Mens skysikkerhet absolutt har kommet langt siden de ville vestens dager med tidlig skyadopsjon, er sannheten at det er en lang vei å gå før de fleste organisasjoner i dag virkelig har modnet sin skysikkerhetspraksis. Og dette koster organisasjoner enormt når det gjelder sikkerhetshendelser.

En Vanson Bourne-studie tidligere i år viste at nesten halvparten av bruddene som ble påført av organisasjoner det siste året hadde sin opprinnelse i skyen. Den samme studien fant at den gjennomsnittlige organisasjonen tapte nesten 4.1 millioner dollar på skybrudd det siste året.

Dark Reading tok nylig kontakt med gudfaren til zero trust security, John Kindervag, for å diskutere tilstanden til skysikkerhet i dag. Da han var analytiker ved Forrester Research, hjalp Kindervag med å konseptualisere og popularisere null-tillit-sikkerhetsmodellen. Nå er han sjefevangelist hos Illumio, hvor han midt i sin oppsøkende virksomhet fortsatt er en forkjemper for null tillit, og forklarer at det er en nøkkelmåte for å redesigne sikkerhet i skytiden. Ifølge Kindervag må organisasjoner forholde seg til følgende harde sannheter for å oppnå suksess med dette.

1. Du blir ikke sikrere bare ved å gå til skyen

En av de største mytene i dag om skyen er at den er medfødt sikrere enn de fleste lokale miljøer, sier Kindervag.

"Det er en grunnleggende misforståelse av skyen at det på en eller annen måte er mer sikkerhet innebygd i den, at du er sikrere ved å gå til skyen bare ved å gå til skyen," sier han.

Problemet er at mens hyperskalere skyleverandører kan være veldig flinke til å beskytte infrastruktur, er kontrollen og ansvaret over kundens sikkerhetsstilling de har svært begrenset.

«Mange tror de outsourcer sikkerhet til skyleverandøren. De tror de overfører risikoen, sier han. «I cybersikkerhet kan du aldri overføre risikoen. Hvis du er depot for disse dataene, er du alltid depot for dataene, uansett hvem som holder dem for deg.»

Dette er grunnen til at Kindervag ikke er en stor fan av det ofte gjentatte uttrykket "felles ansvar,” som han sier får det til å høres ut som det er en 50-50 arbeidsdeling og innsats. Han foretrekker uttrykket "ujevnt håndtrykk", som ble laget av hans tidligere kollega i Forrester, James Staten.

"Det er det grunnleggende problemet, er at folk tror at det er en delt ansvarsmodell, og det er et ujevnt håndtrykk i stedet," sier han.

2. Innfødte sikkerhetskontroller er vanskelige å administrere i en hybridverden

I mellomtiden, la oss snakke om de forbedrede native skysikkerhetskontrollene som leverandører har bygget opp det siste tiåret. Mens mange leverandører har gjort en god jobb med å tilby kundene mer kontroll over arbeidsmengden, identiteten og synligheten deres, er denne kvaliteten inkonsekvent. Som Kindervag sier: "Noen av dem er gode, noen av dem er det ikke." Det virkelige problemet på tvers av dem alle er at de er vanskelige å administrere ute i den virkelige verden, utover isolasjonen av en enkelt leverandørs miljø.

«Det krever mange mennesker å gjøre det, og de er forskjellige i hver enkelt sky. Jeg tror alle selskaper jeg har snakket med de siste fem årene har en multicloud- og en hybridmodell, som begge skjer samtidig, sier han. "Hybrid er: 'Jeg bruker mine lokale ting og skyer, og jeg bruker flere skyer, og jeg bruker kanskje flere skyer for å levere tilgang til forskjellige mikrotjenester for en enkelt applikasjon.' Den eneste måten du kan løse dette problemet på er å ha en sikkerhetskontroll som kan administreres på tvers av alle de mange skyene."

Dette er en av de store faktorene som driver diskusjoner om å flytte null tillit til skyen, sier han.

«Null tillit fungerer uansett hvor du plasserer data eller eiendeler. Det kan være i skyen. Det kan være på stedet. Det kan være et endepunkt, sier han.

3. Identitet vil ikke redde skyen din

Med så mye vekt på skyidentitetsadministrasjon i disse dager, og uforholdsmessig oppmerksomhet på identitetskomponenten i null tillit, er det viktig for organisasjoner å forstå at identitet bare er en del av en velbalansert frokost for null tillit i skyen.

"Så mye av null-tillit-narrativet handler om identitet, identitet, identitet," sier Kindervag. «Identitet er viktig, men vi bruker identitet i politikk i null tillit. Det er ikke slutten-alt, vær-alt. Det løser ikke alle problemene.»

Det Kindervag mener er at med en null tillitsmodell gir ikke legitimasjon automatisk brukere tilgang til noe under solen innenfor en gitt sky eller nettverk. Retningslinjene begrenser nøyaktig hva og når tilgang gis til spesifikke eiendeler. Kindervag har vært en langvarig talsmann for segmentering - av nettverk, arbeidsmengder, eiendeler, data - lenge før han begynte å kartlegge null-tillit-modellen. Som han forklarer, er hjertet av å definere null tillitstilgang ved policy å dele opp ting i "beskytte overflater", siden risikonivået for forskjellige typer brukere som får tilgang til hver beskyttende overflate vil definere retningslinjene som vil bli knyttet til en gitt legitimasjon.

