Flere data og applikationer bliver cloud-baserede, hvilket skaber udfordringer for sikkerheden. Her er nogle af de største sikkerhedstrusler som organisationer står overfor når bruger cloud-tjenester.
Anvendelsen af cloud-tjenester er steget enormt de sidste 10 år blandt virksomheder og organisationer og har også introduceret en række nye sikkerhedstrusler og udfordringer. Med så mange data, der går ind i skyen bliver disse naturlige mål for kriminelle og hvad mange måske tror, så ligger hovedansvaret for at beskytte virksomhedsdata i skyen ikke hos tjenesteudbyderen, men hos cloudkunden.
Derfor er det også vigtigt, at man gør sig grundige tanker og tager sig nogle forholdsregler ved anvendelse og implementering af cloud-løsninger.
Databrud
– Offer for databrud kan forårsage store omdømme og økonomiske skader. De kan potentielt resultere i tab af intellektuel ejendom (IP) og betydelige juridiske forpligtelser.
– Hvem der har adgang til data, er et centralt spørgsmål at løse for at beskytte dem.
– Internet-tilgængelige data er de mest sårbare over for miskonfiguration eller udnyttelse.
– Kryptering kan beskytte data, men er et kompromis mellem ydeevne og brugeroplevelse.
– Virksomheder har brug for robuste, testede hændelsesresponsplaner, når de tager cloudtjenesteudbydere i betragtning.
Fejlkonfiguration og utilstrækkelig ændringskontrol
– Det er ikke kun tab af data, som virksomheder skal bekymre sig om, men sletning eller ændring af ressourcer udført med det formål at forstyrre forretningen, samt dårlig praksis for ændringskontrol for de fleste konfigurationsfejl.
– Kompleksiteten af skybaserede ressourcer kan gøre dem vanskelige at konfigurere.
– Forvent ikke, at traditionelle kontroller og tilgangsstyringsmetoder skal være effektive i skyen.
– Brug automatisering og teknologier, der kontinuerligt scanner for forkert konfigurerede ressourcer.
Mangel på cloud-sikkerhedsarkitektur og -strategi
Ønsket om at minimere den nødvendige tid til at migrere systemer og data til skyen får ofte forrang over sikkerhed. Resultatet er at virksomheden bliver operationel i skyen ved hjælp af sikkerhedsinfrastruktur og strategier, der ikke er designet til den. Sikkerhedsarkitekturen bør være i overensstemmelse med mål og formål.
Utilstrækkelig identitet, legitimationsoplysninger, adgang og nøglehåndtering
Yderligere en trussel er utilstrækkelig adgangsstyring og kontrol omkring data, systemer og fysiske ressourcer som serverrum og bygninger. Skyen kræver, at organisationer ændrer praksis relateret til identitets- og adgangsstyring (IAM). Konsekvenser af ikke at gøre det kan resultere i sikkerhedshændelser og overtrædelser forårsaget af:
- Utilstrækkeligt beskyttede legitimationsoplysninger
- Mangel på automatisk rotation af kryptografiske nøgler, adgangskoder og certifikater
- Manglende skalerbarhed
- Manglende brug af flerfaktorautentificering
- Manglende brug af stærke adgangskoder
Kapring af konti
Phishing-forsøg bliver mere effektive og målrettede og risikoen for, at en hacker får adgang til meget privilegerede konti derfor reel. Phishing er ikke den eneste måde, hvorpå kriminelle kan få legitimationsoplysninger. De kan også erhverve dem ved at kompromittere selve cloudtjenesten ved at stjæle dem på andre måder. Kan en hacker komme ind i systemet ved hjælp af en legitim konto, kan de forårsage stor skade, herunder tyveri eller ødelæggelse af vigtige data, standsning af levering af tjenester eller økonomisk svindel.
Insider trusler
Trusler fra betroede insidere er lige så alvorlige i skyen som de er med lokale systemer. Insidere kan være nuværende eller tidligere ansatte, kunder eller en betroet forretningspartner; enhver, der ikke behøver at bryde igennem en virksomheds forsvar for at få adgang til dets systemer. En insider behøver ikke at have ondsindet hensigt om at gøre skade; de kunne utilsigtet sætte data og systemer i fare. Mange af disse hændelser skyldes i virkeligheden forsømmelse fra medarbejder eller kunde. Denne uagtsomhed kan omfatte forkert konfigurerede cloud-servere, lagring af følsomme data på en personlig enhed eller at blive offer for en phishing-e-mail.
Usikre grænseflader og API’er
Faldende til nummer syv fra nummer tre sidste år er usikre grænseflader og API’er en almindelig angrebsvektor, som Facebook vedder var resultatet af en sårbarhed, der blev introduceret i sin Vis som-funktion. Især når de er forbundet med brugergrænseflader, kan API-sårbarheder give angribere en klar vej til at stjæle bruger- eller medarbejderoplysninger, som f.eks. da Facebook i 2018 oplevede et brud, der påvirkede mere end 50 millioner konti.
Svag kontrolstyring
En kontrolstyring omfatter processerne fra dataduplikering, migrering og lagring. Kontrolplanet er svagt, hvis den person, der har ansvaret for disse processer, ikke har fuld kontrol over datainfrastrukturens logik, sikkerhed og verifikation. De kontrollerende interessenter har brug for at forstå sikkerhedskonfigurationen, hvordan data strømme, og de arkitektoniske blinde vinkler eller svagheder. Manglende overholdelse af dette kan resultere i datalækage, eller inficering af data.
Fejl i metastruktur og applikationsstruktur
En cloudtjenesteudbyders metastruktur indeholder sikkerhedsoplysninger om, hvordan den beskytter sine systemer, og den afslører disse oplysninger via API-opkald. API’erne hjælper kunder med at opdage uautoriseret adgang, men indeholder også meget følsomme oplysninger såsom logfiler eller revisionssystemdata.
Dårlig API-implementering er ofte årsagen til en sårbarhed og umodne cloudtjenesteudbydere ved måske ikke, hvordan man korrekt gør API’er tilgængelige for sine kunder og kunderne på den anden side forstår muligvis ikke, hvordan de implementerer skyapplikationer korrekt. Dette gælder især når de forbinder applikationer, der ikke er designet til skymiljøer.
Misbrug og ondsindet brug af cloudtjenester
Kriminelle bruger i stigende grad legitime skytjenester til at understøtte deres aktiviteter. For eksempel kan de bruge en skytjeneste, der er forklædt malware på websteder for at stjæle legitimationsoplysninger. Det er derfor vigtigt for cloududbydere at have en anmeldelsesprocedurer på plads for at reagere på misbrug og give kunder mulighed for at rapportere misbrug.
