Obowiązkowa transformacja cyfrowa do zachowania bezpieczeństwa chmury

Transformacja cyfrowa staje się jedynym logicznym rozwiązaniem dla współczesnych organizacji. Dyrektorzy IT zwracają się do wielu dostawców usług chmurowych, oczekując, że ci zaoferują im nowe modele aplikacyjne, które zwiększają elastyczność biznesową w celu spełnienia nieustannie zmieniających się wymagań rynkowych. Problemem jest jednak bezpieczeństwo. Aplikacje webowe pozostają częstym celem ataków DDoS i prób kradzieży danych. Z opublikowanego w tym roku raportu Verizon wynika, że jedna czwarta przeanalizowanych naruszeń bezpieczeństwa danych była rezultatem ataków na aplikacje webowe. Jak sobie zatem radzą z tym organizacje? Nowy raport Barracuda Networks ujawnia kilka interesujących faktów.

Rosnąca dojrzałość chmury

Sondaż przeprowadzony wśród 850 specjalistów ds. bezpieczeństwa z całego świata ukazuje rosnące zaufanie do wdrożeń w chmurze publicznej. Ponad dwie piąte (44 proc.) respondentów uważa obecnie, że są one równie bezpieczne, co środowiska lokalne, a 21 proc. twierdzi, że nawet bezpieczniejsze. Co więcej, 60 proc. mówi, że są „dość” albo „bardzo” przekonani, że ich organizacja używa technologii chmurowych w bezpieczny sposób. Dostawcy usług chmurowych mają do dyspozycji bardziej nowoczesną, bezpieczniejszą infrastrukturę niż wiele organizacji mogłoby zbudować samodzielnie. Oznacza to, że klienci korzystają z nowoczesnej technologii, spełniającej najwyższe standardy bezpieczeństwa, która przewyższa heterogeniczne, zawierające wiele przestarzałych elementów środowiska lokalne. Jeśli tylko wybiorą właściwych partnerów specjalizujących się w bezpieczeństwie i zrozumieją koncepcję współdzielonej odpowiedzialności w chmurze, będą mogli skutecznie ograniczyć zagrożenia Nie jest to jednak pełny obraz. Respondenci nadal nie są skłonni do przechowywania wrażliwych danych w chmurze, przy czym na pierwszych miejscach listy znalazły się informacje o klientach (53 proc.) oraz wewnętrzne dane finansowe (55 proc.). Skarżą się na niedobór umiejętności w zakresie cyberbezpieczeństwa (47 proc.) oraz brak widoczności (42 proc.) jako czynniki utrudniające zabezpieczenie danych w chmurze. A ponad połowa (56%) nie jest pewna, czy ich chmurowy system jest zgodny z przepisami. Czy niektóre z tych obaw mają związek z zagrożeniami dla aplikacji webowych?

Witryny celem ataków

Aplikacje webowe są wszechobecną, ale często słabo rozumianą częścią nowoczesnej, ukierunkowanej na chmurę organizacji. Jako metoda dostarczania pozytywnych doświadczeń klientom przy korzystaniu z naszych usług oraz zwiększania produktywności pracowników, aplikacje webowe są łakomym kąskiem dla cyberprzestępców, którzy próbują wykraść wrażliwe dane i zakłócić kluczowe procesy biznesowe. Badania firmy Forrester z 2018 r. pokazały, że najczęstszą przyczyną udanych włamań były ataki zewnętrzne – których największa część skupiała się właśnie na aplikacjach webowych (36 proc.). Z sondażu Barracuda Networks wynika, że ponad połowa (59 proc.) globalnych firm dysponuje zaporami aplikacji webowych (web app firewall, WAF), które ograniczają te zagrożenia. Najpopularniejszą opcją jest nabycie WAF od zewnętrznego dostawcy (32 proc.), co ma sens, pod warunkiem, że zapora może ochronić klientów przed zautomatyzowanymi botami, które dominują w krajobrazie zagrożeń. Niestety nie wszystkie to potrafią.

Łatanie i konfigurowanie

Jednakże większe obawy budzi to, że wiele organizacji nie traktuje poważnie zagrożeń stwarzanych przez luki w zabezpieczeniach aplikacji webowych. 13 proc. twierdzi, że w ciągu minionych 12 miesięcy nie instalowało poprawek w swoich platformach lub serwerach aplikacji webowych. Spośród tych, którzy to zrobili, ponad jednej trzeciej (38 proc.) zajęło do od 7 do 30 dni, a jednej piątej (21 proc.) – ponad miesiąc. Właśnie takie podejście przysporzyło poważnych problemów firmie Equifax, która nie załatała niezwłocznie usterki Apache Struts 2, co doprowadziło do gigantycznego naruszenia bezpieczeństwa danych, które dotychczas kosztowało ponad 1,4 mld dol. Jest to oczywiście przykład skrajny, który podkreśla jednak potencjalne ryzyko dla firm. Innym potencjalnym obszarem ryzyka w środowiskach aplikacji webowych są ludzkie błędy. Tegoroczne włamanie do Capital One, które wpłynęło na ponad 100 milionów klientów amerykańskiego banku, przypisano błędnej konfiguracji opensourcowej zapory WAF. Około 39 proc. respondentów podało, że nie mają zapory WAF, ponieważ ich aplikacje nie przetwarzają żadnych wrażliwych danych. Ataki nie skupiają się jednak wyłącznie na kradzieży danych, mogą też zakłócać usługi o krytycznym znaczeniu dla funkcjonowania firmy. Zapory WAF z pewnością nie są panaceum na wszystkie problemy. Jednak jako część wielowarstwowego podejścia do cyberbezpieczeństwa stanowią ważne narzędzie w walce z ryzykiem biznesowym.

Rosnące zaufanie do chmury umożliwia transformację cyfrową w organizacjach różnej wielkości, ale nie jest to powodem do zaniechania czujności. Cyberprzestępcy koncentrują się na lukach w zabezpieczeniach i słabych punktach, które w przeszłości bywały ignorowane, a wiele organizacji nie jest świadomych, jak te wielowarstwowe ataki mogą się rozwinąć się z jednego punktu dostępu. Zabezpieczenia aplikacji webowych i zarządzanie postawą wobec zagrożeń chmurowych to kluczowe narzędzia, które klienci muszą wdrożyć, aby kontynuować transformację cyfrową w bezpiecznej chmurze.

Oto kilka wskazówek, które pomogą zapewnić bezpieczeństwo w chmurze:

  • Upewnij się, że zapory WAF chronią wszystkie aplikacje. Jeśli nawet aplikacja nie wchodzi w bezpośrednie interakcje z odwiedzającymi, nie zakładaj, że nie może zostać wykorzystana jako wektor ataku. Napastnik wykorzysta każdą znalezioną lukę w zabezpieczeniach, choćby po to, aby uzyskać dostęp do Twojej sieci i cenniejszych zasobów.
  • Nie pozostawiaj bezpieczeństwa aplikacji w rękach swojego zespołu deweloperów. Nie są oni ekspertami od bezpieczeństwa i nie za to im płacisz – ich zadaniem jest tworzenie jak najlepszych produktów.
  • Wdróż rozwiązanie klasy Cloud Security Posture Management – nie tylko wyeliminuje ono wiele zagrożeń i usterek oraz zapewni zespołowi deweloperów ramy do „bezpiecznego budowania”, ale również znacznie uprości usuwanie skutków ataku oraz przyspieszy dochodzenie w razie ewentualnych problemów.