Μετάβαση στο Cloud : Σημαντικά βήματα ασφαλείας για να μην…πέσετε από τα σύννεφα !

Ολοένα και περισσότεροι οργανισμοί αυξάνουν την χρήση του cloud. Επωφελούμενοι από τα προνόμια που μπορεί να τους εξασφαλίσει, μεταφέροντας σημαντικούς όγκους εργασίας όπως βάσεις δεδομένων, συναλλαγές και άλλα στοιχεία ζωτικής σημασίας για την λειτουργία της επιχείρησης, έχουν κάνει το cloud να κυριαρχεί στην διαμόρφωση του  σύγχρονου αλλά και μελλοντικού τοπίου των υποδομών πληροφορικής.

Αθανασία Ρουσιά

Bitdefender Security Advisor

www.bitdefender.gr

Παράλληλα όμως δεν δημιουργεί εντύπωση το γεγονός ότι οι εγκληματίες του κυβερνοχώρου βλέπουν τις ευκαιρίες και αναζητούν νέους τρόπους να εκμεταλλευτούν τις αδυναμίες που μπορεί να υπάρχουν στο cloud, το οποίο διαφέρει σημαντικά σε σχέση με τα φυσικά τερματικά, τόσο ως προς την λειτουργία του αλλά και ως προς τους τρόπους προστασίας. Έτσι οι ομάδες ασφαλείας καλούνται να αναπτύξουν  πλατφόρμες ειδικά σχεδιασμένες για την προστασία αυτών των πόρων.

Η διάδοση του cloud computing φαίνεται χαρακτηριστικά στα αποτελέσματα πρόσφατης έρευνας της PwC, όπου  επισημαίνεται πως επιχειρηματικοί ηγέτες και διοικητικά στελέχη βλέπουν ζωτικό ρόλο σ’ αυτό τόσο στον καθορισμό όσο και στην επίτευξη των αναπτυξιακών και επιχειρησιακών φιλοδοξιών του οργανισμού τους και έχουν υψηλές προσδοκίες για το τι μπορεί να προσφέρει στις επιχειρήσεις τους. Στην ίδια έρευνα αναφέρεται ότι το 92% των στελεχών δηλώνουν ότι οι εταιρείες τους είναι εξολοκλήρου στο cloud ή το έχουν υιοθετήσει σε μεγάλο βαθμό. Την ίδια στιγμή καταγράφεται αύξηση των επενδύσεων στο «σύννεφο». Έρευνα του Gartner τον περασμένο Απρίλιο, προβλέπει ότι οι παγκόσμιες δαπάνες τελικών χρηστών σε δημόσιες υπηρεσίες cloud θα αυξηθούν κατά 23% μέσα στο 2021, αγγίζοντας τα 332,3 δις δολαρίων, από τα 270 δις που καταγράφηκαν το 2020, χρονιά ορόσημο για το cloud αφού τα γεγονότα της πανδημίας έκαμψαν τις αντιστάσεις πολλών  CIO για την αποδοχή του.

Καθώς πολλές από τις εργασίας που εκτελούνταν τοπικά είναι κατάλληλες για μετάβαση στο «σύννεφο», δεν ισχύει το ίδιο με τις μεθόδους προστασίας. Το cloud διαφοροποιείται σημαντικά από τα φυσικά τερματικά καθώς περιλαμβάνει πολυσυνδεδεμένη αρχιτεκτονική, με αρκετά σημεία της να είναι εκτός ελέγχου του οργανισμού. Είναι επίσης πιο δυναμικό, με μηχανές που δημιουργούνται για να εξυπηρετήσουν συγκεκριμένες λειτουργίες, μετακινούνται σε διακομιστές και «σύννεφα» δυναμικά – και μερικές φορές υπάρχουν μόνο για λίγα δευτερόλεπτα. Πολλά από τα τυπικά διαθέσιμα εργαλεία ασφαλείας των endpoints δεν είναι κατάλληλα για περιβάλλοντα cloud και μερικές από τις λύσεις που εξελίχθηκαν ειδικά για ορισμένα από αυτά τα περιβάλλοντα είναι περιορισμένης εμβέλειας.

