Deși securitatea în cloud a parcurs cu siguranță un drum lung de la zilele din vestul sălbatic al adoptării timpurii a cloud-ului, adevărul este că mai este un drum lung de parcurs până când majoritatea organizațiilor de astăzi să-și maturizeze cu adevărat practicile de securitate în cloud. Și acest lucru costă enorm organizațiile în ceea ce privește incidentele de securitate.

Un studiu Vanson Bourne la începutul acestui an, a arătat că aproape jumătate din încălcările suferite de organizații în ultimul an au avut originea în cloud. Același studiu a constatat că organizația medie a pierdut aproape 4.1 milioane de dolari din cauza breșelor în cloud în ultimul an.

Dark Reading l-a întâlnit recent cu nașul securității cu încredere zero, John Kindervag, pentru a discuta despre starea securității în cloud astăzi. Când era analist la Forrester Research, Kindervag a ajutat la conceptualizarea și popularizarea modelului de securitate zero trust. Acum este evanghelist-șef la Illumio, unde, în mijlocul activității sale, este încă un susținător al încrederii zero, explicând că aceasta este o modalitate cheie de a reproiecta securitatea în era cloud. Potrivit Kindervag, organizațiile trebuie să se ocupe de următoarele adevăruri dure pentru a avea succes în acest sens.

1. Nu devii mai sigur doar mergând pe cloud

Unul dintre cele mai mari mituri de astăzi despre cloud este că este în mod natural mai sigur decât majoritatea mediilor on-premise, spune Kindervag.

„Există o înțelegere greșită fundamentală a cloud-ului că, într-un fel, există mai multă securitate încorporată în mod nativ în el, că ești mai sigur dacă mergi în cloud doar prin acțiunea de a merge la cloud”, spune el.

Problema este că, în timp ce furnizorii de cloud hiperscale pot fi foarte buni la protejarea infrastructurii, controlul și responsabilitatea asupra poziției de securitate a clienților lor sunt foarte limitate.

„Mulți oameni cred că externalizează securitatea către furnizorul de cloud. Ei cred că transferă riscul”, spune el. „În securitatea cibernetică, nu poți transfera niciodată riscul. Dacă ești custodele acelor date, ești întotdeauna custodele datelor, indiferent cine le deține pentru tine.”

Acesta este motivul pentru care Kindervag nu este un mare fan al frazei des repetate „responsabilitate comună”, despre care spune el face să sune ca și cum există o diviziune a muncii și a efortului de 50-50. El preferă expresia „strângere neuniformă de mână”, care a fost inventat de fostul său coleg de la Forrester, James Staten.

„Aceasta este problema fundamentală, este că oamenii cred că există un model de responsabilitate comună și, în schimb, există o strângere de mână inegală”, spune el.

2. Controalele native de securitate sunt greu de gestionat într-o lume hibridă

Între timp, să vorbim despre acele controale de securitate native îmbunătățite pe care furnizorii le-au construit în ultimul deceniu. În timp ce mulți furnizori au făcut o treabă bună, oferind clienților mai mult control asupra sarcinilor de lucru, identităților și vizibilității lor, această calitate este inconsecventă. După cum spune Kindervag, „Unele dintre ele sunt bune, altele nu”. Problema reală pentru toate acestea este că sunt greu de gestionat în lumea reală, dincolo de izolarea mediului unui singur furnizor.

„Este nevoie de mulți oameni pentru a face acest lucru și sunt diferiți în fiecare nor. Cred că fiecare companie cu care am discutat în ultimii cinci ani are un model multicloud și un model hibrid, ambele având loc în același timp”, spune el. „Fiind hibrid, „Folosesc lucrurile și norii de la sediu și folosesc mai multe nori și este posibil să folosesc mai multe nori pentru a oferi acces la diferite microservicii pentru o singură aplicație”. Singura modalitate prin care puteți rezolva această problemă este să aveți un control de securitate care să poată fi gestionat în toate norii multiple.”

Acesta este unul dintre factorii majori care conduc discuțiile despre mutarea încrederii zero în cloud, spune el.

„Încrederea zero funcționează indiferent unde puneți datele sau activele. Ar putea fi în nor. Ar putea fi la sediu. Ar putea fi la un punct final”, spune el.

3. Identitatea nu vă va salva cloudul

Având atât de mult accent pus pe managementul identității în cloud în zilele noastre și atenția disproporționată acordată componentei de identitate în zero încredere, este important ca organizațiile să înțeleagă că identitatea este doar o parte a unui mic dejun bine echilibrat pentru zero încredere în cloud.

„Atât de mult din narațiunea de încredere zero este despre identitate, identitate, identitate”, spune Kindervag. „Identitatea este importantă, dar consumăm identitatea în politică fără încredere. Nu este sfârșitul, fie-tot. Nu rezolvă toate problemele.”

Ceea ce înseamnă Kindervag este că, cu un model de încredere zero, acreditările nu oferă automat accesul utilizatorilor la nimic sub soare dintr-un anumit nor sau rețea. Politica limitează exact ce și când se acordă acces la anumite active. Kindervag a fost un susținător de multă vreme al segmentării - a rețelelor, a sarcinilor de lucru, a activelor, a datelor - cu mult înainte de a începe să elaboreze modelul de încredere zero. După cum explică el, inima definirii accesului cu încredere zero prin politică este împărțirea lucrurilor în „suprafețe de protecție”, deoarece nivelul de risc al diferitelor tipuri de utilizatori care accesează fiecare suprafață de protecție va defini politicile care vor fi atașate oricărei acreditări date.

