Beveik 80% įmonių patyrė „Cloud Data“ pažeidimą per pastaruosius 18 mėnesių
Tik logiška, kad įmonės migruoja internetu, ir tik laiko klausimas, kol beveik visi duomenys ir informacija bus saugomi ir pasiekiami per debesų paslaugas. Tačiau, kaip ir viskas ten, debesijos paslaugos taip pat yra jautrios kibernetinių nusikaltimų veiklai, taigi debesų saugumas yra gyvybiškai svarbus bet kuriam verslui. Galbūt klientai apie tokias grėsmes nežino, tačiau debesų duomenų pažeidimai yra kur kas dažnesni, nei galima pagalvoti.
Šiame įraše norėtume jums apžvelgti „ Ermetic“ ataskaitą, kuri atskleidžia debesų saugumo realijas, taip pat išsamiau aptariame didžiausią grėsmę debesų saugumui, kaip parodė tyrimas.
Table of Contents
Debesų duomenų pažeidimas yra įprastas dalykas
„Ermetic“ yra prieigos prie debesies rizikos saugumo įmonė, kuri, įgyvendindama naują saugumo praktiką, siekia sukurti saugesnę debesų saugumo aplinką. Norėdami įrodyti, kad jums reikia naujos saugumo paradigmos, turite parodyti, kad esama praktikos problemų. Taigi atliekami moksliniai tyrimai, siekiant išsiaiškinti pagrindines problemas, kurios lemia debesų duomenų pažeidimą.
Vienos šios pasaulinės žvalgybos firmos IDC apklausos rezultatus paskelbė „Ermetic“ ir paaiškėjo, kad beveik 80% apklaustų įmonių per pastaruosius 18 mėnesių patyrė debesų duomenų pažeidimą. Beveik pusė apklaustų įmonių tuo pačiu laikotarpiu patyrė dešimt ir daugiau pažeidimų.
Tai rodo, kad debesų duomenų pažeidimai yra dažnesni, nei norėtume manyti. Čia mes kalbame apie debesų saugumo problemas įmonėse, kurios tvarko ir saugo daugybę asmens duomenų. Tyrime dalyvavusiose įmonėse yra tokių bankų, sveikatos priežiūros, vyriausybės, mažmeninės prekybos, žiniasklaidos, farmacijos ir kitų sričių įmonių. Tai įrodo, kokia debesų saugumo problema yra plačiai paplitusi ir kad įmonės, kurios patiria tuos pažeidimus, turi labiau stengtis įgyvendinti tinkamą debesų saugumo praktiką.
Dažniausios debesies saugumo problemos
Remdamasis apklausa, „Ermetic“ galėjo pateikti pagrindines išvadas, apimančias ne tik įmonių, patyrusių bent vieną debesų duomenų pažeidimą, skaičių, bet ir atskleidžiančios pagrindines debesų saugumo grėsmes. Trys svarbiausios grėsmės saugumui yra neteisinga saugumo konfigūracija (67%), prieigos matomumo trūkumas (64%) ir netinkamos IAM ir leidimų konfigūracijos (61%). Dažniausiai šios grėsmės kyla dėl debesų infrastruktūros diegimo pagal poreikį. Vartotojų, turinčių leidimus pasiekti neskelbtinus duomenis, gali būti daugiau, nei turėtų būti, ir tik nedidelė dalis minėtų vartotojų reguliariai pasiektų tuos duomenis. Taigi visos kitos paskyros, turinčios prieigos leidimą, yra atsakomybė, kuria gali pasinaudoti kibernetiniai nusikaltėliai.