Ποια είναι όμως τα σημεία εκείνα που κάνουν ευάλωτο το cloud και τι μπορούν οι οργανισμοί να κάνουν γι’αυτό ;

• Προηγμένες επιθέσεις έναντι του παρόχου : Είναι σημαντικό να κατανοήσουμε ότι οι πάροχοι είναι υπεύθυνοι για την προστασία του Cloud όμως οι επιχειρήσεις είναι υπεύθυνες για την ασφάλεια των δεδομένων που ανεβάζουν στο «σύννεφο» και θα πρέπει να διασφαλίζουν ελεγχόμενη πρόσβαση.
• Αδυναμία προαξιολόγησης της επάρκειας των μέτρων ασφαλείας του παρόχου : Είτε μιλάμε για SaaS (όπως το Microsoft 365,Gsuite κτλ) είτε για IaaS (όπως τα Amazon web services), οι επιχειρήσεις οφείλουν να είναι προνοητικές και να επιλέξουν εργαλεία που θα εξασφαλίσουν πρόσθετη ασφάλεια των δεδομένων τους πέρα από εκείνη που έχει επιλέξει ο πάροχος.
• Έλλειψη ορατότητας κατά την χρήση των cloud εφαρμογών από τους χρήστες : Όταν οι εταιρείες δεν γνωρίζουν πώς χρησιμοποιούν οι χρήστες τις υπηρεσίες cloud, θα μπορούσαν να χάσουν τον έλεγχο των στοιχείων τους και τελικά να γίνουν ευάλωτες σε εισβολές. Τα vpn δεν μπορούν να προστατεύσουν από τους εξουσιοδοτημένους εσωτερικούς χρήστες που μπορούν να έχουν άμεση πρόσβαση σε ευαίσθητα δεδομένα. Η αντιμετώπιση της απώλειας ελέγχου των ενεργειών τελικού χρήστη απαιτεί επιτήρηση, παρακολούθηση, ανάλυση μετά την επίπτωση, αποκατάσταση, διερεύνηση και απόκριση συμβάντων, τα οποία θα πρέπει να ενσωματωθούν στο σχέδιο ασφάλειας δεδομένων της εταιρείας, ειδικά σε ότι αφορά εφαρμογές που δεν προσφέρουν τον έλεγχο IaaS. Η εκπαίδευση των χρηστών απέναντι σε τρωτά σημεία ασφαλείας, όπως phishing, fraud, malwares κ.α. μπορεί να ενισχύσει σημαντικά την ασφάλεια των εταιρικών δεδομένων. Ο τακτικός έλεγχος των cloud servers για ευπάθειες και η επιβεβαίωση ότι οι κεντρικοί servers και τα συστήματα πρόσβασης περιορίζονται σε έναν ελεγχόμενο αριθμό ατόμων που έχουν λάβει επαρκή εκπαίδευση Security Awareness μπορεί να αυξήσει σημαντικά την προστασία των δεδομένων.
• Απώλεια ή κλοπή πνευματικής ιδιοκτησίας (Intellectual Property ) : Η πνευματική ιδιοκτησία (IP) είναι αναμφισβήτητα ένα από πολύτιμο περιουσιακό στοιχείο ενός οργανισμού και είναι επίσης ευάλωτο σε απειλές, ειδικά αν τα δεδομένα αποθηκεύονται στο διαδίκτυο. Έρευνες δείχνουν ότι σχεδόν το 21% των αρχείων που ανέβηκαν σε τοποθεσίες κοινής χρήσης αρχείων στο cloud περιέχουν ευαίσθητες πληροφορίες, συμπεριλαμβανομένης της IP, στις οποίες οι εισβολείς μπορούν να αποκτήσουν πρόσβαση σε περίπτωση παραβίασης. Τα συχνά αντίγραφα ασφαλείας είναι ένας από τους πιο αποτελεσματικούς τρόπους για την πρόληψη της απώλειας ή της κλοπής πνευματικής ιδιοκτησίας, με τουλάχιστον τα σημαντικότερα να λαμβάνονται και off line. Η εφαρμογή λογισμικού πρόληψης απώλειας δεδομένων (DLP) για τον εντοπισμό και την αποτροπή μη εξουσιοδοτημένης μεταφοράς ευαίσθητων δεδομένων μπορεί να εξασφαλίσει τον έλεγχο στους διαχειριστές..
