5 harde waarheden over de staat van cloudbeveiliging in 2024

Hoewel cloudbeveiliging zeker een lange weg heeft afgelegd sinds de dagen van de vroege cloud-adoptie in het wilde westen, is de waarheid dat er nog een lange weg te gaan is voordat de meeste organisaties vandaag de dag hun cloudbeveiligingspraktijken echt volwassen hebben gemaakt. En dit kost organisaties enorm wat betreft beveiligingsincidenten.

Een Vanson Bourne-studie Eerder dit jaar bleek dat bijna de helft van de inbreuken waar organisaties het afgelopen jaar last van hadden, zijn oorsprong vond in de cloud. Uit hetzelfde onderzoek blijkt dat de gemiddelde organisatie het afgelopen jaar bijna 4.1 miljoen dollar heeft verloren door inbreuken op de cloud.

Dark Reading sprak onlangs met de peetvader van zero trust-beveiliging, John Kindervag, om de huidige stand van zaken op het gebied van cloudbeveiliging te bespreken. Toen hij analist bij Forrester Research was, hielp Kindervag bij het conceptualiseren en populariseren van het zero trust-beveiligingsmodel. Nu is hij hoofdevangelist bij Illumio, waar hij ondanks al zijn inspanningen nog steeds een groot voorstander is van zero trust, waarbij hij uitlegt dat dit een belangrijke manier is om de beveiliging in het cloudtijdperk opnieuw te ontwerpen. Volgens Kindervag moeten organisaties omgaan met de volgende harde waarheden om hiermee succes te boeken.

1. U wordt niet veiliger door alleen maar naar de cloud te gaan

Een van de grootste mythen over de cloud vandaag de dag is dat deze van nature veiliger is dan de meeste lokale omgevingen, zegt Kindervag.

"Er bestaat een fundamenteel misverstand over de cloud dat er op de een of andere manier meer beveiliging in is ingebouwd, dat je veiliger bent als je naar de cloud gaat, alleen al door naar de cloud te gaan", zegt hij.

Het probleem is dat hoewel hyperscale cloudproviders heel goed kunnen zijn in het beschermen van infrastructuur, de controle en verantwoordelijkheid over de beveiligingspositie van hun klanten zeer beperkt is.

“Veel mensen denken dat ze de beveiliging uitbesteden aan de cloudprovider. Ze denken dat ze het risico overdragen”, zegt hij. “Bij cybersecurity kun je het risico nooit overdragen. Als u de beheerder van die gegevens bent, bent u altijd de beheerder van de gegevens, ongeacht wie deze voor u bewaart.”

Dit is de reden waarom Kindervag geen grote fan is van de vaak herhaalde zinsnede “gedeelde verantwoordelijkheid”, waardoor het volgens hem klinkt alsof er een 50-50 verdeling van arbeid en inspanning is. Hij geeft de voorkeur aan de zinsnede “ongelijke handdruk”, dat werd bedacht door zijn voormalige collega bij Forrester, James Staten.

“Dat is het fundamentele probleem: mensen denken dat er sprake is van een model van gedeelde verantwoordelijkheid, en dat er in plaats daarvan sprake is van een ongelijke handdruk”, zegt hij.

2. Eigen beveiligingsmaatregelen zijn moeilijk te beheren in een hybride wereld

Laten we het ondertussen eens hebben over de verbeterde native cloudbeveiligingsmaatregelen die providers de afgelopen tien jaar hebben opgebouwd. Hoewel veel providers goed werk hebben geleverd door klanten meer controle te bieden over hun werklast, identiteit en zichtbaarheid, is die kwaliteit inconsistent. Zoals Kindervag zegt: "Sommige zijn goed, andere niet." Het echte probleem bij allemaal is dat ze in de echte wereld moeilijk te beheren zijn, afgezien van de isolatie van de omgeving van één enkele provider.

“Er zijn veel mensen voor nodig, en die zijn in elke cloud anders. Ik denk dat elk bedrijf waarmee ik de afgelopen vijf jaar heb gesproken een multicloud- en een hybride model heeft, die beide tegelijkertijd plaatsvinden”, zegt hij. “Hybride wezen: 'Ik gebruik mijn lokale spullen en clouds, en ik gebruik meerdere clouds, en mogelijk gebruik ik meerdere clouds om toegang te bieden tot verschillende microservices voor een enkele applicatie.' De enige manier waarop je dit probleem kunt oplossen, is door een beveiligingscontrole te hebben die over alle verschillende clouds heen kan worden beheerd.”

