Σχεδόν το 80% των εταιρειών υπέστησαν παραβίαση δεδομένων Cloud κατά τους τελευταίους 18 μήνες
Είναι λογικό οι επιχειρήσεις να μεταναστεύουν στο Διαδίκτυο και είναι μόνο θέμα χρόνου έως ότου σχεδόν όλα τα δεδομένα και οι πληροφορίες αποθηκεύονται και προσπελάζονται μέσω υπηρεσιών cloud. Ωστόσο, όπως και οτιδήποτε άλλο, οι υπηρεσίες cloud είναι επίσης ευαίσθητες σε δραστηριότητες εγκλήματος στον κυβερνοχώρο και, επομένως, η ασφάλεια του cloud είναι ζωτικής σημασίας για κάθε επιχείρηση. Ίσως οι πελάτες να μην γνωρίζουν τέτοιες απειλές, αλλά οι παραβιάσεις δεδομένων στο cloud είναι πολύ πιο συχνές από ό, τι μπορεί να πιστεύει κανείς.
Σε αυτήν την καταχώρηση, θα θέλαμε να σας δώσουμε μια επισκόπηση της έκθεσης Ermetic που ρίχνει φως στις πραγματικότητες της ασφάλειας του cloud και συζητάμε επίσης λεπτομερέστερα τη μεγαλύτερη απειλή για την ασφάλεια του cloud, όπως αποκαλύπτεται από την έρευνα.
Table of Contents
Η παραβίαση δεδομένων στο cloud είναι συνηθισμένη
Η Ermetic είναι μια εταιρεία ασφάλειας κινδύνου πρόσβασης στο cloud που προσπαθεί να δημιουργήσει ένα ασφαλέστερο περιβάλλον ασφάλειας cloud εφαρμόζοντας νέες πρακτικές ασφάλειας. Για να αποδείξετε ότι χρειάζεστε ένα νέο παράδειγμα ασφάλειας, πρέπει να δείξετε ότι υπάρχουν προβλήματα με τις τρέχουσες πρακτικές. Έτσι, διεξάγονται ερευνητικές μελέτες για να εντοπιστούν τα κύρια προβλήματα που οδηγούν σε παραβίαση δεδομένων cloud.
Τα αποτελέσματα μιας από αυτές τις έρευνες από την παγκόσμια εταιρεία πληροφοριών IDC δημοσιεύτηκαν από την Ermetic και αποκάλυψε ότι σχεδόν το 80% των ερωτηθέντων εταιρειών είχαν βιώσει παραβίαση δεδομένων cloud τους τελευταίους 18 μήνες. Και σχεδόν οι μισές από τις εταιρείες που ερωτήθηκαν υπέστησαν δέκα ή περισσότερες παραβιάσεις την ίδια περίοδο.
Αυτό δείχνει ότι οι παραβιάσεις δεδομένων cloud είναι πιο συχνές από ό, τι θα θέλαμε να σκεφτούμε. Και μιλάμε εδώ για προβλήματα ασφάλειας cloud σε εταιρείες που επεξεργάζονται και αποθηκεύουν τόνους προσωπικών δεδομένων. Οι εταιρείες που συμμετείχαν στην έρευνα περιλαμβάνουν εταιρείες από τομείς όπως η τραπεζική, η υγειονομική περίθαλψη, η κυβέρνηση, το λιανικό εμπόριο, τα μέσα μαζικής ενημέρωσης, τα φαρμακευτικά προϊόντα και άλλες. Αυτό αποδεικνύει πόσο μεγάλο είναι το πρόβλημα ασφάλειας cloud και ότι οι εταιρείες που αντιμετωπίζουν αυτές τις παραβιάσεις πρέπει να εργαστούν σκληρότερα για να εφαρμόσουν σωστές πρακτικές ασφάλειας cloud.
