De hybride cloud wint aan populariteit. Voordelen zijn de schaalbaarheid, het snel kunnen uitrollen van nieuwe oplossingen en kostenbesparing door efficiëntie. Maar als de cloud-security niet evenredig samenhangend is, kunnen risico's in deze enorme, onderling verbonden omgevingen snel escaleren.
Diensten en infrastructuur die on-premise of in een private en publieke cloud-omgevingen draait in één architectuur samenvoegen, is aantrekkelijk. Volgens recent onderzoek van IBM halen bedrijven tot 2,5 keer meer waarde uit hybride cloud dan uit een model met één cloud en één leverancier.
Met de komst van werken op afstand heeft zestig procent van de organisaties meer geïnvesteerd in cloud-gebaseerde activiteiten. Tijdens deze periode van drastische operationele verschuivingen zijn de gemiddelde kosten van een datalek opgelopen tot 4,24 miljoen dollar per incident – de hoogste geregistreerde kosten tot nu toe. IBM’s recente ‘Cost of a Data Breach’-rapport vermeldt verschillende security-implicaties. Vijf daarvan zijn relevant voor bedrijven met hybride-cloudmodellen.
- Inbraak op de cloud begint met gecompromitteerde credentials
Uit het onderzoek bleek dat gestolen gegevens de meest voorkomende bron van inbraken zijn. Hoewel dit geen nieuw verschijnsel is, loopt de tijd dat inbraken op basis van gecompromitteerde inloggegevens worden ontdekt op: gemiddeld 250 dagen. Dit tijdsvoordeel in combinatie met het grote percentage van de ondervraagde personen (82) dat toegeeft inloggegevens en wachtwoorden voor verschillende accounts te hergebruiken, is het voor een aanvaller eenvoudig een opening op locatie of in de cloud te creëren, zich vervolgens door het netwerk te bewegen en privileges te escaleren in een hybride omgeving om zijn doel te bereiken. Door bijvoorbeeld één cloud-identiteit met te veel rechten te compromitteren, kan een aanvaller kritieke infrastructuur in gevaar brengen of zijn rechten escaleren om cloud-gegevens te stelen of hoogwaardige toepassingen te verstoren.
- Aanvallers houden van persoonlijke gegevens
Er zijn veel manieren om de kosten van inbraakschade te meten. Sommige vormen van gegevensverlies zijn duurder om te herstellen, dus om de juiste beschermingsmaatregelen te treffen, is het nodig om te weten welke gevoelige bedrijfsmiddelen prioriteit moeten krijgen om de schade te minimaliseren. Zo is het verlies van persoonlijk identificeerbare informatie (pii) het duurst in vergelijking met andere soorten gegevens, namelijk 180 dollar per verloren of gestolen record tegenover een gemiddelde van 161 dollar voor alle records samen.
- On-premises-to-cloud- en cloud-to-cloud-migraties vereisen zorgvuldige planning
Uit het onderzoek bleek dat bedrijven die tijdens een cloud-migratieproject een inbraak moesten incasseren gemiddeld 18,8 procent hogere kosten hadden. Of het nu gaat om het verplaatsen van gegevens, toepassingen of systemen van een lokaal datacenter naar de cloud of workloads van de ene publieke-cloudprovider naar de andere verplaatst: geen enkel proces is gebaat bij haast en het korten op security-maatregelen. Van investeren in monitoring tot het implementeren van ‘least privilege’-toegang, zorgvuldige voorbereiding voor een veilige overgang is een must.
- Automatiseer om cloud-verdediging te schalen en kosten te besparen
Aanvallers maken gebruik van automatisering om identiteitsgerelateerde kwetsbaarheden in cloud-omgevingen te lokaliseren, met name misconfiguraties van resources en identiteiten die te veel rechten hebben. Op die manier krijgen ze meer gedaan zonder veel moeite. Beveiligingsteams die hun verdediging opschalen om automatisering met automatisering te bestrijden, boeken succes: organisaties die kunstmatige intelligentie, security analytics en encryptie hebben ingevoerd, hebben tussen 1,25 en 1,49 miljoen dollar bespaard in vergelijking met organisaties die deze tools niet in grote mate inzetten. Uit het onderzoek blijkt dat ongeveer twee derde van de bedrijven automatisering gedeeltelijk of volledig inzet binnen hun beveiligingsomgevingen, vergeleken met iets meer dan de helft twee jaar geleden.
- Least privilege beperkt de gevolgen van datalekken tot een minimum
Steeds meer bedrijven stappen succesvol over op moderne identity security-tactieken, zoals ai-gebaseerde bedreigingsdetectie, gedragsanalyses en het gebruik van zero-trust-modellen. Bij bedrijven met een volwassen zero-trust-strategie bedroegen de gemiddelde kosten van een datalek zo’n 3,28 miljoen dollar – dat is 1,76 miljoen dollar lager dan bedrijven zonder. Deze ‘vertrouw niets, controleer alles’-filosofie helpt bedrijven ook bij het aanpakken van een van de meest genoemde beveiligingsproblemen in de cloud: de talloze identiteiten met verkeerd geconfigureerde of ongebruikte identity and access management (iam)-rechten die in hybride-cloud-omgevingen zijn verborgen.
Consistente wijze
Nu organisaties hun cloud-toepassingen snel opschalen en geavanceerde diensten invoeren om hun bedrijf digitaal te transformeren, worden er steeds sneller menselijke, applicatie- en machine-identiteiten aangemaakt. Toegangsrechten voor deze identiteiten worden vaak toegekend op basis van een groep of rol, met als gevolg dat te veel identiteiten ongebruikte of onnodige rechten hebben. Door gebruik te maken van ai-gebaseerde monitoring- en detectiemogelijkheden kunnen bedrijven op consistente wijze de least privilege-principes afdwingen in hun hybride cloud-omgevingen door buitensporige machtigingen te verwijderen, risico’s aanzienlijk te verminderen en de algehele zichtbaarheid en beveiliging te verbeteren.
Bedrijven moeten ervan uitgaan dat er is en wordt ingebroken. Het IBM-rapport wijst erop dat het maanden kan duren om het te ontdekken. Een uitgebreide zero-trust-benadering met zo min mogelijk privileges kan helpen dat risico te verminderen en de schade als gevolg van een aanval te minimaliseren door aanvallers snel te ontmaskeren en hen te verhinderen toegang te krijgen tot hybride cloud-resources. Door moderne security-tactieken zoals ai en automatisering toe te passen, is de tijd tot detectie ook aanzienlijk te verkorten en zijn de kosten van inbraken te verlagen.