Dit is een van de belangrijkste factoren die de discussies over het verplaatsen van zero trust naar de cloud aandrijven, zegt hij.

“Zero trust werkt, ongeacht waar je data of assets neerzet. Het zou in de cloud kunnen staan. Het kan op locatie zijn. Het zou op een eindpunt kunnen zijn”, zegt hij.

3. Identiteit zal uw cloud niet redden

Nu er tegenwoordig zoveel nadruk wordt gelegd op identiteitsbeheer in de cloud en er onevenredige aandacht is voor de identiteitscomponent in zero trust, is het belangrijk voor organisaties om te begrijpen dat identiteit slechts een deel is van een uitgebalanceerd ontbijt voor zero trust in de cloud.

“Een groot deel van het zero trust-verhaal gaat over identiteit, identiteit, identiteit”, zegt Kindervag. “Identiteit is belangrijk, maar we consumeren identiteit in beleid zonder vertrouwen. Het is niet het uiteindelijke alles. Het lost niet alle problemen op.”

Wat Kindervag bedoelt is dat met een zero trust-model gebruikers niet automatisch toegang krijgen tot alles wat zich binnen een bepaalde cloud of netwerk afspeelt. Het beleid beperkt precies wat en wanneer toegang wordt gegeven tot specifieke activa. Kindervag is al lange tijd een voorstander van segmentatie – van netwerken, workloads, assets, data – lang voordat hij het zero trust-model in kaart begon te brengen. Zoals hij uitlegt, is de kern van het definiëren van zero trust-toegang door beleid het opdelen van zaken in ‘beschermingsoppervlakken’, aangezien het risiconiveau van verschillende soorten gebruikers die toegang krijgen tot elk beschermingsoppervlak het beleid zal bepalen dat aan een bepaalde inloggegevens zal worden gekoppeld.

“Dat is mijn missie: mensen zover krijgen dat ze zich concentreren op wat ze moeten beschermen, en die belangrijke dingen op verschillende beschermoppervlakken plaatsen, zoals je PCI-creditcarddatabase op zijn eigen beschermoppervlak zou moeten staan. Uw HR-database moet zich op een eigen beschermoppervlak bevinden. Uw HMI voor uw IoT-systeem of OT-systeem moet zich op een eigen beschermoppervlak bevinden”, zegt hij. “Als we het probleem in deze kleine hapklare brokken opdelen, lossen we ze stuk voor stuk op, en we doen ze de een na de ander. Het maakt het veel schaalbaarder en uitvoerbaarder.”

4. Te veel bedrijven weten niet wat ze proberen te beschermen

Terwijl organisaties beslissen hoe ze hun beveiligingsoppervlakken in de cloud willen segmenteren, moeten ze eerst duidelijk definiëren wat ze proberen te beschermen. Dit is van cruciaal belang omdat elk asset, systeem of proces zijn eigen unieke risico met zich meebrengt, en dat zal bepalend zijn voor het toegangsbeleid en de verharding eromheen. De grap is dat je geen kluis van $ 1 miljoen zou bouwen om een paar honderd centen in te bewaren. Het cloud-equivalent daarmee zou heel veel bescherming bieden rond een cloud-item dat geïsoleerd is van gevoelige systemen en geen gevoelige informatie bevat.

Kindervag zegt dat het ongelooflijk vaak voorkomt dat organisaties geen duidelijk idee hebben van wat ze beschermen in de cloud of daarbuiten. Sterker nog, de meeste organisaties hebben tegenwoordig niet eens noodzakelijkerwijs een duidelijk idee van wat zich in de cloud bevindt of wat er met de cloud verbonden is, laat staan wat er beschermd moet worden. Bijvoorbeeld, een Cloud Security Alliance-studie laat zien dat slechts 23% van de organisaties volledig inzicht heeft in cloudomgevingen. En uit het Illumio-onderzoek van eerder dit jaar blijkt dat 46% van de organisaties geen volledig inzicht heeft in de connectiviteit van de clouddiensten van hun organisatie.

