Bedrijven komen terecht in een perfecte storm van cloudrisico's

Bij elk cloudgebaseerd datalek waarover we hebben geleerd, speelden verkeerde configuratiefouten een centrale rol. Deze verkeerde configuratie "schurkengolven" hebben enkele van de grootste en meest geavanceerde cloudklanten getroffen - Twitch onlangs, en Uber, Imperva en Capital One ervoor. Bij al deze aanvallen was een complexe reeks exploits betrokken tegen API-controlevliegtuigen van cloudproviders.

Beveiligingsproblemen vormen duidelijk niet langer een belemmering voor cloudadoptie, maar er is een perfecte storm van cloudrisico's aangebroken. Laten we deze perfecte storm en zijn drie drijfveren onderzoeken en een strategie ontwikkelen om er veilig doorheen te navigeren.

1. Cloudcomplexiteit neemt toe
De grote cloudproviders - voornamelijk Amazon Web Services (AWS), Microsoft Azure en Google Cloud - zijn verwikkeld in een innovatierace om nieuwe services aan te bieden. AWS alleen al biedt meer dan 200 infrastructuurdiensten, en elk wordt geleverd met unieke configuratie-opties en beveiligingsoverwegingen. En of het nu gaat om strategische keuzes, overnames of toeval, de meeste ondernemingen hebben nu een multicloud-voetafdruk die een multicloud-beveiligingsstrategie vereist.

De typische enterprise-cloudomgeving kan honderdduizenden onderling gerelateerde resources bevatten, verspreid over meerdere cloudaccounts en businessunits. Elke use-case brengt verschillende beveiligingsvereisten met zich mee en moet worden beheerd in overeenstemming met het wereldwijde bedrijfsbeveiligings- en regelgevingsbeleid, evenals met het lokale beleid. Dit beleid is onderhevig aan verschillende menselijke interpretaties tijdens handmatige audits.

Hoewel de cloudproviders steeds meer beveiligingstools introduceren, is het niet genoeg. Als cloudbeveiligingsexpert Scott Piper zet het, “[Mensen] begrijpen hun cloudomgevingen niet zo goed als ze zouden willen. … [T]hat is waar ik denk dat veel van de verkeerde configuraties in het spel komen.” De keuze voor veel organisaties is om snel te handelen en extra risico's te nemen of om de levering te vertragen en te certificeren dat alles veilig en in overeenstemming is voordat het wordt geïmplementeerd.

2. Hackers zijn nu cloudbeveiligingsexperts
Naarmate cloudomgevingen complexer worden, zijn hackers heel goed geworden in het uitbuiten van onze fouten. Ze hebben automatisering omarmd die het internet scant om kwetsbaarheden in de cloud binnen enkele minuten na hun implementatie te detecteren.

Eenmaal in uw omgeving weten hackers hoe ze gebruik kunnen maken van tekortkomingen in de cloudarchitectuur - zelf een vorm van verkeerde configuratie - om de explosieradius van een aanvankelijk beveiligingsgat uit te breiden. Door deze fouten kunnen IAM-resources (identiteits- en toegangsbeheer) meer over de omgeving ontdekken, zijwaarts verplaatsen en gegevens stelen. De Twitch-inbreuk betrof aanvankelijk een verkeerd geconfigureerde server, maar de aanvaller maakte uiteindelijk gebruik van een reeks kwetsbaarheden om klantgegevens en gevoelige broncode te stelen voor niet alleen Twitch, maar ook voor zijn moedermaatschappij Amazon.

Zodra een aanval op het cloud-API-besturingsvlak aan de gang is, is het te laat om deze te stoppen. Vaak weten cloudklanten niet dat ze zijn gehackt totdat hun gegevens op het Dark Web verschijnen (in het geval van Twitch) of de hacker er online over opschept (de Capital One-inbreuk). Zoals wolkeneconoom Corey Quinn zei op zijn: Schreeuwen naar de Cloud podcast: "Dus, wat is uw belangrijkste middel voor het detecteren van inbreuken? En het antwoord is eerlijk: 'De voorpagina van de New York Times.'”

