In het hybride-werkmodel verplaatsen organisaties steeds meer van hun workloads naar de cloud. Hoewel deze transformatie grote voordelen biedt op het gebied van flexibiliteit en schaalbaarheid, gaat zij gepaard met inherente en verhoogde risico's voor beveiliging en compliance.
Een eenvoudige configuratiefout kan ertoe leiden dat een hele organisatie wordt blootgesteld aan bedreigingsactoren die niet meer in het datacenter hoeven in te breken om toegang te krijgen tot kritieke gegevens of ransomware-aanvallen uit te voeren.
Gartner voorspelt dat tegen 2025 99 procent van de beveiligingsproblemen in de cloud het gevolg zal zijn van menselijke fouten bij de configuratie van bedrijfsmiddelen en beveiliging in de cloud. In een tijd waarin organisaties steeds afhankelijker worden van externe cloudleveranciers zoals AWS, Microsoft Azure, IBM en Google Cloud Platform om hun gegevens veilig te beheren, zal de bezorgdheid over misconfiguraties en andere kwetsbaarheden in de cloud waarschijnlijk snel toenemen. Bovendien hebben veel van de organisaties die een risico lopen, hun digitale transformatie-initiatieven de afgelopen twee jaar in een ongemakkelijk tempo moeten versnellen, wat heeft geleid tot hiaten in kennis en talent die hun onzekerheid rond cloudbeveiliging alleen maar groter maken.
In het model van gedeelde verantwoordelijkheid – een beveiligingsraamwerk dat is ontworpen om de verantwoordelijkheid voor gecompromitteerde gegevens en andere incidenten te waarborgen – biedt de cloudprovider basisbeveiliging voor de cloud, maar is het aan de bedrijven zélf om hun eigen gegevens in de cloud te beveiligen. Met andere woorden: als cloud-aanbieders ervoor zorgen dat de stadspoorten op slot zijn en de perimeter goed wordt bewaakt, moeten bedrijven er nog steeds voor zorgen dat hun eigen deuren op slot zijn. Dat is geen sinecure, zeker niet voor grote ondernemingen die vertrouwen op drie of vier cloudplatformen als onderdeel van een multi-cloudstrategie.
Aanvallen op leveranciers van clouddiensten nemen toe
Uit het ‘Security Report 2022‘ blijkt dat er het afgelopen jaar een vloedgolf van aanvallen is geweest die gebruikmaakt van zwakke plekken in de diensten van toonaangevende cloud-aanbieders. Voor de betrokken cybercriminelen is het einddoel om volledige controle te krijgen over de cloud-infrastructuur van een organisatie of, erger nog, over het volledige it-landschap van een organisatie, met inbegrip van de eigen code en klantenbestanden. Het hoeft geen betoog dat dit een verwoestende impact kan hebben op de getroffen bedrijven – en zij maken zich terecht zorgen.
Het soort fouten waarover het hier gaat, zijn geen fouten in de logica of op basis van toestemming die zijn afgeleid van het controlebeleid van een organisatie en die aanvallers zouden kunnen gebruiken om ongeoorloofde toegang te krijgen en privileges te escaleren. Dit kan namelijk op zijn minst worden opgespoord en aangepakt door de organisatie in kwestie. In plaats daarvan gaat het bij deze zwakke plekken vaak om kritieke kwetsbaarheden in de cloud-infrastructuur zelf. Bescherming daartegen is veel moeilijker.
Neem bijvoorbeeld de Omigod-fout, die de sluizen heeft opengezet voor aanvallen op clouddiensten in 2021. In september werden vier kritieke kwetsbaarheden ontdekt in de Microsoft Azure-softwareagent waarmee gebruikers configuraties in externe en lokale omgevingen konden beheren. Naar schatting twee derde van het klantenbestand van Azure werd kwetsbaar gemaakt door deze exploit, waardoor duizenden organisaties en miljoenen endpoint-apparaten gevaar liepen. Via deze Omigod-fout konden bedreigers willekeurige code op afstand binnen het netwerk van een organisatie uitvoeren en rootprivileges escaleren, waardoor het netwerk in feite werd overgenomen. Als onderdeel van zijn update van 2021 in september heeft Microsoft het probleem verholpen, maar de automatische fix die het heeft vrijgegeven, bleek gedurende enkele dagen niet te werken. In de loop van het jaar kwamen nog meer zwakke plekken in de clouddiensten van Microsoft Azure aan het licht, waaronder de ChaosDB-kwetsbaarheid waardoor cybercriminelen verschillende interne sleutels konden achterhalen die werden gebruikt om rootprivileges te verkrijgen waarmee ze uiteindelijk de databases en accounts van doelorganisaties konden beheren. Bedrijven die kwetsbaar werden door deze specifieke ‘open deur’ waren onder meer Coca-Cola, Skype en zelfs beveiligingsspecialist Symantec.
