Overstap naar de cloud: controle verliezen voor groei en meer inzicht?

Hoewel het in bedrijven intern snel gaat over de uitdagingen van cloudbeveiliging, is er ook een groot aantal voordelen ten opzichte van on-premises werken. Neem bijvoorbeeld patchbeheer. De grootste uitdaging van organisaties is om beveiligingsupdates te prioriteren en bij te houden. De overgrote meerderheid van digitale inbraken blijkt mogelijk omdat er een belangrijke update nog niet is toegepast.

Dit was afgelopen oktober het geval in de hack bij sollicitatieplatform Homerun. Aanvallers kwamen binnen via een gat in webserver Apache waar nog maar net een patch voor beschikbaar was. Het is ongebruikelijk dat een dergelijke fix binnen enkele dagen is toegepast. Vaak duurt dat zelfs jaren, zo becijferde Cisco Talos. Bovendien wordt het aanvalsoppervlak - servers, smartphones, laptops, IoT-sensoren - alsmaar groter, nemen aanvallen toe en is de werkdruk voor interne IT-afdelingen hoger dan ooit.

Cloudpatch overal tegelijk

In de cloud bestaat het probleem van het tijdig uitrollen van patches natuurlijk ook, maar de doorlooptijd is lager en de bescherming hoger. Een patch die op cloudsystemen wordt toegepast, beschermt namelijk in één klap de gehele infrastructuur. Clouddiensten waren jaren geleden bijvoorbeeld bijzonder snel in het toepassen van Microsoft-patches, nadat cybercriminelen hacktools van de NSA in handen kregen. Nederlandse bedrijven die werden lamgelegd door een enorme wereldwijde ransomwareaanval enkele maanden later, bleken de cruciale patches nog niet te hebben toegepast.

Waar voor cloud geldt ‘patch once, protect everywhere’ is het voor de meeste bedrijven een uitdaging van inventariseren welke systemen er zijn. Vervolgens moeten ze de prioriteit van updates inschatten en de effecten van het toepassen ervan op de verschillende systemen testen. Bij containerbedrijf Maersk was tijdens de hierboven genoemde ransomwareaanval de patch slechts deels uitgerold, waardoor er toch flinke schade werd aangericht. Wat aanvallen betreft is het hele ecosysteem maar zo sterk als de zwakste schakel.

Vertrouw, maar verifieer

Beveiliging kan in principe beter zijn met een cloudomgeving dan met een eigen serverpark het geval is. Toch zijn er wel degelijk zaken waarmee organisaties rekening moeten houden bij de overstap. Een hoogwaardige beveiligingsoplossing die alle verbonden systemen monitort is een must. Ieder punt dat verbindt naar de omgeving is een mogelijke aanvalsvector. Cloudbedrijven als Amazon en Microsoft steken miljarden in de ontwikkeling van geavanceerde systemen die alle endpoints in de smiezen houden.

Een belangrijke uitdaging in een reis naar de cloud is toegangscontrole. Om werk te vergemakkelijken, krijgen werknemers ruime toegang tot diensten. Maar dat maakt het voor aanvallers ook gemakkelijker om mee te liften op de accounts van legitieme gebruikers. Endpointdetectie brengt je een heel eind: met een laag AI/ML wordt bijvoorbeeld ook het gedrag van gebruikers in kaart gebracht. Wordt er opeens van een andere locatie ingelogd? Of op een onverwacht tijdstip? Of een nieuw systeem? Dan is het tijd voor verder onderzoek om te verifiëren of de gebruiker wel is wie hij zegt te zijn.

Groei van tweestapsverificatie

Vandaar dat tweestapsverificatie (2FA), waarbij gebruikers een code moeten invoeren die ze op een secundair apparaat ontvangen, in opkomst. Dankzij die extra stap kunnen aanvallers weinig meer aanvangen met onderschepte inloggegevens. Moderne systemen die gekoppeld zijn aan een 2FA-dienst als LastPass Authenticator, Microsoft Authenticator, of een andere oplossing, werpen een verificatie op bij gebruikers zodra hun gedrag anders is dan normaal. Zo blijft het zoveel mogelijk frictieloos: klanten worden niet constant lastiggevallen met een code die ze moeten invoeren, maar alleen op momenten dat de identiteit niet direct geverifieerd kan worden.

Mede ingegeven door privacywetgeving AVG zijn de beveiligingseisen voor data-opslag sterk toegenomen. Vanuit deze wetgeving wordt toegangscontrole vereist en is het gebruik van 2FA gestegen. In de cloud zijn dit soort zaken standaard ingeregeld en worden persoonsgegevens veilig versleuteld, waardoor compliance met privacyregels eenvoudiger is. 

Kans op fouten in configuratie

Besef echter dat overstappen op cloud geen totaaloplossing is om IT af te schalen. Het behouden van talent binnen de organisatie blijft belangrijk, maar in sommige gevallen worden andere skills gevraagd. Een systeembeheerder binnen een bedrijf krijgt minder te maken met de details van de infrastructuur, maar moet deze wel goed begrijpen. Wat zijn de afhankelijkheden en de gevolgen van een aanpassing?

Hoewel cloudbedrijven gouden bergen beloven in het verlagen van beheersores is het wel degelijk nodig dat een interne beheerder de processen snapt en deze in de gaten houdt. Klanten zijn vrij in het kiezen van hun beveiligingsniveaus en -middelen, maar een configuratiefout schuilt in een heel klein hoekje. Een misconfiguratie overkomt zelfs grote cloudspelers: Amazon Web Services ging eind 2020 onderuit bij het toevoegen van nieuwe servers. Een maand later ging Google bijna een uur plat vanwege de uitval van diens cloudgebaseerde authenticatietools. Ook dat was het gevolg van een geautomatiseerde configuratiefout bij het toewijzen van serverruimte met grote gevolgen.

Voordeel cloudbeveiliging

De voordelen van de cloud zijn op securitygebied enorm. Gegevens zijn versleuteld, toegangscontrole is ingebakken en het is eenvoudiger om te voldoen aan allerlei compliance-eisen. Maar dat betekent niet dat een bedrijf op zijn lauweren kan rusten. Een cloudomgeving als AWS of Microsoft Azure kan een hoop werk verlichten, maar zorg ervoor dat er altijd iemand op de passagiersstoel zit om te zien of er nog de goede kant op wordt gereden.