Oczekuje się, że widoczność i kontrola aplikacji oraz obciążeń ulegnie pogorszeniu, ponieważ większość przedsiębiorstw podejmuje próby migracji do chmury pomimo skali i złożoności ataków na chmurę, stwierdził ekspert.
„Przedsiębiorstwa przechowują dane w wielu środowiskach. W rezultacie hybrydowe środowisko komputerowe podważa istniejące standardy bezpieczeństwa i powoduje złożoność, a jednocześnie sprawia, że istniejące narzędzia i procesy cyberobrony stają się przestarzałe” – powiedział Sunil Varkey, dyrektor ds. technologii i strateg w firmie Symantec Security. LaComparacion Bliski Wschód Bliski Wschód, Afryka i Europa Wschodnia.
„Przedsiębiorstwa całkowicie utraciły widoczność i kontrolę nad środowiskiem, decydując się na dostawców usług chmurowych obsługujących wielu dzierżawców i heterogeniczne środowisko chmurowe. „Nie są w stanie odpowiednio zarządzać tożsamością organizacyjną i uwierzytelnianiem ze względu na bardzo rozdrobniony zestaw kontroli bezpieczeństwa. bezpieczeństwo i zgodność, " powiedział.
bazy bezpieczeństwa
Powiedział, że podstawową zasadą bezpieczeństwa jest to, że firmy muszą mieć widoczność i kontrolę nad środowiskiem, w którym się znajdują.
„Tradycyjnie pracowaliśmy w modelu ekstruzji, gdzie wiemy, gdzie przechowywane są dane i zabezpieczenia oraz jakie urządzenia i technologie mają do nich dostęp. Poza tym mieliśmy kontrolę. Przechodząc do chmury, straciliśmy wszystkie te aspekty. Wcześniej kontrolę powierzano MKOlowi lub menadżerowi IT, gdzie infrastruktura musiała działać” – powiedział.
Ponadto powiedział, że firmy wykorzystują własne IT i że użytkownicy mają w aplikacjach swoje preferencje lub wybór aplikacji, podczas gdy ISD zarządzają swoimi aplikacjami. Chmura jest zatem niezwykle zdecentralizowana.
„Nie ustalono odpowiedzialności. Utracono kontrolę nad środowiskiem i dlatego rośnie również liczba ataków na chmurę” – stwierdził.
CIO nie mogą lepiej kontrolować aplikacji chmurowych, z których korzystają ich organizacje, ponieważ każda usługa może korzystać z usługi aplikacji w chmurze publicznej, stwierdził.
Jeśli CIO nie będą mieli lepszej kontroli nad aplikacjami, dodał, że doprowadziłoby to do „nieoczekiwanych niespodzianek” zarówno co do skali problemu, jak i sposobu, w jaki zagrożenia przedostają się do środowiska.
Jeśli chodzi o bezpieczeństwo chmury, powiedział, że składają się z czterech elementów:
• Bezpieczeństwo podczas dostępu do chmury.
• Bezpieczeństwo aplikacji i informacji w chmurze.
• Bezpieczeństwo w chmurze
• dobre zarządzanie i odpowiedzialność
Umiejętności jakościowe to pilne wyzwanie.
Kto zatem jest obecnym właścicielem danych w chmurze? Czy programista wypycha aplikacje do chmury lub jednostki?
Varkey powiedział, że jest to wspólna odpowiedzialność, od kierownictwa wyższego szczebla po dostawców usług w chmurze.
„Istnieją scentralizowane rozwiązania umożliwiające chmurę uzyskanie widoczności i kontroli, ale palącym wyzwaniem są umiejętności związane z jakością. Nie ma na to tradycyjnego sposobu, ale istnieją zautomatyzowane rozwiązania i usługi analityczne, w tym sztuczna inteligencja i uczenie maszynowe, które „identyfikują i ustalać priorytety ryzykownych zachowań, identyfikować złośliwych użytkowników i dostarczać krytyczne alerty bezpieczeństwa” – powiedział.
To nie brak technologii jest przeszkodą, nie jest to droga sprawa – dodał.
Wstępnie podano, że istnieje sposób na szyfrowanie danych w chmurze, ale nie jest on powszechnie akceptowany. „W idealnym przypadku jest to konieczne, ponieważ mamy nieautoryzowany dostęp do chmury. Większość ataków ma miejsce z powodu nadmiernego ujawnienia danych w chmurze. Pytanie brzmi, czy musimy szyfrować, czy ukrywać. Istnieją różne sposoby w zależności od środowiska i zgodności z przepisami. Aby rozpocząć szyfrowanie, musisz wiedzieć, o jakich danych mówisz i gdzie są one przechowywane” – powiedział.
Zagrożenia wewnętrzne stają się problemem.
Organizacje muszą dostosować i wymyślić na nowo swoje programy bezpieczeństwa na nową erę, stwierdził, ponieważ zewnętrzne złe podmioty nie są jedyną przyczyną incydentów związanych z bezpieczeństwem i naruszeń danych, główną przyczyną ataku w chmurze mogą być również uprzywilejowane informacje.
„Zagrożenia wewnętrzne stają się problemem. Są całkowicie przypadkowe i nie są złośliwe. Kolejnym poważnym problemem w chmurze jest złośliwe oprogramowanie” – powiedział.
Według badania przeprowadzonego przez Instytut Ponemon na Bliskim Wschodzie, najistotniejszymi błędami zagrażającymi ujawnieniu wrażliwych danych są błędy popełniane przez pracowników oraz pracowników tymczasowych lub kontraktowych.
Dodał, że niedojrzałe praktyki bezpieczeństwa, takie jak słabe hasła, wykorzystywanie urządzeń osobistych do pracy i udostępnianie unikalnych danych identyfikacyjnych, tworzą poważne luki w organizacji. , dodając, że użytkownicy musieli wziąć na siebie odpowiedzialność za konieczność unikania złych praktyk w zakresie higieny danych.
„Organizacje muszą ponownie przemyśleć swoje architektury i strategie bezpieczeństwa, jednocześnie wdrażając automatyzację, aby sprostać wyzwaniom związanym z ewoluującymi zagrożeniami w chmurze” – powiedział Varkey.