Bedrijven vertrouwen te veel op cloud-providers voor security
Merendeel denkt dat cloud-leverancier beveiligingseisen overneemt
9 juli 2019 -
Een van de belangrijkste reden voor bedrijven om applicaties, klantdata en software-ontwikkeling naar de publieke cloud te brengen is om beveiligingsrisico’s te verkleinen.
Dit staat echter haaks op de regels die cloud-providers hanteren waarin een heldere gedeelde verantwoordelijkheid bestaat voor security en compliancy in cloud-omgevingen. Dit blijkt uit het nieuwste Threat Landscape report, een terugkerend onderzoek van CyberArk.
De uitkomsten zijn opvallend ook gezien het soort data en applicaties dat naar de cloud wordt gebracht. Bijna de helft van de respondenten (49 procent) migreert bedrijfskritische applicaties als ERP, CRM of financiële managementtool naar een publieke cloud, 45 procent gebruikt de cloud voor het opslaan van klantgegevens en 39 procent zet de cloud in voor interne ontwikkelingsdoeleinden, inclusief DevOps. Hierbij geeft maar liefst 75 procent aan te vertrouwen op de ingebouwde beveiliging van de cloud-provider, terwijl tegelijkertijd de helft hiervan wel inziet dat het niet voldoende bescherming biedt.
Grootste beveiligingszorgen in de cloud
De punten waar men zich het meeste zorgen over maakt zijn medewerkers, partners en leveranciers met verhoogde toegangsrechten tot het netwerk (46 procent), ongeautoriseerde toegang tot cloud management consoles (46 procent) en gedeelde inloggegevens voor compute, opslag en applicatie instances (44 procent).
Deze zorgen worden kritiek op het moment dat onbeveiligde en onbeheerde inloggegevens privileged access bieden, en deze door aanvallers misbruikt kunnen worden om hogerop in de (cloud)infrastructuur te komen. Een meerderheid van de respondenten (62 procent) weet niet dat credentials, secrets en privileged accounts bestaan in IaaS- en PaaS-omgevingen. Slechts 49 procent heeft een beveiligingsstrategie voor privileged access tot cloud-infrastructuren en workloads.
"We zien met dit rapport twee problemen ontstaan. Enerzijds is dus niet duidelijk wie de verantwoordelijke is voor security in de cloud. Anderzijds wordt dat effect versterkt door de slechte bescherming van privileged accounts in deze omgevingen," aldus Adam Bosnian, executive vice president, global business development bij CyberArk. "Ondanks dat het gevoelige data is die men opslaat in de cloud, die ook nog eens onderhevig is aan allerlei regels, heeft nog niet eens de helft van de bedrijven een strategie om hier verandering in aan te brengen. Dit zagen we al in ons rapport van vorig jaar, en daar is dus nog weinig in veranderd."