Norint sušvelninti šias grėsmes, įmonėms siūloma sutelkti dėmesį į atitikties stebėjimą, saugos konfigūracijos valdymą ir leidimų bei leidimų valdymą. Autorizavimo valdymas apima vartotojo prieigos ir prieigos teisių nustatymus, tokius kaip slaptažodžiai, kelių veiksnių autentifikavimas, leidimai ir kt. Nereikia nė sakyti, kad įmonės yra raginamos pasikliauti slaptažodžių tvarkytuvėmis slaptažodžių saugojimui ir atnaujinimui, nes numatytojo slaptažodžio išlaikymas kelia didelę grėsmę saugumui. Darbuotojai taip pat turi būti supažindinti su šiomis saugumo problemomis, kad jie naudotųsi geriausia saugumo praktika. Be to, slaptažodžiai taip pat yra tiesiogiai susiję su viena didžiausių debesų saugumo rizikų, ty netinkama saugumo konfigūracija.
Neteisinga saugos aplinka gamybos aplinkose
Netinkama saugumo konfigūracija buvo nurodyta kaip pagrindinė debesų saugumo problema, ir tai yra problema, kylanti iš vidaus, nes tai priklauso nuo to, kaip IT komandos sukonfigūruos debesies saugyklos saugos parametrus. Yra kelios problemos, susijusios su neteisingu saugos konfigūravimu, ir viena iš labiausiai paplitusių problemų yra viešos prieigos prie saugyklos grupių suteikimas . Su saugojimo grupėmis susijusi problema yra ta, kad juos retai apsaugo autentifikavimo metodai, ir tai jau yra akivaizdus saugumo trūkumas.
Tačiau savaime suprantama, kad yra daugybė kitų problemų, susijusių su netinkama saugumo konfigūracija. Dauguma šių problemų yra susijusios su per dideliais prieigos prie neskelbtinų duomenų leidimais. Galbūt kai kuriose debesų konfigūracijose yra leistinos saugos grupės strategijos arba kai kurie interneto ryšio keliai nėra tinkamai sukonfigūruoti. Esmė ta, kad kiekvienas slydimas (kad ir koks mažas jis būtų) sukuria angą galimam debesijos duomenų pažeidimui, o tada IT komandos turi sprukti, kad ištaisytų klaidingus nustatymus. Be to, įmonės praranda daug laiko, peraukdamos savo darbuotojus apie naują saugumo praktiką, kai tai buvo galima padaryti nuo pat pradžių, kai buvo įdiegta debesų paslauga.
Ekspertai taip pat teigia, kad matomumo trūkumas taip pat kaltas dėl netinkamos saugumo konfigūracijos. IT komanda gali būti pasirengusi įdiegti saugias konfigūracijas, tačiau dėl to, kad sparčiai auga viešojo debesies priėmimas ir nepakankamas matomumas, kas iš tikrųjų vyksta tose debesų aplinkose, IT komandos gali aprėpti visus atskirus debesies saugumo aspektus per ribotą laiką.
Kita priežastis, kodėl debesų konfigūracijos auga, yra žmogaus klaida. Taigi, vienas iš saugumo specialistų pasiūlymų yra naudoti kuo daugiau automatikos įrankių. Žinoma, visada iškyla problema, kad automatikos įrankiai nesugeba atsilikti nuo greito programų kūrimo. Tačiau tuo pačiu metu automatizavimo įrankių naudojimas gali padėti sumažinti neteisingos konfigūracijos riziką. Tai taip pat gali pagerinti tinklo matomumą, leisdamas IT komandoms geriau pamatyti, kas vyksta, ir tai savaime užkirs kelią neteisingai sukonfigūruoti debesyje.
Apskritai, debesų sauga yra sudėtinga problema, o jos sprendimas reikalauja daug pastangų viduje. Atsižvelgiant į sritį, kurioje naudojamos debesijos paslaugos, galutiniai vartotojai gali neturėti daug įtakos šiai problemai. Būtinybė įgyvendinti saugią debesų saugumo praktiką aiškiai priklauso nuo įmonių, naudojančių tokias paslaugas. Jie turėtų būti suinteresuoti apsaugoti savo informaciją nuo debesies duomenų pažeidimo ir šviesti savo darbuotojus apie optimalią saugumo praktiką. Juk kiekviena kibernetinio saugumo problema gali sukelti ne tik finansinius nuostolius, bet ir klientų pasitikėjimo praradimą.
