Společnost DivvyCloud zveřejnila zprávu ukazující velikost ztrát společností způsobených chybami v konfiguraci veřejných cloudových služeb. Prostudovali jsme tento dokument a připravili článek, abychom varovali ty, kteří jsou ohroženi.
K únikům dat dochází z různých důvodů, ale v posledních letech se chybná konfigurace cloudu stala hlavní příčinou ztrát. Mnoho organizací zanedbává zabezpečení cloudových služeb, přestože spotřebitelé, partneři a vládní orgány spoléhají na diskrétnost a profesionalitu společností, když jim důvěřují svými daty. Nezabezpečený server a další chyby v nastavení infrastruktury nejsou dobrým důvodem pro únik dat.
V číslech
33,4 miliardy záznamů představuje velikost úniků způsobených nesprávnou konfigurací cloudových služeb. Podle bádání Ponemon Institute, jsou náklady na jeden takový záznam pro společnost 150 dolarů. Vynásobíme počtem úniků a dostaneme 5 bilionů dolarů – celkový počet škod způsobených společnostem po celém světě, a to jen za posledních pár let.
Podle zprávy společnosti Gartner činil veřejný cloudový trh v roce 2018 182,4 miliardy dolarů a v roce 2019 214,3 miliardy dolarů, což znamená, že škody způsobené společnostem v důsledku chyb v nastavení cloudu jsou více než 12 krát vyšší než velikost investic do cloudových služeb po celém světě. Ochrana vašich investic a prevence nákladů na úniky dat je jedním z nejdůležitějších důvodů, proč byste měli mít své cloudy v bezpečí.
Počet úniků způsobených problémy v konfiguraci cloudových služeb v roce 2019 je přitom o 80 % vyšší než v roce 2018 a stejný růst vykazují i škody pro firmy.
2018: bylo zasaženo 11,8 miliardy záznamů, celková škoda byla 1,76 bilionu dolarů.
2019: bylo zasaženo 21,2 miliardy záznamů, celková škoda byla 3,18 bilionu dolarů.
A tato čísla s největší pravděpodobností nejsou pravdivá: zpráva McAfee zjistila, že asi 99 % případů problémů s konfigurací cloudů není hlášeno, což znamená, že skutečný počet úniků a rozsah škod, které společnostem způsobí, je pravděpodobně mnohem vyšší.
Rizikové skupiny
Společnosti volí cloudové služby pro jejich rychlost a flexibilitu, které je udržují konkurenceschopné v rychle se měnícím inovativním světě, ale nepřikládají důležitost implementaci vhodných bezpečnostních opatření.
68 % společností, které byly v poslední době postiženy chybnou konfigurací cloudu, bylo založeno před rokem 2010, což naznačuje, že starší společnosti, které přecházejí na cloudové služby, mají obtížnější implementovat a udržovat kontroly zabezpečení cloudu ve srovnání s mladšími společnostmi, které se „narodily v cloudu“.
Dalším rizikovým faktorem jsou situace fúzí a akvizic společností. Například únik Marriott/Starwood z roku 2018 je ukázkovým příkladem toho, jak neprovedení správné due diligence během fúzí a akvizic může vést k významným bezpečnostním dírám.
Důvodem je velmi složitý postup pro bezpečné sloučení IT infrastruktur různých společností do jednoho celku.
Takové případy mohou negativně ovlivnit hodnotu kupované společnosti. Například, Verizon snížila celkovou kupní cenu Yahoo o 350 milionů dolarů, když vyšlo najevo, že únik dat na Yahoo, ke kterému došlo v předvečer fúze, byl významnější, než bylo dříve oznámeno.
Analýza 196 epizod úniků dat způsobených chybnou konfigurací cloudu také zjistila, které služby se v každém případě týkaly, a odhalila následující:
- 44 % úniků vyšetřovaných v letech 2018 a 2019 pocházelo z Elasticsearch (bezplatný softwarový vyhledávač používaný weby jako Wikimedia, Quora, Foursquare, SoundCloud, GitHub, Netflix, Amazon, IBM a mnoho dalších). V roce 2019 se počet úniků ve srovnání s rokem 2018 ztrojnásobil,
- 16 % úniků je způsobeno S3 Bucket (Objektové úložiště od Amazonu). Oproti roku 2018 se počet úniků zvýšil o 45 %,
- 12% úniků - MongoDB (databáze). Zdvojnásobení růstu úniků v roce 2019.
K největšímu podílu ztrát dochází prostřednictvím služeb AWS, ale zatímco Microsoft Azure, Google Cloud Platform a Kubernetes nahlásily jen málo incidentů, chybná konfigurace diskredituje používání všech cloudových služeb.
Rozdělení podle odvětví:
- 41% úniků - technologické a IT firmy,
- 20% úniků - zdravotní péče,
- 10% úniků - státní orgány,
- až 6% úniků - hotelnictví a finanční sektor,
- 4% úniků - retail,
- až 3% úniků - vzdělání a beznesové služby,
- 7% úniků - další odvětví.
Obsah problému
Zabezpečení cloudu není vždy závislé na poskytovatelích cloudových služeb.
Gartner předpovídá: že do roku 2025 bude 99 % chyb zabezpečení cloudu způsobeno chybami zákazníků.
Společnosti postupují při přijímání cloudových služeb příliš rychle – společnosti potřebují inovovat, aby zůstaly konkurenceschopné. A pouze cloudy mohou poskytnout flexibilitu a rychlost, kterou k tomu potřebujete.
Počet lidí, kteří využívají cloudy, raketově roste. Dříve mohla mít organizace 40 lidí souvisejících s infrastrukturou. Dnes je běžné, že všech 3000 lidí ve firmě nasazuje aplikace a ladí nastavení, čímž se implementuje tzv. kontinuální integrace a kontinuální vývojový přístup. A tito lidé ani nemyslí na bezpečnost, když nasazují aplikace do své cloudové infrastruktury.
Mnoha společnostem postrádá holistický přístup k zabezpečení infrastruktury, což je zase umocněno velkým počtem nezkušených uživatelů a zastaralými modely kybernetické obrany. Jak přijímáme neustále se měnící povahu veřejných cloudů a kontejnerové infrastruktury, kontrola a zmírňování rizik, správa účtů a dodržování předpisů jsou často přehlíženy – věci, které dnes již nejsou pod výhradní kontrolou pracovníků IT.
Kdo je vinen a co dělat
Pokud jde o bezpečnost, odpovědnost je sdílena mezi zákazníkem a poskytovatelem. Zákazník je odpovědný za to, jak přesně se používá službu, včetně správné nastavení řízení přístupu, systémy pro ukládání a výpočetní výkon pro provádění analýzy hrozeb a ochranu a pro bezpečnost běžících aplikací a dat, zpracovávaných v cloudu. Je to součást odpovědnosti zákazníka, která je často přehlížena.
Poskytovatelé jsou zase zodpovědní za zabezpečení nízkoúrovňových komponent cloudové služby – což je úkol, který obvykle splní bez problémů. Chcete-li snížit riziko úniků v důsledku špatné konfigurace cloudových služeb a posílit ochranu vaší infrastruktury, kontaktujte pouze spolehlivé poskytovatele IT služeb. A abyste se zbavili starostí se správou vaší infrastruktury v datovém centru, využijte doplňkové služby systémové správy a vzdálené správy.
Komentáře