De digitale transformatie en de acceptatie van de cloud zijn niets nieuws. De afgelopen maanden zorgden echter wel voor een stroomversnelling: er zijn meer cloudapplicaties in gebruik genomen, zoals tools voor samenwerken, video conferencing en cloud-mailboxen. Daarnaast werken medewerkers niet meer vanaf een vaste werkplek die goed beveiligd is, maar thuis of ergens anders, via wisselende verbindingen.
Het toenemende gebruik van deze applicaties door externe medewerkers leidde ook tot een toename van cybercriminaliteit, die bovendien steeds slimmer wordt door het gebruik van nauwgezette social engineering-technieken, ontworpen om menselijke fouten te misbruiken. Gelukkig wordt cloud security ook steeds intelligenter.
Verantwoordelijkheid
Via cloud-mailboxen en apps voor online samenwerking worden belangrijke taken uitgevoerd, gevoelige informatie gedeeld en vertrouwelijke bestanden verzonden. Verplaatsing van data en infrastructuur naar de cloud brengt echter risico’s met zich mee en dit zijn andere security-risico’s dan on-premise. Data zijn ‘uit handen’ en als klant heb je geen zicht op wat er in de cloud gebeurt. Ondertussen ligt de verantwoordelijkheid over de informatie in de cloud nog steeds bij organisaties zelf, niet bij de cloudleverancier.
Een goed voorbeeld is Office365. Vanaf de hele wereld kan ingelogd worden op de volledige Office365-omgeving, met Exchange Online, Sharepoint, Dynamics CRM en OneDrive. Als cloudleverancier garandeert Microsoft data-integriteit in Office365, maar de verantwoordelijkheid voor de toegangsbeveiliging tot deze omgeving ligt bij de klant.
Dit roept vragen op. Hoe forceren beheerders het gebruik van sterke wachtwoorden of multifactor-authenticatie door medewerkers? Hoe moeten ze applicatie-verkeer naar Office365 behandelen? En hoe kunnen ze zien of er data worden geüpload naar de cloud, in strijd met compliancy-regels?
Cybercriminelen profiteren van alles wat trending is. Volgens een artikel van Check Point Research rapporteerde Google in april 2020 dagelijks meer dan 18 miljoen mails met malware of phishing-pogingen met het coronavirus als thema. Daarnaast werden 240 miljoen coronavirus-gerelateerde spamberichten verstuurd. Ook gebruikten criminelen zowel Microsoft Teams als Google Meet voor imitatie-aanvallen, waarbij uitnodigingen worden verzonden met een kwaadaardige url verborgen in de knop ‘Open Microsoft Teams’. Hoe kunnen beheerders deze initiatieven tijdig ontdekken?
Cloud-native security schiet tekort
Cloudleveranciers bieden wel wat security-functionaliteit. Standaard security-tools in de cloud-oplossingen gaan uit van ip-adres, source ip, destination ip en poortnummer, waarop ze access control-lijsten toepassen. Dit is vergelijkbaar met het controleren van de allereerste internetverbindingen, jaren geleden.
Dit is uiteraard niet toereikend meer. Beheerders hebben inzicht nodig in inkomende en uitgaande data, of er een datalek veroorzaakt wordt, of er kwetsbaarheden in zitten. Bovendien gebruiken bijna alle applicaties tegenwoordig versleuteling (https), waardoor er geen onderscheid gemaakt kan worden. Er is dus geen controle op wat er gebeurt in de cloud.
Ontwikkelingen in cloud security
Hoe kunnen beveiligingsbeheerders de controle terugkrijgen in een wereld waar organisaties gemiddeld 29 applicaties in de cloud hebben draaien? Inzicht in de cloud in een dynamisch security-speelveld vraagt om een intelligente oplossing, die speciaal ontworpen is voor het beweeglijke karakter van cloudomgevingen. Daarbij zien we verschillende ontwikkelingen in cloud security.
Allereerst is er ‘configuratie en compliance’. Veel bedrijven hebben geen idee wie toegang heeft tot welke applicaties in de cloud. Een netwerktekening, die laat zien welke assets met welke protocollen toegang hebben tot internet, geeft inzicht in hoe de cloud is opgebouwd en gebruikt wordt. Met inzicht in de configuratie is het mogelijk te gaan monitoren op compliance. Staat bijvoorbeeld in de regels dat bepaalde database assets niet direct aan het internet gekoppeld mogen worden en iemand doet dat per abuis tóch, dan is de cloud-configuratie niet meer compliant en volgt een melding.
Een tweede aspect is ‘unified management’. Er is een overkoepelend management dashboard essentieel om inzicht te verkrijgen. De meeste cloudleveranciers bieden wel een security dashboard aan, maar per applicatie. Dat houdt in dat er, uitgaande van het gemiddelde van 29 applicaties die een organisatie in gebruik heeft, ook 29 dashboards in de gaten gehouden moeten worden. Een unified management dashboard geeft beheerders het inzicht wat ze nodig hebben, real time.
Ai en machine learning
Verder is er nog machine learning en kunstmatige intelligentie waardoor cloud security slimmer wordt. Cloud logs worden omgezet in actionable security, door de logs af te zetten tegen een database met threat-informatie. In deze database worden bijvoorbeeld webadressen die malware verspreiden, geregistreerd. Daarnaast kan machine learning kan de nieuwste vormen van phishing met zero-font link ontdekken. Een zero-font link is niet zichtbaar, maar als er ergens in de e-mail geklikt wordt, opent een vorm van malware op de achtergrond.
Kunstmatige intelligentie en machine learning kunnen ook dienen ter beveiliging van identiteiten van gebruikers. Het systeem leert dan over de locatie en devices waarmee de gebruiker inlogt, en geeft een melding als er afwijkende gebeurtenissen plaatsvinden. Dit geldt tevens voor het gebruik van applicaties en het ontdekken van shadow it: bijvoorbeeld een werknemer die Wetransfer gebruikt, terwijl alleen Dropbox volgens de compliancy-regels is toegestaan
Tot slot is er ook nog de beveiliging dankzij api’s. Door een api-gebaseerde infrastructuur te gebruiken, kunnen cloud-security-oplossingen veel betere beveiligingsscores behalen. Api’s analyseren gegevens tijdens verzending en in rust om er zeker van te zijn dat er geen schadelijke inhoud binnendringt of zich verspreidt binnen de organisatie. Door de api-gebaseerde architectuur vangt deze cyberbescherming voor cloudgebaseerde e-mailprogramma’s en kantoorapplicaties gemiddeld dertig procent meer op dan door cloudleveranciers verstrekte oplossingen.
Conclusie
De cloud is niet geheel zonder risico’s, maar dat is een on-premise infrastructuur ook niet. Waar het om draait is cloud confidence: controle en inzicht in de cloud. Door de ontwikkelingen in cloud security, waaronder het toevoegen van intelligentie en api’s, verkrijgen de beheerders de grip op de omgeving die ze nodig hebben. Een unified management dashboard is daarbij essentieel om snel en eenvoudig inzicht en controle te kunnen houden.
Arthur van Vliet, operations manager bij Pinewood
