenden via gestolen inloggegevens toegang proberen te krijgen. Pas op de plaats: wat zijn nu de grootste uitdagingen voor cloud-native security?
- Gebrek aan zichtbaarheid
Ten eerste is er een ernstig gebrek aan inzicht in beveiliging en compliance in de cloud. Serverless apps met honderden functies zorgen voor extra complexiteit naarmate ze volwassen worden. Daardoor wordt het onderhoud van alle data en de services die toegang hebben tot deze gegevens onpraktisch. Bovendien geldt dat een bepaalde activiteit in de ene situatie verdacht kan zijn en in een andere context volkomen onschadelijk.
Cloud-native security moet dus normaal gebruik begrijpen om kwaadwillende activiteiten nauwkeuriger te kunnen detecteren. Door middel van machine learning kunnen beveiligingsoplossingen een uitgebreid profiel opbouwen van wat ‘normaal gebruik’ inhoudt. Dergelijke profielen maken het mogelijk om automatisch afwijkingen te identificeren en te waarschuwen voor verdachte activiteiten. De legacy-aanpak met bijvoorbeeld constant handmatig afstemmen van webapplicatie-firewalls (waf’s) werkt niet.
Zichtbaarheid en context zijn de start; de volgende stap is diepe, realtime, onderzoekende en gecentraliseerde zichtbaarheid. Om dit te bereiken moet een oplossing via api’s kunnen integreren met alle omgevingen en entiteiten waaruit de infrastructuur bestaat.
- Diversiteit aan bedreigingen
Als aanvallers tunnels graven, gaten in het dak boren, ramen inslaan en je aan de telefoon bellen om je te misleiden de voordeur te openen, moet je je verdediging tegen al deze aanvallen versterken. Een aanval zoals accountovername is uit te voeren met behulp van verschillende tactieken, bijvoorbeeld phishing, brute force botnet-aanvallen, het kopen van gebruikersreferenties van het darkweb en zelfs het doorzoeken van afgedankte prullenbakken voor persoonlijke informatie. Deze creativiteit van aanvallen en het diverse dreigingslandschap vereist creativiteit van beveiligingsprofessionals en een brede benadering van defensie.
- Onvermogen om consistent beleid af te dwingen
Cloud-native omgevingen bestaan vaak uit een verscheidenheid aan tools van tal van leveranciers. Dit maakt het moeilijk om het beveiligingsbeleid te centraliseren en consequent toe te passen. In een multi-cloud/hybride infrastructuur is het ingewikkeld om verschillende tools te gebruiken om de bruikbare end-to-end zichtbaarheid te krijgen die essentieel is voor het effectief beheer van de cloudbeveiliging. Zoek daarom naar een oplossing die de volledige cloud-infrastructuur kan stroomlijnen, alle cloud posture management (csp) kan binnenhalen en regelsets, beleidsregels, waarschuwingen en hersteltactieken kan verenigen en automatiseren.
- Verkeerde configuratie
Wanneer een cloudgerelateerd systeem, tool of asset niet correct is geconfigureerd, komt het systeem in gevaar; het wordt blootgesteld aan een mogelijke aanval of datalek. Volgens het ‘2020 Cloud Security Report’ was verkeerde configuratie de grootste bedreiging voor de cloud, waarbij circa zeventig procent van de bedrijven dit als grootste zorg noemde.
Deze dreiging werd gevolgd door ongeoorloofde toegang (58 procent). Om deze statistieken verder te onderbouwen, vroeg ESG respondenten naar de tien meest voorkomende misconfiguraties van de cloud in de afgelopen twaalf maanden. Ongeveer een derde van de respondenten meldde ‘Standaard of geen wachtwoord voor toegang tot de beheerconsole’.
Hoewel alleen gezond verstand al zou moeten garanderen dat geen enkel bedrijf een standaard of zelfs geen wachtwoord gebruikt, is het zorgen voor een juiste configuratie van de gehele cloud-infrastructuur iets complexer. Csp biedt regelsets en automatisch herstel, zodat alle systemen te allen tijde correct zijn geconfigureerd.
- Trage beveiligingsprocessen
De belangrijkste voordelen van cloud computing zijn flexibiliteit, wendbaarheid en snelheid. Organisaties hebben continue compliance en security nodig die gelijke tred houdt met high-speed ci/cd-pipelines, kortstondige workloads en de elastische aard van openbare cloud-infrastructuur. Maar in hun poging het veiligste beleid te implementeren, stellen organisaties security boven efficiëntie en snelheid. Met als gevolg dat ontwikkelaars zich gehinderd voelen en vastlopen bij het uitbrengen van software en updates.
In plaats daarvan zouden organisaties beveiliging al vroeg in de softwaretoeleveringsketen moeten implementeren en automatiseren. Zoek daarvoor naar cloud security posture management (cspm)-tools die beveiligingsbeheer kunnen automatiseren voor verschillende infrastructuren, waaronder iaas, saas en paas. Dergelijke tools stellen bedrijven in staat om risico’s te identificeren en te verhelpen door middel van beveiligingsbeoordelingen en geautomatiseerde nalevingsbewaking.
Hoewel organisaties hun voordeel halen uit het gebruik van de cloud, zijn er hiaten in de beveiliging, fouten en verkeerde configuraties. De oplossing is een harmonieuze beveiliging die (op schaal werkt) en met de snelheid van de cloud beweegt.
Blijkbaar gelden precies dezelfde kwetsbaarheden voor cloud als voor on-prem. Zo lijkt cloud toch een beetje somebody elses computer.
Er kan gekozen worden wat het grappigst deel van het artikel is : 1) Gevaar dat komt vanuit een “verkeerde configuratie” (na intensief onderzoek door extern bureau is het lek gevonden, was een verkeerde configuratie) 😀 of 2) “De oplossing is een harmonieuze beveiliging” 😀
Ik wil een oplossing die met de snelheid van Omikron beweegt
Ja Dino, dezelfde kwetsbaarheden gelden voor de cloud als voor on-prem plus nog een paar extra. Neem bijvoorbeeld het gebrek aan compliance, de uitleg ervan wordt middels de link gegeven. Het kan wel maar het mag niet is redelijk straffeloos te doen door een gebrek aan inzichtelijkheid. Oh wacht, dat geldt ook voor on-prem als je geen logging op toegang hebt.
Nou goed, laten we dan kijken naar het personeelsbeleid want ik moest een VoG inleveren en een AIVD screening ondergaan. En bij een uitbesteding naar de cloud weet je vaak niet wie er aan de knoppen zit. Oh wacht, dat weet je ook niet met een flexibele arbeidsschil van inhuur zoals we zagen met organisatorische opschalen voor de voorloper van omikron.
Zou een harmonieuze beveiliging die (op schaal werkt) en met de snelheid van de cloud beweegt daarom Zero Trust heten?