Клауд сигурността през 2022 г. – гореща тема с много неизвестни

Киберсигурността винаги е била топ приоритет на ИТ индустрията. Въпреки това, от време на време имаме събития като уязвимостта в Log4j. Те ни показват, че независимо колко много работа се върши по подобряване на киберсигурността, винаги има още много задачи. Ситуацията не е по-различна при сигурността на клауда.

Подобрената сигурност е сред ключовите аргументи в предлагането на предимствата на клауд услугите. Клиентите очакват, че техните данни ще бъдат защитени по-добре, отколкото те могат да го направят със собствени усилия. Доставчиците на клауд услуги също изтъкват сигурността и през 2022 г. ще има много какво да направят. Това обхваща както постоянните подобрения в сигурността, така и по-добрите послания и комуникация с клиентите. Ето някои от основните задачи и предизвикателства от гледна точка на киберсигурността за клауд индустрията през 2022 г.

Поправяне на неяснотите

Много от клауд клиентите очакват, че след като преминат към такава услуга, поддръжката и сигурността ще са неща, които ще се решават сами. И макар много от основните задачи действително да бъдат вършени от доставчика на услугата, потребителите също имат своите отговорности. Докладът State of Cloud Security 2021 на Fugue например казва, че за 36% от компаниите, които са имали сериозен пробив или теч на данни през изминалата година, причината е била погрешно конфигуриране на клауда. Също така, Gartner прогнозира, че до края на 2023 г. около 99% от проблемите със сигурността на клауда ще са по вина на клиента. И тук главната причина ще бъде погрешната конфигурация.

Това означава, че колкото и добра да е киберсигурността на клауда, ако клиентите не са внимателни, проблеми и пробиви винаги ще има. Добрата новина е, че точно тези проблеми са предотвратими. В голяма степен те зависят от желанието на клиентите да вложат усилия в обгрижването и конфигурирането на своите клауд акаунти. И те ще го направят. Единствената причина, поради която не го правят, е че не са достатъчно добре информирани колко е важна правилната настройка.

А това пък е задача на доставчиците на клауд услуги по-добре и по-ясно да комуникират важността на този факт с клиентите си. И да им помогнат. Това означава по-ясни послания и повече информация, което включва и изясняването на някои митове за клауда.

Например схващането, че клаудът е просто отдалечен дейта център. Всъщност центърът за данни е само един от компонентите на цялата клауд услуга. Тя включва още инфраструктура, софтуер и сигурност. Това е сложна система, която не е просто връзка с центъра за данни. Всъщност, основната полза на клауд услугите е в инфраструктурата и софтуерните възможности като API функциите, които клиентите могат да използват и да добавят.

Сигурността е екипна работа

Тук нямаме предвид само екипа на доставчика на услугата, но и на клиента. Те трябва да работят заедно, за да намират потенциални проблеми и да ги решават. Клиентите не трябва да чакат и да разчитат само на екипа за сигурност на доставчика на услугата. Той не може да покрие всички вектори, особено, когато клиентът използва клауда, за да разработва и внедрява собствен код и приложения. Затова клиентите трябва да са проактивни и да анализират своята киберсигурност.

Доставчиците на клауд услуги и техните клиенти трябва да се познават по-добре. Това означава, клиентът да бъде редовно информиран за настоящи и бъдещи теми, проекти, задачи и проблеми. Клиентите трябва да помнят, че хакерите постоянно развиват и подобряват своите способности. Автоматизираните атаки например вече са ежедневие и те изискват подходящ отговор.

Превенцията е друга ключова ниша. Твърде дълго време киберсигурността е насочена главно към реагиране и търсене на пробиви. На превенцията се гледа като покриването на няколко основни неща и след това надяване да се случи най-доброто. Да се спазват качествени протоколи за сигурност и регулярното им адаптиране според последните новости в сферата на сигурността, е важна част от цялостната структура на добрата защита. Да, това е сложен процес, който често означава и повече инвестиции, но в дългосрочен план е по-добър разход, отколкото справянето с пробив и косвените загуби, увредената репутация и потенциалните загубени клиенти.

