CyberArk. Που αρχίζει και που τελειώνει η ευθύνη του καθενός στην ασφάλεια του δημόσιου cloud
Για χρόνια, η ασφάλεια αποτελούσε τον πρωταρχικό λόγο για την μη αποθήκευση ευαίσθητων δεδομένων ή πολύτιμων ροών εργασίας στο δημόσιο νέφος (public cloud). Σήμερα, είναι ασφαλές να πούμε πως η κατάσταση έχει αλλάξει.
Μάλιστα, η έκθεση της CyberArk, Global Advanced Threat Landscape Report 2019: Focus on Cloud αποκάλυψε ότι κατά συντριπτική πλειονότητα, το 94% των 1000 παγκόσμιας κλάσης οργανισμών που έλαβαν μέρος στην έρευνα χρησιμοποιούσαν το cloud με κάποιο τρόπο, σχήμα ή μορφή. Ανάμεσα στα ευρήματα, βρέθηκε ότι πολλές φορές προχωρούν σε αυτή την λύση για να υποστηρίξουν τις πρωτοβουλίες ψηφιακής μεταρρύθμισης τους.
Το δημόσιο σύννεφο ή νέφος αν θέλετε δεν χρησιμοποιείτε μόνο για δεδομένα χαμηλής αξίας ή για ασήμαντα περιουσιακά στοιχεία. Για παράδειγμα, σχεδόν οι μισοί από τους ερωτηθέντες χρησιμοποιούν SaaS-based κρίσιμης επιχειρησιακής σημασίας εφαρμογές και κατά παρόμοιο ποσοστό χρησιμοποιούν το cloud για ρυθμιζόμενα πελατειακά δεδομένα.
Καμία έκπληξη λοιπόν για την ώρα
Μία ανέλπιστη ανακάλυψη ήταν η αντίθεση που υπήρχε ανάμεσα σε αυτό που οι οργανισμοί έβλεπαν ως το μεγαλύτερο όφελος που απορρέει από την χρήση του cloud και στην κατανόηση τους για την ευθύνη της ασφάλειας στο cloud.
Το βασικό πλεονέκτημα που οι οργανισμοί που έλαβαν μέρος στην έρευνα ήλπιζαν να δουν από την χρήση του cloud ήταν η δυνατότητα να μεταθέσουν την ευθύνη για την ασφάλεια στην ουσία στον πάροχο του cloud, είτε την μερική είτε την ολοκληρωτική ευθύνη. Και αυτό ενδεχομένως είναι τουλάχιστον ανησυχητικό. Οι πάροχοι υπηρεσιών cloud, αναλαμβάνουν την ευθύνη για ορισμένες πτυχές της ασφάλειας όταν οι εταιρείες και επιχειρήσεις χρησιμοποιούν τις υπηρεσίες τους, αλλά είναι πολύ σαφείς για το που εισέρχονται οι πελάτες τους στο θέμα της ευθύνης για την ασφάλεια στο σύννεφο και ποιος πραγματικά είναι ο υπεύθυνος για την ασφάλεια των δεδομένων που αποθηκεύουν. Η προστασία των δεδομένων είναι ευθύνη του πελάτη.
Στην συνέχεια διαπιστώθηκε ότι τα τρία τέταρτα όσων έλαβαν μέρος στην έρευνα, ενδεχομένως στα τυφλά, εμπιστεύονται την ασφάλεια των ροών εργασίας τους στο cloud ολοκληρωτικά στον πάροχο cloud τους, και αν και οι μισοί από εκείνους φάνηκε να κατανοούν ότι κάτι τέτοιο δεν τους προσφέρει ολοκληρωτική προστασία – το κάνουν ούτως ή άλλως. Σε αυτό το σημείο, είναι προφανές ότι το κοινό μοντέλο ευθύνης για την ασφάλεια, το οποίο επικοινωνείται ξεκάθαρα από τους μεγάλους παρόχους υπηρεσιών cloud, είτε δεν είναι κατανοητό ή απλώς αγνοείται από πολλές εταιρείες και οργανισμούς.
Στην έκθεση της, η CyberArk εξέτασε περαιτέρω τον τρόπο που προστατεύονται τα προνομιακά διαπιστευτήρια στο cloud και κατά πόσο τα πλέον προνομιακά διαπιστευτήρια που παρέχουν πρόσβαση στα πιο ευαίσθητα cloud-based δεδομένα μίας εταιρείας προστατεύονται σωστά.
Φαίνεται λοιπόν πως υπάρχει μεγάλη έλλειψη συνειδητοποίησης σχετικά με την ύπαρξη προνομιακών λογαριασμών, μυστικών και διαπιστευτηρίων σε περιβάλλοντα IaaS και PaaS καθώς και η απουσία στρατηγικής για την διασφάλιση τους. Με τους λιγότερους από τους μισούς ερωτηθέντες στην έρευνα να αναφέρουν ότι έχουν ένα σχέδιο ασφάλειας προνομιακών λογαριασμών για το cloud, τα ευρήματα της CyberArk δείχνουν ότι οι οργανισμοί βρίσκονται –και τα δεδομένα των πελατών τους- σε μεγάλο κίνδυνο.
Για περισσότερες λεπτομέρειες, κατεβάστε το eBook της CyberArk.