Venafi maakt de resultaten bekend van een onderzoek naar de complexiteit van cloudomgevingen en de impact daarvan op de cyberbeveiliging. Uit het onderzoek blijkt dat 81% van de ondervraagde bedrijven de afgelopen 12 maanden een incident met hun cloudomgevingen heeft meegemaakt. Bijna de helft (45%) van hen heeft te maken gehad met minimaal vier incidenten.
Het onderliggende probleem van deze incidenten is de toenemende complexiteit en beveiliging gerelateerd aan cloudimplementaties. Aangezien de ondervraagde organisaties nu al 41% van hun applicaties in de cloud hosten, maar in de komende 18 maanden een toename verwachten tot 57%, zal deze complexiteit blijven toenemen.
Belangrijke onderzoeksresultaten
Ruim de helft (51%) van de beveiligingsverantwoordelijken die aan het onderzoek deelnamen is van mening dat beveiligingsrisico’s in de cloud groter zijn dan op de eigen locatie. Ze noemen meerdere oorzaken die aan de risico’s bijdragen en de meest genoemde cloudgerelateerde incidenten zijn:
- Beveiligingsincidenten tijdens runtime (34%)
- Ongeautoriseerde toegang (33%)
- Verkeerde configuraties (32%)
- Grote kwetsbaarheden die niet zijn verholpen (24%)
- Een mislukte audit (19%)
De belangrijkste zorgen die beveiligingsverantwoordelijken hebben bij hun cloudmigraties zijn:
- Kapen van accounts, services of netwerkverkeer (35%)
- Malware of ransomware (31%)
- Problemen met privacy/gegevenstoegang, zoals die van de AVG (31%)
- Ongeautoriseerde toegang (28%)
- Aanvallen door natiestaten (26%)
Er is ook onderzocht wie er intern verantwoordelijk is voor het beveiligen van alle cloudapplicaties. Dit varieert sterk tussen de ondervraagde bedrijven, waarbij corporate beveiligingsteams (25%) de meeste kans hebben om de beveiliging van cloudapplicaties te beheren, gevolgd door operationele teams die verantwoordelijk zijn voor de cloudinfrastructuur (23%). Bij andere organisaties is het een gedeelde verantwoordelijkheid van alle betrokken teams (22%), ontwikkelaars van cloudapplicaties (16%) en DevSecOps-teams (10%). Het aantal beveiligingsincidenten laat echter zien dat geen van deze modellen effectief is voor het verminderen van de toenemende beveiligingsincidenten.
Op de vraag wie verantwoordelijk zou moeten zijn voor het beveiligen van de cloudapplicaties, was er opnieuw geen consensus. De meeste respondenten willen de verantwoordelijkheid delen tussen teams die de cloudinfrastructuur beheren en corporate beveiligingsteams (24%). Andere opties zijn het delen van de verantwoordelijkheid over meer betrokken teams (22%), de verantwoordelijkheid laten bij de ontwikkelaars van cloudapplicaties (16%) en DevSecOps-teams (14%).
De uitdagingen gerelateerd aan het delen van verantwoordelijkheden, zijn dat beveiligingsteams en ontwikkelingsteams verschillende doelstellingen en taken hebben. Ontwikkelaars moeten snel kunnen handelen om innovatie te versnellen, terwijl beveiligingsteams vaak geen inzicht hebben in wat ontwikkelingsteams doen. Zonder deze zichtbaarheid kunnen beveiligingsteams niet evalueren hoe de uitgevoerde controles zich verhouden tot het beveiligings- en governancebeleid.
“Aanvallers zijn al aan boord bij de transformaties van bedrijven naar cloud computing”, zegt Kevin Bocek, vice president security strategy & threat intelligence bij Venafi. “Het meest rijpe doelwit van cloudaanvallen is identiteitsbeheer, en dan vooral machine-identiteiten. Elke cloudservice, container, Kubernetes-cluster en microservice heeft namelijk een geverifieerde machine-identiteit nodig, zoals een TLS-certificaat, om veilig te kunnen communiceren. Als zo’n identiteit wordt gecompromitteerd of verkeerd is geconfigureerd, verhoogt dit zowel de beveiligings- als operationele risico’s enorm.”
“Beveiligingsteams willen wel samenwerken en de verantwoordelijkheid delen met ontwikkelaars die cloudexperts zijn, maar maar vaak worden ze buitengesloten bij beslissingen over cloudbeveiliging”, vervolgt Bocek. “Ontwikkelaars nemen tooling- en architectuurbeslissingen die invloed hebben op de beveiligingsaanpak zonder daarbij beveiligingsverantwoordelijken te betrekken. Inmiddels zien we de gevolgen daarvan: het aantal beveiligingsincidenten in de cloud neemt snel toe. We moeten de cloudbeveiliging opnieuw organiseren en daarbij consistente, inzichtelijke en controleerbare beveiligingsservices creëren voor de clouds en applicaties. Het creëren van een beheeroplossing voor machine-identiteiten is een goed voorbeeld van een beveiligingsmodel dat speciaal is ingericht voor cloud computing. Deze aanpak integreert de beveiliging in ontwikkelprocessen en stelt beveiligingsverantwoordelijken in staat het bedrijf te beschermen zonder ontwikkelaars vertragen.”
Over het onderzoek
Voor het onderzoek van Venafi, uitgevoerd door Sapio in juli 2022, zijn de meningen gevraagd van 1.101 securitybeslissers in de Verenigde Staten, het Verenigd Koninkrijk, Frankrijk, Duitsland, de Benelux en Australië. Indien gewenst zijn er ook nog aanvullende lokale resultaten beschikbaar. Lees voor meer informatie over dit onderzoek de volgende blog.