3. De strijd om talent voor cloudtechnologie
De vraag naar cloud-engineeringtalent explodeert, wat tot uiting komt in compensatie. Volgens recruiters geciteerd door de Wall Street Journal, "Mensen met cloudvaardigheden krijgen over het algemeen twee of drie sterke aanbiedingen, vaak met pakketten ter waarde van honderdduizenden dollars en aandelenopties."

Elk bedrijf dat in de cloud actief is, concurreert met technische giganten over cloudingenieurs, inclusief degenen die al in hun team zitten. De meeste van die bedrijven hebben niet de diepe zakken en aantrekkelijke aandelenopties die de techreuzen wel hebben. En als Lydia Leong van Gartner zei, “Het is niet alleen big tech. Elke SI en MSP op de planeet jaagt overal technische mensen op.”

Strategieën om door de storm te sturen
1. Zorg voor een volledig bewustzijn van uw omgeving en beveiligingshouding. Cloudinbreuken gebeuren omdat beveiligingsteams niet de zichtbaarheid hebben die ze nodig hebben om kwetsbaarheden te detecteren in een complexe cloudresourcegrafiek. Leidinggevenden moeten om een rapport vragen waarin de volledige configuratiestatus en beveiligingsstatus van hun cloudomgeving wordt beschreven - en beveiligingsteams moeten er op elk moment een kunnen produceren.

2. Focus op het bouwen van een veilige architectuur en het voorkomen van verkeerde configuratie. Cloudbeveiliging is een architectonisch en procesmatig probleem, en elke verkeerde configuratie is een mislukking van het ontwerp of het proces. Geef DevOps-engineers tools die fouten in hun infrastructuur markeren als code en leg uit hoe ze kunnen worden opgelost. Plaats beveiligingsrails in uw CI/CD-pijplijnen om te voorkomen dat er kwetsbaarheden in verband met verkeerde configuratie worden geïmplementeerd.

3. Bouw schaalbare cloudbeveiliging met beleid als codegestuurde automatisering. Beleid als code is de enige manier om meerdere business units effectief te ondersteunen - en hun talloze use-cases en lokale beleidsvereisten - zonder ze te vertragen. Een goede plek om te beginnen is Beleidsagent openen, een Stichting Cloud Native Computing project dat wordt gebruikt door grote ondernemingen, waaronder T-Mobile, Goldman Sachs en Netflix.

Met een holistische benadering van cloudbeveiliging die software-engineers helpt bij het ontwikkelen van een veilige cloudinfrastructuur, verkeerde configuratie bij implementatie voorkomt en is gebouwd op een consistente en schaalbare basis van beleid als code, kunnen ondernemingen hun gebruik van de cloud veilig schalen en de gevaren vermijden die anders geavanceerde zakelijke cloudklanten zijn overkomen.

Bron: https://www.darkreading.com/cloud/enterprises-are-sailing-into-a-perfect-storm-of-cloud-risk

Generatieve data-intelligentie

Ondernemingen zeilen een perfecte storm van cloudrisico's in

Blockchain-beveiligingsblog en onderzoek

Top-5 rechtsgebieden voor het verkrijgen van een Forex-licentie

Laatste intelligentie

De impact van AI op industriële vooruitgang

Euro staat hoger, ECB oogt voor juniverlaging – MarketPulse

Bitcoin Ordinals-ontwikkelaar deelt tips voor het minen van runen tijdens de halvering – zonder Rekt te krijgen – decoderen

Uw bedrijf opfleuren: 5 marketingstrategieën op zonne-energie om uw bedrijf te laten groeien De essentie van marketingstrategieën op zonne-energie

Prop Trading Firm True Forex Funds introduceert Match-Trader als secundair handelsplatform

Navigeren door XR-adoptie: huidig landschap en strategieën voor groei

Chat met ons