"Det er min oppgave, er å få folk til å fokusere på det de trenger å beskytte, legge de viktige tingene inn på forskjellige beskyttende overflater, slik som PCI-kredittkortdatabasen din skal være i sin egen beskyttende overflate. HR-databasen din bør være i sin egen beskyttende overflate. HMI-en din for IoT-systemet eller OT-systemet ditt bør være i sin egen beskyttende overflate, sier han. "Når vi deler opp problemet i disse små bitene, løser vi dem en bit om gangen, og vi gjør dem en etter en. Det gjør det mye mer skalerbart og gjennomførbart."

4. For mange firmaer vet ikke hva de prøver å beskytte

Når organisasjoner bestemmer seg for hvordan de skal segmentere beskyttende overflater i skyen, må de først klart definere hva det er de prøver å beskytte. Dette er avgjørende fordi hver eiendel eller system eller prosess vil bære sin egen unike risiko, og det vil bestemme retningslinjene for tilgang og herdingen rundt den. Vitsen er at du ikke ville bygget et hvelv på 1 million dollar for å huse noen hundre pennies. Nettskyen som tilsvarer det ville være å sette tonnevis med beskyttelse rundt et skyaktivum som er isolert fra sensitive systemer og ikke inneholder sensitiv informasjon.

Kindervag sier det er utrolig vanlig at organisasjoner ikke har en klar ide om hva de beskytter i skyen eller utover. Faktisk har de fleste organisasjoner i dag ikke engang en klar ide om hva det er som er selv i skyen eller hva som kobles til skyen, enn si hva som må beskyttes. For eksempel, en Cloud Security Alliance-studie viser at bare 23 % av organisasjonene har full innsyn i skymiljøer. Og Illumio-studien fra tidligere i år viser at 46 % av organisasjonene ikke har full oversikt over tilkoblingen til organisasjonens skytjenester.

"Folk tenker ikke på hva de faktisk prøver å oppnå, hva de prøver å beskytte," sier han. Dette er en grunnleggende problemstilling som gjør at bedrifter kaster bort mye sikkerhetspenger uten å sette opp beskyttelse på riktig måte i prosessen, forklarer Kindervag. «De vil komme til meg og si 'Null tillit fungerer ikke,' og jeg spør: 'Vel, hva prøver du å beskytte?' og de vil si: 'Jeg har ikke tenkt på det ennå,' og svaret mitt er 'Vel, da er du ikke engang i nærheten av begynner prosessen med null tillit. '”

5. Cloud Native Development Incentives er ute av whack

DevOps-praksis og skybasert utvikling har blitt kraftig forbedret gjennom hastigheten, skalerbarheten og fleksibiliteten som skyplattformer og verktøy gir dem. Når sikkerhet er passende lagdelt i den blandingen, kan gode ting skje. Men Kindervag sier at de fleste utviklingsorganisasjoner ikke er skikkelig insentivert til å få det til – noe som betyr at skyinfrastruktur og alle applikasjonene som hviler på den, settes i fare i prosessen.

"Jeg liker å si at DevOps-appens folk er Ricky Bobbys of IT. De vil bare gå fort. Jeg husker jeg snakket med utviklingssjefen i et selskap som til slutt ble brutt, og jeg spurte ham hva han gjorde med sikkerheten. Og han sa: "Ingenting, jeg bryr meg ikke om sikkerhet," sier Kindervag. «Jeg spurte: 'Hvordan kan du ikke bry deg om sikkerhet?' og han sier 'Fordi jeg ikke har en KPI for det. KPIen min sier at jeg må gjøre fem dytt om dagen i laget mitt, og hvis jeg ikke gjør det, får jeg ingen bonus.'

Kindervag sier at dette er en illustrasjon på et av de store problemene, ikke bare i AppSec, men med å gå til null tillit for skyen og utover. Altfor mange organisasjoner har rett og slett ikke de rette insentivstrukturene for å få det til – og faktisk har mange perverse insentiver som ender opp med å oppmuntre til usikker praksis.

Dette er grunnen til at han er en talsmann for å bygge opp null tillitssentre for fortreffelighet i bedrifter som inkluderer ikke bare teknologer, men også bedriftslederskap i planlegging, design og pågående beslutningsprosesser. Når disse tverrfunksjonelle teamene møtes, sier han, har han sett "incentivstrukturer endres i sanntid" når en mektig bedriftsleder går frem for å si at organisasjonen kommer til å bevege seg i den retningen.

"De mest vellykkede nulltillitsinitiativene var de der bedriftsledere ble involvert," sier Kindervag. "Jeg hadde en i et produksjonsselskap der konserndirektøren - en av de øverste lederne i selskapet - ble en forkjemper for null tillitstransformasjon for produksjonsmiljøet. Det gikk veldig greit fordi det ikke var noen hemmere.»

• SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
• PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
• PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
• PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
• kilde: https://www.darkreading.com/cloud-security/5-hard-truths-about-the-state-of-cloud-security-2024