„Aceasta este misiunea mea, este de a face oamenii să se concentreze pe ceea ce trebuie să protejeze, să pună acele lucruri importante pe diferite suprafețe de protecție, cum ar fi baza de date a cardurilor de credit PCI pe propria suprafață de protecție. Baza de date de resurse umane ar trebui să fie în propria suprafață de protecție. HMI pentru sistemul dvs. IoT sau sistemul OT ar trebui să fie pe propria suprafață de protecție”, spune el. „Când împărțim problema în aceste bucăți mici de dimensiuni mici, le rezolvăm pe rând și le facem una după alta. O face mult mai scalabilă și realizabilă.”

4. Prea multe firme nu știu ce încearcă să protejeze

Pe măsură ce organizațiile decid cum să-și segmenteze suprafețele de protecție în cloud, trebuie mai întâi să definească clar ce încearcă să protejeze. Acest lucru este crucial deoarece fiecare activ sau sistem sau proces va avea propriul risc unic, iar acesta va determina politicile de acces și întărirea în jurul acestuia. Gluma este că nu ai construi un seif de un milion de dolari pentru a adăposti câteva sute de bănuți. Cloud echivalent cu acesta ar fi asigurarea de tone de protecție în jurul unui activ cloud care este izolat de sistemele sensibile și nu găzduiește informații sensibile.

Kindervag spune că este incredibil de comun ca organizațiile să nu aibă o idee clară despre ceea ce protejează în cloud sau dincolo. De fapt, majoritatea organizațiilor din ziua de azi nici măcar nu au neapărat o idee clară despre ceea ce se află chiar și în cloud sau ce se conectează la cloud, darămite ce trebuie protejat. De exemplu, un studiu Cloud Security Alliance arată că doar 23% dintre organizații au vizibilitate deplină în mediile cloud. Iar studiul Illumio de la începutul acestui an arată că 46% dintre organizații nu au vizibilitate deplină asupra conectivității serviciilor cloud ale organizației lor.

„Oamenii nu se gândesc la ceea ce încearcă de fapt să realizeze, la ceea ce încearcă să protejeze”, spune el. Aceasta este o problemă fundamentală care determină companiile să risipească o mulțime de bani de securitate fără a configura în mod corespunzător protecția în acest proces, explică Kindervag. „Vor veni la mine și vor spune „Încrederea zero nu funcționează”, iar eu voi întreba: „Ei bine, ce încerci să protejezi?” și ei vor spune: „Nu m-am gândit încă la asta”, iar răspunsul meu este „Ei bine, atunci nici măcar nu ești aproape de începerea procesului de încredere zero. '”

5. Stimulentele pentru dezvoltare nativă în cloud sunt dezactivate

Practicile DevOps și dezvoltarea nativă în cloud au fost mult îmbunătățite prin viteza, scalabilitatea și flexibilitatea oferite de platformele și instrumentele cloud. Când securitatea este stratificată în mod corespunzător în acest amestec, se pot întâmpla lucruri bune. Dar Kindervag spune că majoritatea organizațiilor de dezvoltare nu sunt motivate în mod corespunzător să facă acest lucru, ceea ce înseamnă că infrastructura cloud și toate aplicațiile care se bazează pe ea sunt puse în pericol în acest proces.

„Îmi place să spun că oamenii din aplicația DevOps sunt Ricky Bobbys din IT. Vor doar să meargă repede. Îmi amintesc că am vorbit cu șeful de dezvoltare la o companie care în cele din urmă a fost încălcat și l-am întrebat ce face cu securitatea. Și a spus: „Nimic, nu-mi pasă de securitate”, spune Kindervag. „Am întrebat: „Cum să nu-ți pese de securitate?” și el spune „Pentru că nu am un KPI pentru asta. KPI-ul meu spune că trebuie să fac cinci împingeri pe zi în echipa mea, iar dacă nu fac asta, nu primesc un bonus.'”

Kindervag spune că aceasta este o ilustrare a uneia dintre marile probleme, nu doar în AppSec, ci și în trecerea la încredere zero pentru cloud și nu numai. Prea multe organizații pur și simplu nu au structurile de stimulente potrivite pentru a face acest lucru - și, de fapt, multe au stimulente perverse care ajung să încurajeze practica nesigură.

Acesta este motivul pentru care el este un susținător pentru construirea de centre de excelență cu încredere zero în cadrul întreprinderilor care includ nu doar tehnologi, ci și conducerea afacerilor în planificarea, proiectarea și procesele continue de luare a deciziilor. Când aceste echipe interfuncționale se întâlnesc, spune el, a văzut „structurile de stimulente care se schimbă în timp real” atunci când un director de afaceri puternic face un pas înainte pentru a spune că organizația se va mișca în această direcție.

„Cele mai de succes inițiative de încredere zero au fost cele în care liderii de afaceri s-au implicat”, spune Kindervag. „Am avut una într-o companie de producție în care vicepreședintele executiv – unul dintre liderii de top ai companiei – a devenit un campion pentru transformarea în încredere zero pentru mediul de producție. A mers foarte bine pentru că nu existau inhibitori.”

• Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
• PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
• PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
• PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
• PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
• Sursa: https://www.darkreading.com/cloud-security/5-hard-truths-about-the-state-of-cloud-security-2024