• Δυσχέρεια εφαρμογής κανονισμών : Οι επιχειρήσεις πρέπει να έχουν σταθερούς κανόνες για να καθορίσουν ποιος μπορεί να έχει πρόσβαση σε ποια δεδομένα και τι μπορεί να κάνει με αυτά. Ενώ το cloud προσφέρει το πλεονέκτημα της εύκολης πρόσβασης, ενέχει επίσης κινδύνους, καθώς μπορεί να είναι δύσκολο να ελεγχθεί η πρόσβαση. Η μεταφορά των εφαρμογών στο δημόσιο cloud σίγουρα δεν εγγυάται τη συμμόρφωση με τους κανονισμούς. Κανονισμοί όπως το CCPA, το PCI–DSS και το GDPR ισχύουν και για το cloud. Έτσι είναι σημαντικό να αναλυθεί διεξοδικά η σύμβαση παροχής υπηρεσιών και να ζητηθούν πολιτικές ασφάλειας cloud και δεδομένων από τον πάροχο. Εργαλεία που εξασφαλίζουν την καταγραφή των χρηστών, των ρόλων, το δικαιωμάτων, μπορούν να προσφέρουν μια σαφή εικόνα στους διαχειριστές για το που βρίσκονται τα δεδομένα και ποιοι έχουν πρόσβαση. Η εφαρμογή DLP λύσης σε συνδυασμό με ένα σχέδιο απόκρισης συμβάντων μπορούν να βοηθήσουν την διατήρηση της ασφάλειας στον οργανισμό.
• Misconfigurations των Cloud storages: Όσον αφορά το cloud, είναι πάντα καλή ιδέα να ελέγχετε ξανά τα configurations ασφαλείας κατά την δημιουργία ενός cloud server. Πολλά προβλήματα misconfiguration προκύπτουν από άτομα που θέλουν να μεταβούν στο «σύννεφο» χωρίς να καταλαβαίνουν πώς να διασφαλίσουν τα δεδομένα τους.
• Εύθραυστα APIs : Ο Gartner εκτιμά ότι έως το 2022, τα APIs θα είναι το κύριο μέσο των εισβολέων για τη στόχευση εταιρικών δεδομένων, ενώ σύμφωνα με έρευνες τα 2/3 των επιχειρήσεων εκθέτουν τα APIs τους ώστε εταιρικοί συνεργάτες να έχουν πρόσβαση στις πλατφόρμες. Ο ισχυρός έλεγχος ταυτότητας, η κρυπτογράφηση, η παρακολούθηση δραστηριότητας, ο έλεγχος πρόσβασης, 2f authentication, η κρυπτογράφηση SSL / TLS για τα δεδομένα κατά τη μεταφορά και τα penetration tests θα μπορούσαν να κάνουν τα APIs πιο ασφαλή.
• Ελλιπής διαχείριση πρόσβασης : Σε παραβιάσεις cloud εφαρμογών, κλεμμένα ή χαμένα διαπιστευτήρια είναι το σύνηθες όπλο των επιτιθέμενων. Η διαχείριση της πρόσβασης διασφαλίζει ότι οι χρήστες μπορούν να εκτελούν μόνο τις εργασίες που πρέπει και η εξουσιοδότηση επαληθεύει σε ποια πληροφορία έχουν πρόσβαση. Αδρανείς χρήστες, πολλαπλοί λογαριασμοί διαχειριστών, ακατάλληλα δικαιώματα χρηστών ( για παράδειγμα εταιρείες που δεν ανακαλούν δικαιώματα πρόσβασης πρώην υπαλλήλων), χρήστες που παρακάμπτουν τους ελέγχους διαχείρισης πρόσβασης κ.α. είναι μερικοί λόγοι ελλιπούς διαχείρισης πρόσβασης. Συνδέοντας όλους τους λογαριασμούς με το Active Directory και λαμβάνοντας συχνά reports μπορεί να εντοπιστούν έγκαιρα ασυνήθιστες δραστηριότητες ή μη εξουσιοδοτημένες αλλαγές.