Τα πιο συνηθισμένα ζητήματα ασφάλειας cloud
Με βάση την έρευνα, η Ermetic μπόρεσε να παράσχει τα βασικά ευρήματα που περιλαμβάνουν όχι μόνο τον αριθμό των εταιρειών που αντιμετώπισαν τουλάχιστον μία παραβίαση δεδομένων cloud, αλλά αποκαλύπτουν και τις κύριες απειλές για την ασφάλεια του cloud. Οι τρεις πρώτες απειλές ασφαλείας είναι η εσφαλμένη διαμόρφωση ασφαλείας (67%), η έλλειψη ορατότητας στην πρόσβαση (64%) και οι ακατάλληλες διαμορφώσεις IAM και δικαιωμάτων (61%). Ως επί το πλείστον, αυτές οι απειλές προκύπτουν από την κατ 'απαίτηση φύση των αναπτύξεων υποδομής cloud. Μπορεί να υπάρχουν περισσότεροι χρήστες με δικαιώματα πρόσβασης σε ευαίσθητα δεδομένα από ό, τι θα έπρεπε, και μόνο ένα μικρό μερίδιο των εν λόγω χρηστών θα έχουν πρόσβαση σε αυτά τα δεδομένα τακτικά. Έτσι, όλοι οι άλλοι λογαριασμοί που έχουν άδεια πρόσβασης αποτελούν ευθύνη που μπορούν να εκμεταλλευτούν οι εγκληματίες στον κυβερνοχώρο.
Για να μετριαστούν αυτές οι απειλές, προτείνεται ότι οι εταιρείες πρέπει να επικεντρωθούν στην παρακολούθηση της συμμόρφωσης, στη διαχείριση διαμόρφωσης ασφάλειας και στη διαχείριση αδειών και αδειών. Η διαχείριση εξουσιοδότησης περιλαμβάνει πρόσβαση χρήστη και ρυθμίσεις εξουσιοδότησης, όπως κωδικούς πρόσβασης, έλεγχο ταυτότητας πολλών παραγόντων, δικαιώματα και ούτω καθεξής. Περιττό να πούμε, οι εταιρείες ενθαρρύνονται να βασίζονται σε διαχειριστές κωδικών πρόσβασης για αποθήκευση και ανανέωση κωδικών πρόσβασης, καθώς η διατήρηση ενός προεπιλεγμένου κωδικού πρόσβασης αποτελεί σοβαρή απειλή για την ασφάλεια. Οι εργαζόμενοι πρέπει επίσης να ενημερωθούν για αυτά τα ζητήματα ασφάλειας, ώστε να χρησιμοποιούν τις βέλτιστες πρακτικές ασφάλειας. Επιπλέον, οι κωδικοί πρόσβασης συνδέονται επίσης άμεσα με έναν από τους μεγαλύτερους κινδύνους για την ασφάλεια στο σύννεφο που είναι η εσφαλμένη διαμόρφωση ασφαλείας.
Ασφάλεια εσφαλμένη διαμόρφωση περιβάλλοντος παραγωγής
Η εσφαλμένη διαμόρφωση ασφαλείας επισημάνθηκε ως το κύριο ζήτημα ασφάλειας του cloud και αυτό είναι ένα πρόβλημα που προέρχεται από το εσωτερικό, καθώς εξαρτάται από τον τρόπο με τον οποίο οι ομάδες IT διαμορφώνουν τις ρυθμίσεις ασφαλείας για αποθήκευση cloud. Υπάρχουν πολλά προβλήματα που σχετίζονται με εσφαλμένη ρύθμιση παραμέτρων ασφαλείας και ένα από τα πιο συνηθισμένα προβλήματα είναι η πρόσβαση του κοινού σε κάδους αποθήκευσης . Το πρόβλημα με τους κάδους αποθήκευσης είναι ότι προστατεύονται σπάνια με μεθόδους ελέγχου ταυτότητας και αυτό είναι ήδη ένα έντονο ελάττωμα ασφαλείας.