Внимание към новите подходи

Като става дума да си в крак с новостите, през 2022 г. ще има доста интересни тенденции в клауд сигурността. Една от тях е Cybersecurity Mesh или мрежа за киберсигурност.

Нийл Харпър, който е главен информационен директор на ISAC и директор на борда, казва пред блога SecurityIntelligence, че начинът на мислене в сферата на сигурността се променя. „Увеличаването на отдалечения достъп до дейта центрове и клауд ресурси мотивира и нуждата от гъвкава, адаптираща се архитектура, която интегрира широко разпространени и различни услуги за сигурност“, казва той.

Тук влиза Cybersecurity Mesh. Това е нов термин, който е създаден от Gartner. Те го описват като „гъвкава, композируема архитектура, която интегрира широко разпространени и разнородни услуги за сигурност“, т.е. това, което описва Харпър.

Той смята, че това е по-скоро концепция, отколкото конкретна технология или стандарт. „Тя описва нуждата организациите да приемат архитектура за киберсигурност, за да интегрират инструменти за сигурност в кооперативна екосистема, за да намалят риска от големи индивидуални инциденти. Подобна мрежа ще използва анализи на данни и умни алгоритми заедно с методи за контрол около идентичността, процеси и правила, както и според видимостта и естеството на информацията или събитието“.

Ако ви звучи познато, това практически е същото, което вече описахме. Gartner очаква, че мрежата за киберсигурност ще позволи на бизнесите да гарантират, че всичките им данни, системи и устройства ще получават еднакви грижи независимо от местоположението им. Изглежда изненадващо, че това вече не норма, но такава е реалността – много компании имат много… странни подходи към собствената си киберсигурност.

Gartner обаче са оптимисти и смятат, че нещата ще се променят. Компанията прогнозира, че до 2025 г. подходът на cybersecurity mesh ще намали финансовите вреди от инцидентите около киберсигурността средно с 90%. Това определено е много смело очакване.

Стандартите са хубаво нещо

Хората обичат да слагат етикети на всичко. Понякога това не толкова хубаво нещо, колкото си мислим. Други пъти обаче е много полезно. Когато става дума за киберсигурност, етикетите, т.е. стандартите, са чудесно нещо.

Благодарение на тях клиентите могат лесно да разберат дали услугата, която проучват, ще е подходяща за тях или не. Те им дават и добра представа за допълнителните мерки за сигурност, които може да трябва да добавят, за да постигнат нивото на защита, от което се нуждаят. Както може да си представите, създаването, въвеждането, интегрирането и поддържането на тези стандарти е доста сложна задача.

Има няколко организации, които управляват различните стандарти. Една от тях е ISO (International Organization for Standardization). Тя разработва стандарти за много системи, включително и за клауд. Друга организация е National Institute of Standards and Technology (NIST). Също така голямо име е European Telecommunications Standards Institute (ETSI) и много други.

За да получат сертификати от тези организации, компаниите трябва да са готови за доста сериозни предизвикателства. Кандидатите, включително доставчиците на клауд услуги, трябва да покрият множество строги изисквания и след това биват проверявани редовно дали ги поддържат. Ако не го правят, ще загубят сертификата си.

И тъй като има много стандарти, клауд доставчиците трябва да изберат тези, които най-добре се вписват в техните цели и способности. Може да бъде доста трудно да се изберат стандартите и сертификатите, които да бъдат поддържани от даден доставчик. Тук отново комуникацията с (потенциални) клиенти е от основно значение. Доставчикът трябва да разбере от какво имат нужда клиентите и да им го предложи.

А какво да правим, ако сме клиент и не сме сигурни? Отново – разговори. Говорете с потенциални доставчици на клауд услуги. Вижте какво предлагат, кажете им от какво имате нужда. Те ще могат да ви помогнат в прецизиране на вашите цели от гледна точка на киберсигурност.