Het is waarschijnlijk dat er dit jaar nog veel meer kwetsbaarheden aan het licht komen bij cloudproviders. Er zijn echter wel manieren waarop organisaties het risico dat ze lopen kunnen beperken.
Deuren op slot en interne beveiliging versterken
Het aanscherpen van cloudbeveiliging is niet alleen een kwestie van de juiste producten en diensten, het gaat ook om het koesteren van een beveiligingsmentaliteit binnen een organisatie als geheel. Ongeacht wat er in een service level agreement tussen een organisatie en cloudprovider staat, is het uiteindelijk de taak van de organisatie om ervoor te zorgen dat belangrijke gegevens worden beschermd.
Voordat bedrijfskritische workloads naar de cloud worden verplaatst, moeten organisaties ervoor zorgen dat de ‘deuren’ naar hun applicaties en gegevens goed zijn afgesloten. Dat betekent dat het beheer van identiteit en toegang nauwkeurig moet worden afgestemd en dat het principe van least privilege moet worden geïmplementeerd, zodat gegevens alleen toegankelijk zijn voor mensen en toepassingen op een strikte need-to-know-basis. Het betekent ook een betere segmentatie van netwerken en het gebruik van firewalltechnologie om ervoor te zorgen dat gevoelige gegevens op de juiste manier kunnen worden afgeschermd en waar nodig kunnen worden bewaakt.
Cloudbeveiliging is complex, en met multi-cloud-omgevingen wordt het nog complexer. Denk daarom na over het consolideren van cloudbeveiliging van alle cloudleveranciers in één oplossing die alle schadelijke activiteiten bewaakt en de werklast vermindert door veelvoorkomende taken zoals beleidsupdates te automatiseren. In een ideale wereld zou dit een single-pane-of-glass-benadering van beveiligingsbeheer voor alle cloud-assets betekenen, zodat bedrijven beveiligingsincidenten beter in de gaten kunnen houden en hun inspanningen kunnen richten op de meest zorgwekkende.
Elke cloudbeveiligingsoplossing is slechts zo goed als de intelligentie-engine erachter, dus vraag een leverancier hoe ze op de hoogte blijven van opkomende en zero-day-bedreigingen.
Devsecops
En tot slot: introduceer beveiliging in het vroegste stadium van de applicatieontwikkeling. Beveiligingscontroles mogen devops en de uitrol van applicaties niet onnodig vertragen, maar tegelijk is het niet wenselijk om op beveiliging te beknibbelen. Een devsecops-aanpak die een bedrijf in staat stelt code te scannen op misconfiguraties of zelfs malware als onderdeel van het devops-proces, zal ervoor zorgen dat kwetsbaarheden niet vanaf het begin worden ‘ingebouwd’.
De verschuiving naar de cloud zal alleen maar sneller gaan naarmate organisaties zich meer bewust worden van de voordelen ervan in termen van concurrentievoordeel, wendbaarheid en veerkracht. Het is dus tijd om een verantwoorde benadering van beveiliging en compliance te hanteren en de cloudbeveiliging op te schalen. Het is een uitdagende en complexe taak, maar het goede nieuws is dat er oplossingen zijn om niet alleen het cloudnetwerk te vergrendelen, maar ook manieren, met behulp van ai en automatisering, om de werklast van het opsporen en voorkomen van bedreigingen te verminderen, zelfs de bedreigingen die nog moeten worden bedacht. Tot slot kan dit ook met de nodige snelheid worden geïmplementeerd. Immers, it’s all in the cloud.