Ωστόσο, είναι αυτονόητο ότι υπάρχουν πολλά άλλα προβλήματα που σχετίζονται με εσφαλμένη διαμόρφωση ασφαλείας. Τα περισσότερα από αυτά τα προβλήματα αφορούν υπερβολικά δικαιώματα πρόσβασης σε ευαίσθητα δεδομένα. Ίσως ορισμένες διαμορφώσεις cloud έχουν ανεκτές πολιτικές ομάδας ασφαλείας ή ορισμένες διαδρομές σύνδεσης στο Διαδίκτυο δεν έχουν ρυθμιστεί σωστά. Το θέμα είναι ότι κάθε απόσπασμα (ανεξάρτητα από το πόσο μικρό είναι) δημιουργεί ένα άνοιγμα για πιθανή παραβίαση δεδομένων cloud και, στη συνέχεια, οι ομάδες IT πρέπει να προσπαθήσουν να διορθώσουν τις ελαττωματικές ρυθμίσεις. Επιπλέον, οι εταιρείες χάνουν πολύ χρόνο επανεκπαιδεύοντας τους υπαλλήλους τους σχετικά με τις νέες πρακτικές ασφάλειας, όταν θα μπορούσε να είχε γίνει από την αρχή κατά την εισαγωγή της υπηρεσίας cloud.
Οι ειδικοί προτείνουν επίσης ότι η έλλειψη ορατότητας ευθύνεται επίσης για τα ζητήματα με εσφαλμένη διαμόρφωση ασφαλείας. Μια ομάδα πληροφορικής μπορεί να είναι πρόθυμη να εφαρμόσει ασφαλείς διαμορφώσεις, αλλά λόγω της εκθετικής ανάπτυξης της υιοθέτησης του δημόσιου cloud και της έλλειψης ορατότητας του τι συμβαίνει πραγματικά σε αυτά τα περιβάλλοντα cloud, οι ομάδες IT ενδέχεται να είναι σε θέση να καλύψουν κάθε πτυχή της ασφάλειας cloud εντός περιορισμένης χρονικής περιόδου.
Ένας άλλος λόγος για τον οποίο αυξάνονται οι εσφαλμένες διαμορφώσεις του cloud είναι το ανθρώπινο λάθος. Έτσι, μία από τις προτάσεις που προσφέρουν οι ειδικοί ασφαλείας χρησιμοποιεί όσο το δυνατόν περισσότερα εργαλεία αυτοματισμού. Φυσικά, υπάρχει πάντα το πρόβλημα των εργαλείων αυτοματισμού να μην μπορούν να συμβαδίσουν με την ταχεία ανάπτυξη εφαρμογών. Ωστόσο, ταυτόχρονα, η χρήση εργαλείων αυτοματισμού μπορεί να συμβάλει στη μείωση του κινδύνου εσφαλμένης διαμόρφωσης. Μπορεί επίσης να βελτιώσει την ορατότητα του δικτύου επιτρέποντας στις ομάδες πληροφορικής να βλέπουν καλύτερα τι συμβαίνει και αυτό από μόνο του θα αποτρέψει την εσφαλμένη διαμόρφωση του cloud.
Συνολικά, η ασφάλεια του cloud είναι ένα πολύπλοκο ζήτημα και η επίλυσή του απαιτεί πολλή προσπάθεια στο εσωτερικό. Ανάλογα με τη σφαίρα όπου χρησιμοποιούνται οι υπηρεσίες cloud, οι τελικοί χρήστες μπορεί να μην έχουν πολλά λόγια για το πρόβλημα. Η αναγκαιότητα εφαρμογής ασφαλών πρακτικών ασφάλειας cloud εξαρτάται σαφώς από τις εταιρείες που χρησιμοποιούν τέτοιες υπηρεσίες. Θα πρέπει να είναι προς το συμφέρον τους να προστατεύσουν τις πληροφορίες τους από παραβίαση δεδομένων cloud και να εκπαιδεύσουν τους υπαλλήλους τους για βέλτιστες πρακτικές ασφάλειας. Σε τελική ανάλυση, κάθε ζήτημα ασφάλειας στον κυβερνοχώρο μπορεί να έχει ως αποτέλεσμα όχι μόνο τις οικονομικές απώλειες αλλά και την απώλεια της εμπιστοσύνης των πελατών.