Топ тенденции в клауд сигурността през 2022 г.

Ако имате нужда от малко помощ какво да следите в сферата на клауд сигурността през 2022 г., нека да видим някои от водещите тенденции.

Киберсигурност за данните

Подходът към клауд сигурността не може да е както към всеки друг ИТ ресурс. Клаудът е уникален, тъй като в него има огромно разнообразие от различни данни и потребители, които използват една и съща инфраструктура по едно и също време. Всеки от тях има своите специфични нужди и очаквания. Затова една мярка за сигурност може да бъде изключително полезна за част от тези потребители, но да развали услугата за останалите.

Затова намирането на правилният баланс е важно, но и трудно. Затова подходът киберсигурност за данните може помогне. Той се прилага върху традиционните мерки за сигурност, а не ги заменя.

Какво представлява киберсигурност за данните? Това включва подходи като zero-trust правила, използване на мултиклауд среда и най-вече фокусиране върху защита на самите данни, а не на периметъра. Това включва автоматизация за защитата на данните и възстановяването им, както и реорганизиране на данните според типа и местоположението им. Включва още постоянни анализи за поведението и достъпа до данните.

DevSecOps

Тъй като все по-голяма част от клауда става автоматизирана, сигурността става все по-важна още във фазата на разработката. Една грешка при кодирането може да доведе до поредица от проблеми. DevSecOps слага сигурността като основен елемент от целия DevOps процес. Целта е организациите да интегрират мерки и функции за сигурност възможно най-рано в процеса на своите клауд проекти и приложения. Също така е и по-лесен начин за сливане и прилагане на най-добрите практики.

Това е важна стъпка, която в известна степен е свързана и с киберсигурността за данните. Днес клаудът е „дом“ на множество чувствителни данни, включително здравни, финансова информация и т.н. Затова внедряването на сигурността в ранната фаза на разработка ще бъде важна стъпка в подобряването на защитите за потребителите.

Клауд-нейтив сигурност

Този подход означава възползване от функциите, услугите и възможностите на клауда за по-добра сигурност. Например разработването на индивидуализирани, гъвкави и лесни за интегриране функции за сигурност и решения за клауд клиенти. Компанията Aqua Security твърди, че този подход е тестван в малки мащаби от фирмите вече доста време и вече е готов през 2022 г. да бъде мащабиран.

Потенциални ползи са постоянни подобрения в сигурността за цялата клауд среда, както и за данните и приложенията на клиентите. Пазарът вече изисква предимно цялостни решения, така че доставчиците ще се адаптират към тази реалност с консолидиране, общи проекти и нови услуги.

С мисъл за третите лица

SenecaGlobal казва, че през 2022 г. компаниите ще станат още по-проактивни за „своята телесна поза на клауд сигурността“. Това ще включва повишено внимание към външните фирми и слабостите в доставчиците. Анализаторите смятат, че през 2022 г. клауд клиентите ще бъдат все по-проактивни и за тяхната роля в защитата на данните и приложенията си.

Затова те ще очакват повече от външните фирми и доставчици, с които работят. Например 63% от респондендите на годишното Глобално проучване за сигурността на CrowdStrike за 2021 г. казват, че губят доверие в Microsoft, заради увеличените атаки срещу доверени вендори във веригата. Това означава, че организациите ще очакват повече видими усилия да бъдат направени от всички, с които работят. Това включва и доставчиците на клауд услуги.

Анализаторите очакват да има по-голямо дистанциране между старите вендори и клиентите, които ще търсят нови решения. Това ще отвори възможности за по-малките доставчици на клауд услуги и ще създаде натиск върху цялата индустрия да подобри и ускори подобренията в киберсигурността. Така че 2022 г. със сигурност ще бъде много интересна година за клауда и неговата сигурност, като всички (би трябвало) да извлекат ползи от това.

Ето още една статия по темата:

2022 г. може да е много важна за клауд индустрията. Какво да очакваме?