"Mensen denken niet na over wat ze eigenlijk proberen te bereiken, wat ze proberen te beschermen", zegt hij. Dit is een fundamenteel probleem dat ervoor zorgt dat bedrijven veel beveiligingsgeld verspillen zonder daarbij de juiste bescherming in te richten, legt Kindervag uit. 'Ze komen naar mij toe en zeggen: 'Nul vertrouwen werkt niet', en ik vraag: 'Wel, wat probeer je te beschermen?' en ze zullen zeggen: ‘Daar heb ik nog niet over nagedacht’, en mijn antwoord is: ‘Nou, dan ben je nog niet eens in de buurt van het begin van het proces van nulvertrouwen. ''

5. Stimulansen voor cloud-native ontwikkeling zijn niet meer van toepassing

DevOps-praktijken en cloud-native ontwikkeling zijn enorm verbeterd dankzij de snelheid, schaalbaarheid en flexibiliteit die cloudplatforms en -tools bieden. Als beveiliging op de juiste manier in die mix wordt geïntegreerd, kunnen er goede dingen gebeuren. Maar Kindervag zegt dat de meeste ontwikkelingsorganisaties niet voldoende worden gestimuleerd om dat te realiseren – wat betekent dat de cloudinfrastructuur en alle applicaties die daarop rusten tijdens het proces in gevaar komen.

“Ik zeg graag dat de mensen van de DevOps-app de Ricky Bobbys van IT zijn. Ze willen gewoon snel gaan. Ik herinner me dat ik sprak met het hoofd ontwikkeling van een bedrijf dat uiteindelijk werd gehackt, en ik vroeg hem wat hij deed aan de beveiliging. En hij zei: 'Niets, ik geef niets om de veiligheid'', zegt Kindervag. 'Ik vroeg: 'Hoe kun je je niets aantrekken van de veiligheid?' en hij zegt: 'Omdat ik er geen KPI voor heb. Mijn KPI zegt dat ik met mijn team vijf pushes per dag moet doen, en als ik dat niet doe, krijg ik geen bonus.'”

Kindervag zegt dat dit een illustratie is van een van de grote problemen, niet alleen in AppSec, maar ook bij de overgang naar zero trust voor de cloud en daarbuiten. Te veel organisaties beschikken eenvoudigweg niet over de juiste stimuleringsstructuren om dit mogelijk te maken – en in feite hebben veel organisaties perverse prikkels die uiteindelijk leiden tot onzekere praktijken.

Dit is de reden waarom hij een voorstander is van het opbouwen van zero trust-centra van uitmuntendheid binnen ondernemingen, waar niet alleen technologen, maar ook zakelijk leiderschap bij de planning, het ontwerp en de lopende besluitvormingsprocessen betrokken zijn. Wanneer deze cross-functionele teams elkaar ontmoeten, zegt hij, heeft hij “incentive-structuren in realtime zien veranderen” wanneer een krachtige bedrijfsleider naar voren stapt om te zeggen dat de organisatie die kant op gaat.

“De meest succesvolle zero trust-initiatieven waren die waarbij bedrijfsleiders betrokken raakten”, zegt Kindervag. “Ik had er een in een productiebedrijf waar de executive vice-president – een van de topleiders van het bedrijf – een kampioen werd voor zero trust-transformatie voor de productieomgeving. Dat ging heel vlot omdat er geen remmers waren.”

Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
Bron: https://www.darkreading.com/cloud-security/5-hard-truths-about-the-state-of-cloud-security-2024

Generatieve data-intelligentie

5 harde waarheden over de staat van cloudbeveiliging in 2024

1. U wordt niet veiliger door alleen maar naar de cloud te gaan

2. Eigen beveiligingsmaatregelen zijn moeilijk te beheren in een hybride wereld

3. Identiteit zal uw cloud niet redden

4. Te veel bedrijven weten niet wat ze proberen te beschermen

5. Stimulansen voor cloud-native ontwikkeling zijn niet meer van toepassing

Zullen de cryptomarkten blijven stijgen op basis van de economische gegevens van deze week?

Coinbase wordt geconfronteerd met een nieuwe class action-rechtszaak: investeerders beweren illegaal aanbod

Laatste intelligentie

Stellar Lumen (XLM)-prijs kan stijgen als $ 0.1115 vrijkomt | Live Bitcoin-nieuws

Shiba Inu Smart Money, die net voor de recente dip van 14,000,000% $30 heeft afgelost, verzamelt een SHIB-rivaal die in april werd verkozen tot snelst groeiende Altcoin...

CropLife Asia kondigt nieuwe Office Bearers aan voor 2024

Ethereum-prijs claimt 100 SMA, maar stieren hebben nog steeds geen kracht om hindernissen te nemen

Achter het controversiële wetsvoorstel van Rusland dat tot doel heeft cryptocurrencies te verbieden

De blockchain van Bitcoin heeft 1 miljard transacties verwerkt, 15 jaar na de oprichting ervan

Chat met ons