Αντιλαμβανόμαστε από τα παραπάνω ότι η ασφάλεια δεδομένων στο cloud αποτελεί μια σύνθετη διαδικασία που απαιτεί ξεχωριστά εξειδικευμένα εργαλεία. Σύμφωνα με τον Forrester Wave η υιοθέτηση μιας πλατφόρμας που μπορεί να προσφέρει ενοποίηση μεταξύ εσωτερικών και cloud υπηρεσιών παρέχοντας θωράκιση, ορατότητα και προηγμένη ασφάλεια σχεδιασμένη να λειτουργεί σε ένα δυναμικό περιβάλλον, μπορεί να προσφέρει ολοκληρωμένη προστασία ακολουθώντας τις ανάγκες που αλλάζουν συχνά, εκεί που οι ξεπερασμένες on premise λύσεις δεν μπορούν να ανταποκριθούν.

Η Bitdefender, κατασκευαστής παγκόσμιας καινοτομίας λύσεων cyber security, προβλέποντας τις εξελίξεις του χώρου, προσφέρει αξιόπιστες λύσεις με τεχνολογίες αιχμής για τις ανάγκες του αύριο, σήμερα! Με το cloud Email Security μπορείτε να έχετε τον έλεγχο της ασφάλειάς σας ανεξαρτήτως παρόχου, ενώ η ολοκληρωμένη πλατφόρμα Bitdefender GravityZone προσφέρει ενιαίο περιβάλλον θωράκισης, πρόληψης και διαχείρισης για την τοπική και cloud υποδομή των οργανισμών, περιορίζοντας στο ελάχιστο την πολυπλοκότητα και διασφαλίζοντας άμεση απόκριση και αύξηση της αποδοτικότητας των ομάδων ασφαλείας και IT.  Από έλεγχο και προστασία endpoints, μέχρι Virtual Machines & Data Centers, επιλέξτε τις λύσεις που ταιριάζουν στις δικές σας ανάγκες εξασφαλίζοντας συμβατότητα με τους μεγαλύτερους κατασκευαστές όπως VMware® ESXi, Microsoft® Hyper-V, Citrix® XenServer, Nutanix AHV, KVM, RedHat® Enterprise Virtualization, AWS® και Azure®. Εξοικονομείστε πόρους εξασφαλίζοντας ομοιογένεια και προστασία πολλαπλών hypervisors, clouds και guest OSs σε μια μοναδική εγκατάσταση. Οι εξειδικευμένοι μας σύμβουλοι μπορούν να σας βοηθήσουν να επιλέξετε την λύση που ταιριάζει στις δικές σας ανάγκες.

Επικοινωνήστε με τους έμπειρους συμβούλους της Bitdefender σε Ελλάδα & Κύπρο για να σας βοηθήσουν να επιλέξετε την λύση που ταιριάζει στις δικές σας ανάγκες στο info@bitdfender.gr ή τηλεφωνικά από Ελλάδα (+30) 215-5353030 ή από Κύπρο (+357) 22008296 ή δείτε περισσότερα στο www.bitdefender.gr