Bedrijven zetten tegenwoordig vol in op de cloud om sneller te kunnen groeien en, wanneer nodig, te kunnen opschalen. Dit alles leidt tot meer incidenten en securityrisico’s bij het opslaan van data in de cloud of het gebruik van clouddiensten, zo blijkt uit recent onderzoek van beveiligingsspecialist McAfee.
In zijn recente Cloud Adoption and Risk Report constateren de beveiligingsexperts dat clouddiensten bij bedrijven ongekend populair zijn. Niet alleen voor het opslaan van data, maar ook voor het afnemen van allerhande SaaS-, IaaS-, en PaaS-diensten. Hiermee hopen bedrijven snel stappen te kunnen maken met hun digitale ontwikkeling en tegelijkertijd hun klanten zo goed mogelijk te kunnen bedienen.
De toegenomen populariteit van clouddiensten leidt steeds vaker tot het opslaan van gevoelige informatie in deze omgevingen. Inmiddels meer dan een kwart van alle opgeslagen data, aldus het onderzoek. Dat deze gegevens niet in verkeerde handen mogen komen, is duidelijk. Voor de beveiliging van deze data, waar die zich ook bevindt, zijn bedrijven echter zelf verantwoordelijk. Cloudaanbieders kijken alleen naar de beveiliging van hun eigen omgevingen en niet naar de daarbinnen opgeslagen gegevens van klanten.
Bronnen van mogelijke veiligheidsinbreuken
Bedrijven lopen dus risico’s en moeten daar wat aan doen, stelt McAfee. Dat deze risico’s serieus zijn, blijkt uit dat veel in cloudomgevingen opgeslagen informatie door medewerkers met elkaar en met derde partijen wordt gedeeld. Het moet de samenwerking bevorderen, maar leidt zo ook tot beveiligingsrisico’s als ongecontroleerd delen en het daardoor onverhoopt openbaar worden van gevoelige informatie.
Ook de inzet van verschillende SaaS-, IaaS- en PaaS-diensten zorgt voor toegenomen risico’s. Eindgebruikers krijgen daarmee meer eigen verantwoordelijkheid voor security. Niet alleen voor data, maar ook voor zaken als identiteits- en toegangsbeheer, applicaties, het netwerkbeheer en de host infrastructuur. Ook hanteren de verschillende aanbieders van dit soort clouddiensten, zoals AWS, Azure of Google Cloud Platform, vaak eigen ingewikkelde beveiligingsmethoden.
Dit wordt nog versterkt doordat bedrijven deze diensten vaak bij verschillende leveranciers afnemen en van verschillende producten meerdere versies draaien. Eindgebruikers zien hierdoor uiteindelijk door alle (beveiligings)bomen het bos niet meer. Zo groeit de kans op configuratiefouten, aldus het onderzoek. Deze fouten kunnen mogelijk weer tot veiligheidsrisico’s leiden.
Daarnaast zijn er ook nog interne bedreigingen, zoals gehackte accounts van medewerkers. Deze bedreigingen blijken ook toe te nemen, zo geeft het rapport aan.
Veel te doen voor bedrijven
Er is dus veel werk aan de winkel en McAfee komt met een aantal tips. Voor het veilig opslaan van gegevens en het delen van deze informatie is het belangrijk te weten welke clouddiensten zij gebruiken, waar de gevoelige data zich bevindt en hoe en met wie deze wordt gedeeld. Pas dan kunnen zij de juiste securityaanpak kiezen en richtlijnen opstellen.
Voor een goede beveiliging van SaaS-, IaaS- en PaaS-diensten adviseren de specialisten de verschillende aanbieders van deze diensten continu op hun beveiligingsbeleid te beoordelen. Ook moeten zij de op deze platformen opgeslagen data zelf goed beveiligen.
Tot slot moeten bedrijven voor het bestrijden van de interne bedreigingen eerst weten hoe de clouddiensten precies worden gebruikt en vaker op afwijkend gedrag controleren.
Inzet Cloud Access Security Brokers
Om dit alles mogelijk te maken, bepleitten de onderzoekers de inzet van zogeheten Cloud Access Security Brokers. Dit zijn cloud native diensten die security, compliance en beleidsopties voor clouddiensten faciliteren. Hiermee kunnen bedrijven hun huidige beveiligingsbeleid inzetten en uitbreiden met nieuwe cloud native mogelijkheden. Pas dan kunnen bedrijven hun data goed beschermen en zich wapenen tegen dreigingen in het complete SaaS-, IaaS en PaaS-landschap, aldus McAfee.
11 uur geleden
