Samtidig er mange bedrifter bekymret for om de har kontroll på sikkerheten i skyen. Sikkerhetsbehov og risikotoleranse endrer seg ikke selv om man flytter IT-systemene til skyen.
Når bedriften flytter til skyen er det derfor behov for en skysikkerhetsstrategi og et effektivt kontrollrammeverk, tilpasset bedriftens strategi og risikoappetitt – og forankret hos bedriftens cybersikkerhetsleder (CISO). IBM Security har nylig publisert en ny undersøkelse om de største utfordringene og truslene som påvirker skysikkerhet [1]. Det er enkelt og raskt å ta i bruk skytjenester, men i mange bedrifter har sikkerhetsteamene utfordringer med å kontrollere bruken.
Manglende forståelse for hvem som har sikkerhetsansvaret
Bruk av skytjenester baserer seg på en delt ansvarsmodell for sikkerhet. Manglende forståelse for sikkerhetsmodellen, kan føre til mangel på oversikt på tvers av skymiljøene og variabel sikkerhetsstyring. Ifølge IDC kjøpte mer enn en tredel av selskapene verden over mer enn 30 ulike skytjenester fra 16 forskjellige leverandører i 2019[2]. Det skaper potensielt skygge-IT som kan introdusere sårbarheter og feilkonfigurasjon. Organisasjoner kan bidra til å redusere denne risikoen, gjennom klart definerte retningslinjer som gjelder i hele IT-miljøet.
Det er altså ikke skytjenestene i seg selv det er noe galt med. En klar sikkerhetsstrategi med tilhørende ansvarsavklaring er viktig. Virksomheter som ikke prioriterer dette vil oppleve at de ansatte tar i bruk nye løsninger uten at noen tar ansvar for risikoen. Det kan gi alvorlige informasjonstap og økonomiske konsekvenser. Feilkonfigurasjon som bedriften selv er ansvarlig for, er i mange tilfeller årsaken til datainnbrudd og årsaken til over 1 milliard kompromitterte datasett i 2019[3].
Skytjenester innebærer stort potensial for økt produktivitet og innovasjon, men det krever at organisasjonen har en sikkerhetstilnærming tilpasset en ny skyvirkelighet. Mange bedrifter må også ta hensyn til at man har et «hybrid skymiljø» – der deler av IT-infrastrukturen befinner seg on – premises og andre deler befinner seg i skyen.
Topp tre utfordringer
IBMs undersøkelse [4] gjør det klart at de viktigste sikkerhetsutfordringene er følgende:
• Manglende forståelse av eierskap til sikkerhet: 66 prosent av de spurte[5] sier at de er avhengige av skytilbydere for basis sikkerhet. Men oppfatningen varierer med hensyn til hvem som er ansvarlig for hvilken del av sikkerheten på tvers av ulike skyplattformer og applikasjoner.
• Skybaserte applikasjoner åpner sikkerhetshull: Datakriminelle kompromitterer oftest skymiljøene via skybaserte applikasjoner, tilsvarende 45 prosent av hendelsene i IBM X-Force IRIS: Cloud Security Landscape Report. Ofte står slike sårbarheter og feilkonfigurasjoner uoppdaget på grunn av at ansatte setter opp nye skybaserte apper på egenhånd, utenfor godkjente prosedyrer.
• Skyinfrastruktur benyttes til dataangrep: Mens datatyveri var den mest utbredte konsekvensen av dataangrep, gikk hackere også løs på skytjenester for å bruke dem som angrepsinfrastruktur, for eksempel for ransomware og kryptomining[6].
Skytjenester gir ofte bedre sikkerhet
Gjort på riktig måte kan skyen ivareta sikkerheten mer effektivt og skalerbart, gitt at organisasjonen tar i bruk nye sikkerhetsløsninger tilpasset til ny teknologi.
Et godt utgangspunkt for den som vil ta mulighetene i bruk og legge grunnlaget for å utnytte verdien av data i skyen, er å begynne med disse fem områdene knyttet til sikkerhet:
Samarbeidskultur og felles prosedyrer:
Få på plass en helhetlig strategi på tvers av skyen og sikkerhetsoperasjonen, på tvers av applikasjonsutviklere, IT drift og sikkerhet. Få på plass klare kontrolltiltak og ansvar for eksisterende skyer og for anskaffelse av nye skytjenester.
Kontroll på reisen til skyen:
De aller fleste bedrifter har i dag noen systemer som kjører i ulike skyer mens andre systemer kjører on-premise. Bedriften bør etablere en kontrollert migreringsreise til skyen som inkluderer en veldefinert sikkerhetsstrategi for å unngå at systemer og data etableres i ulike skyer uten tilstrekkelig kontroll på sikkerheten. Finn ut hvilke applikasjoner og data du vil flytte til skyen og etabler en fasedelt plan for å migrere.
Identitets og tilgangskontroll:
Når virksomheten tar i bruk en eller flere skytjenester, må man også ha kontroll på brukere og tilganger på tvers av tjenester og IT-miljøer. Ta utgangspunkt i en identitets- og tilgangskontrollprosedyre og gode verktøy for kontroll med identiteter og tilganger i skyen. Sørg for å implementere sterk (multifaktor) autentisering og kontroll med privilegerte brukere. Brukerne må kun få tildelt de tilgangene de har behov for, slik at risiko ved en eventuelt kompromittert konto blir så lav som mulig.
Beskyttelse av infrastruktur, applikasjoner og data:
Bruk av skytjenester gjøre det mulig å automatisere sikkerhetsprosesser og kontroller. Et eksempel kan være at bedriften begynner å bygge «cloud native» applikasjoner basert på mikrotjenestearkitektur og DevOps. Da må sikkerheten iverksettes på nye måter, tilpasset ny arkitektur og metoder, DevSecOps. Kryptering av visse data kan være aktuelt. Dessuten bør såkalt containerteknologi som en del av tjenestearkitekturen sikres og har automatisk varsling ved sikkerhetsavvik.
Visibilitet på tvers av skymiljøer:
Sikkerhetsverktøy for oppdagelse og håndtering av sikkerhetshendelser i de ulike skyplattformene bør tas i bruk. Mange virksomheter har allerede i dag flere ulike sikkerhetsverktøy som produserer data som er nyttige ved håndtering av sikkerhetshendelser og som må samordnes. For å unngå at kostnadene øker dramatisk i et hybrid og mulitiskymiljø, kan bedriften ta i bruk arkitekturer og løsninger som sikrer trusselhåndtering på tvers miljøene. Gjennomfør gjerne proaktiv simulering av ulike angrepsscenarioer for å øve og få til forbedring før hendelsen inntreffer.
Fremtidens skysikkerhet
Vi i IBM har en multiskytilnærming til fremtidens sikkerhet. Det betyr at vi jobber med sikkerhet uavhengig av hvilken skyleverandør bedriften har valgt. Vår reise til skyen innebærer åpne sikkerhetsløsninger som muliggjør sikkerhet i den virkeligheten der de fleste av oss befinner seg. Det betyr hybride løsninger der også flere ulike skyplattformer inngår.
Mari Grini, sikkerhetsekspert i IBM
Kilder:
[1] IBM : Security in the Cloud Remains Challenged by Complexity and Shadow IT
[2] IDC CloudPulse Summary Q119
[3] IBM X-Force IRIS: “Cloud Security Landscape Report”
[4] IBM: Security in the Cloud Remains Challenged by Complexity and Shadow IT
[5] IBM Institute for Value Survey of 930 senior business and IT professionals
[6] IBM X-Force IRIS: “Cloud Security Landscape Report”