Sophos: ‘In de public cloud moet je zelf je data beveiligen’

Volgens Gartner is 95 procent van de security-incidenten in de cloud tegen 2023 toe te wijzen aan een fout van de klant. Public cloudleveranciers hanteren een securitymodel van gedeelde verantwoordelijkheid, waarbij de eindgebruiker nog altijd zelf instaat voor de bescherming van zijn data. Alleen wordt dat vandaag nog vaak over het hoofd gezien.

Amazon, Google en Microsoft leveren uitstekend werk om de fundamenten van hun respectievelijke cloudinfrastructuur zo goed mogelijk te beschermen. Een deel van de verantwoordelijkheid blijft evenwel nog steeds bij de klant. Die staat zelf in voor de data die in de cloud wordt bewaard en heeft de controle over de beveiliging van zijn eigen omgeving.

Elke leverancier biedt weliswaar een handleiding met best practices aan voor data security in de cloud, maar die worden niet altijd gevolgd en misconfiguraties zijn snel gebeurd. Zo raakte in april van dit jaar nog bekend dat de gegevens van 540 miljoen Facebook-gebruikers publiek beschikbaar waren via verkeerd geconfigureerde AWS S3-buckets van twee externe partijen.

Eveneens in april publiceerde Sophos een onderzoek (pdf) waarbij honeypots werden opgezet in tien populaire AWS-locaties, om te ontdekken hoe snel ze in het vizier van hackers komen. De honeypots simuleerden een SSH-dienst voor toegang op afstand, in verschillende configuraties.

 

De klant staat zelf in voor de data die in de cloud wordt bewaard en heeft de controle over de beveiliging van zijn eigen omgeving.

 

Van zodra de honeypots live stonden, kostte het amper tijd voordat aanvallers de SSH-dienst hadden gevonden en de eerste inlogpogingen begonnen. De eerste aanval op een honeypot in Sao Paulo gebeurde amper een minuut nadat hij live werd gezet. Gemiddeld registreerden de honeypots 13 inlogpogingen per minuut of zo’n 757 per uur.

Opportuniteit

Over een periode van dertig dagen werden maar liefst 5 miljoen inlogpogingen genoteerd, vertelt Andy Miller, Senior Director Global Public Cloud bij Sophos, op het podium van de partnerconferentie van het securitybedrijf in Monaco. Bedrijven die hun activiteiten (deels) naar de cloud verhuizen, moeten zich volgens Miller dan ook goed bewust zijn van de risico’s en zich ertegen wapenen. Je kan het immers niet aan de cloudleveranciers alleen overlaten.

“Ze doen geweldig werk met de beveiliging van hun platform, maar ze maken het voor hun klanten ook heel duidelijk dat je zelf een verantwoordelijkheid draagt. Ze zorgen niet voor elk stukje beveiliging en ik weet eerlijk gezegd ook niet hoe ze dat ooit zouden kunnen doen”, vertelt Miller tijdens een gesprek na afloop van zijn presentatie.

Er is een opportuniteit weggelegd voor securityleveranciers om in dat gat te springen. Na RedLock van Palo Alto en Dome9 van Check Point, biedt ook Sophos sinds kort een kant-en-klare oplossing aan voor databescherming in de cloud. In april lanceerde het bedrijf Cloud Optix, als direct resultaat van de overname van Avid Secure begin dit jaar.

 

Cloud Optix steunt op drie pijlers: visibility, compliance en response.

 

Hoewel reeds enkele spelers actief zijn, denkt Miller dat Sophos op precies het juiste moment deze markt betreedt. “Er zijn veel klanten die niet eens weten dat er al oplossingen beschikbaar zijn. Ze kennen de uitdaging waar ze voor staan, maar denken dat ze zelf nog een oplossing in elkaar moeten knutselen.”

Drie pijlers

Cloud Optix steunt op drie pijlers: visibility, compliance en response. “Je kan niet beveiligen wat je niet ziet”, vertelt Miller over de eerste pijler. De oplossing van Sophos brengt ten eerste alle assets in al je cloudomgevingen automatisch in kaart, en bouwt daarnaast ook een topologie. Zo zie je voortdurend hoe assets onderling en met de buitenwereld communiceren, via welke poort dat verkeer loopt enzovoort.

De tweede pijler is compliance. Dat gaat bijvoorbeeld over het automatisch blijven voldoen aan steeds veranderende regulering van overheden en industriestandaarden, Cloud Optix vermindert volgens Sophos de kosten en complexiteit van compliance, alsook de risico’s, dankzij kant-en-klare sjablonen voor verschillende standaarden. Daarnaast betekent compliance ook voldoen aan je eigen securitybeleid. Miller: “Een S3-bucket moet niet worden geëncrypteerd om aan een bepaalde standaard te voldoen, je mag verwachten dat een S3-bucket ongeacht altijd wordt geëncrypteerd.”

 

“Je kan niet beveiligen wat je niet ziet. Het in kaart brengen van cloudomgevingen is essentieel.”

 

Rest ten slotte nog response, ofwel het automatisch afdwingen van je beleid en reageren op incidenten. “We hebben geautomatiseerde responsmogelijkheden. Een S3-bucket die versleuteld is, is opnieuw een perfect voorbeeld. We kunnen een standaardbeleid instellen waarin staat dat als je een S3-bucket opstart, deze meteen moet worden versleuteld en van het publieke internet afgesloten”, illustreert Miller.

Lekkende data door misconfiguraties wordt zo veel minder waarschijnlijk. Ook nieuwe code die in productie wordt gebracht, wordt automatisch eerst gescand op eventuele configuratiefouten.

Synchronized Security

Cloud Optix sluit aan op de rest van het Sophos-portfolio. “Onze strategie is om veiligheid te bieden over alle aspecten van het netwerk. Dus endpoint, netwerk, web, wifi enzovoort”, vertelt Kendra Krause, Vice President Global Channels bij Sophos.

“Het uiteindelijke doel is dat Cloud Optix wordt beheerd vanuit Sophos Central”, vult Krause aan. De securityleverancier heeft vandaag een aanbod van een tiental securityproducten die centraal worden beheerd vanuit dat clouddashboard en op een intelligente manier samenwerken met elkaar. Sophos noemt die aanpak Synchronized Security, als antwoord op bijvoorbeeld de SecurityFabric van Fortinet.

 

“Het uiteindelijke doel is dat Cloud Optix wordt beheerd vanuit Sophos Central”

 

“Synchronized Security gaat over de technologieën die met elkaar kunnen communiceren, waardoor ze intelligenter en veiliger zijn”, legt Krause uit. “Als het endpoint een bedreiging vaststelt, kan het met andere componenten zoals de firewall praten om een beveiligingsbeleid te implementeren of andere acties te ondernemen, om de volledige oplossing veiliger te maken.”

Aangezien bedrijven de laatste jaren steeds meer activiteiten naar de cloud verplaatsen, is een toekomstige integratie van Cloud Optix in dat verhaal een logische stap.