Облачни Технологии

Масово компаниите не осъзнават, че сигурността в облака е споделена

Мария Динкова

Масово компаниите не осъзнават, че сигурността в облака е споделена, показва нов доклад на McAfee – Cloud-Native: The Infrastructure-as-a-Service Adoption and Risk Report. Според изследването при организациите се наблюдава изключително ниска осведоменост по отношение на най-честите входни точки при изцяло облачните пробиви. Освен това се оказва, че 99% от неправилните настройки при IaaS (инфраструктурата като услуга) остават незабелязани, пише IT Brief.

В анализа се изтъква, че инфраструктурата като услуга сега е най-бързо развиващата се област на облака заради скоростта, цената и надеждността, благодарение на която организациите могат да създават и внедряват приложения.

"В надпреварата за интеграция на IaaS много организации игнорират модела на споделена отговорност за облака и предполагат, че облачният доставчик поема изцяло грижата за сигурността", коментира Раджив Гупта, старши вицепрезидент за облачната сигурност в McAfee.

"Но сигурността на това, което клиентите поставят в облака, най-вече чувствителните данни, е тяхна отговорност. За да се защитят срещу изцяло облачните пробиви, организациите трябва да използват инструменти за сигурност, които са оригинални за облака и създадени за облачна сигурност, за да поемат своята част от модела на споделена отговорност", допълва експертът.

IaaS пробивите не приличат на обичайните инциденти с малуер. Вместо това при тях се използват оригиналните функции на облачната инфраструктура, за да се стартира атаката и да се откраднат чувствителни данни. В повечето случаи за тяхното реализиране се използват грешките при настройването на облачната среда.

Проучването хвърля светлина върху нуждата от инструменти за сигурност, за да бъдат компаниите в крачка с проблемите при IaaS. Ето кои са и другите важни резултати от изследването:
  • Липса връзка между ИТ експертите и мениджърите: Резултатите показват, че 90% от компаниите са изправени пред проблеми в сигурността на IaaS поради неправилни настройки или друга причина. Същевременно повечето ИТ експерти смятат, че никога не са се сблъсквали с подобни предизвикателства, докато висшият мениджмънт в техните компании е на противоположната позиция. Освен това се оказва, че само 26% от организациите са подготвени да извършват одити по отношение на настройките, което вероятно се дължи на липсата на видимост. Възможно е заради скоростта на миграцията в облака някои от експертите да изостават и да не разполагат с нужните инструменти да спират облачните атаки – дори когато техните лидери осъзнават по-големия риск.
  • Загуба на данни в IaaS: Инцидентите, причинени от правилата за предотвратяване загубата на данни в IaaS – като въвеждането на данни в сторидж с публичен достъп за четене – се увеличават с 248%. Всъщност 42% от инцидентите са били свързани с неправилна настройкa.
  • IaaS е новата сенчеста ИТ: Следенето на инцидентите при сигурността в IaaS е изключително трудно, като се има предвид лекотата, с която разработчиците могат да създадат нова инфраструктура. Ситауацията се влошава, когато организациите работят с няколко доставчика на облачни услуги. 76% от анкетираните отбелязват, че използват множество IaaS доставчици, но данните от реалното използване на облака разкриват, че всъщност процентът е 92. В крайна сметка инцидентите ще останат незабелязани, ако компаниите не осъзнават къде живее тяхната инфраструктура.
В изследването са участвали 1000 организации в глабален план по отношение на въпросите за сигурността в IaaS, като фокусът е бил върху неправилните настройки, които в някои случаи оставят данните и интелектуалната собственост на милиони потребители отворени за кражба.

X