خطرات امنیت ابری همچنان بسیار انسانی است

بسیاری از ما تهدیدات امنیتی ابری را بازیگرانی بد در برخی از کشورهای متخاصم تصور می کنیم. بیشتر اوقات، این شما و همکارانتان هستید.

در مورد امنیت ابری صحبت کنید و احتمالاً در مورد مسائل متمرکز بر ارائه‌دهنده بحث خواهید کرد: امنیت کافی، حسابرسی کافی، برنامه‌ریزی کافی. با این حال، بزرگترین خطرات امنیتی ابر همچنان افرادی هستند که در راهروها در کنار شما راه می روند. بر اساس آخرین گزارش “Top Threats برای Cloud Computing” توسط اتحاد امنیت ابری در مورد HealthITSecurity، تماس های ترسناک از داخل خانه می آیند.

بر اساس نظرسنجی از بیش از ۷۰۰ متخصص امنیت سایبری، این گزارش نشان داد که ۱۱ تهدید اصلی برای امنیت ابری شامل رابط‌ها و APIهای ناامن، پیکربندی‌های نادرست، فقدان معماری و استراتژی امنیت ابر و همچنین افشای تصادفی ابر است. تهدیدهای واقعی بازیگران بدی نیستند که در یک انبار متروکه نشسته اند. این مری در حسابداری، رابرت در IT موجودی، حتی سوزان در امنیت فناوری اطلاعات است.

محققان خاطرنشان کردند که دیدگاه فعلی در مورد امنیت ابری مسئولیت را از ارائه دهندگان به پذیرندگان منتقل کرده است. اگر از ارائه دهندگانی بپرسید که همیشه یک مدل “مسئولیت مشترک” را ترویج می کنند، آنها همیشه از پذیرندگان خواسته اند که مسئولیت امنیت را در سمت معادله خود بر عهده بگیرند. با این حال، اگر کارمندان فناوری اطلاعات و کاربران رتبه‌بندی شده را بررسی کنید، مطمئن هستم که آنها به ارائه‌دهندگان ابری به‌عنوان پایه‌های اصلی امنیت ابری خوب اشاره می‌کنند.

همچنین جالب است که ببینید آسیب‌پذیری‌های فناوری مشترک، مانند انکار سرویس، از دست دادن داده‌های ارائه‌دهندگان خدمات ارتباطی، و سایر مسائل امنیتی سنتی ابری نسبت به مطالعات قبلی در رتبه‌های پایین‌تری قرار دارند. بله، آنها همچنان یک تهدید هستند، اما پس از مرگ نقض‌ها نشان می‌دهد که آسیب‌پذیری‌های فناوری مشترک در فهرست نگرانی‌های ما بسیار پایین‌تر هستند.

پیام اصلی این است که آسیب‌پذیری‌های واقعی آن‌قدر که فکر می‌کردیم هیجان‌انگیز نیستند. در عوض، فقدان استراتژی امنیتی و معماری امنیتی اکنون در صدر فهرست امنیت ابری “نه-نه” قرار دارد. در رتبه دوم، فقدان آموزش، فرآیندها و بررسی‌ها برای جلوگیری از پیکربندی نادرست بود، که من اغلب آن را علت اصلی بیشتر نقض‌های امنیتی می‌دانم. البته این مشکلات ارتباط مستقیم دارند. فقدان برنامه ریزی امنیتی و معماری امنیتی بخشی از دلایلی است که در وهله اول تنظیمات نادرست رخ می دهد.

در قلب موضوع کمبود منابع است. مسائل امنیتی ابر زمانی به وجود می آیند که شرکت ها مایل یا قادر به خرج کردن پول مورد نیاز برای یک طرح امنیتی مناسب نباشند. همچنین، به همان اندازه مهم، سازمان‌ها باید به طور مداوم افراد را در مورد رویه‌های امنیتی مناسب راهنمایی کنند تا زمانی که ماهیت دوم باشد. این باید ادامه داشته باشد و با تغییر فرهنگ از یک ذهنیت امنیتی “بیشتر اعتماد” به “اعتماد صفر” همراه شود.

کارکنان فناوری اطلاعات همچنان یادداشت‌های چسبناک با شناسه‌های کاربری و گذرواژه‌ها را در سراسر سازمان پیدا می‌کنند و اغلب متوجه می‌شوند که منابع ابری به روش‌های غیرمجاز مورد استفاده قرار می‌گیرند. بیهوده به نظر می رسد، اما من مواردی را می شناسم که ذخیره سازی ابری عمومی و سیستم های محاسباتی توسط فرزندان رهبران فناوری اطلاعات برای تکمیل تکالیف خانه مورد استفاده قرار می گرفتند – من این اتفاق را بیش از یک بار در بیش از چند شرکت مشاهده کردم. کاش شوخی میکردم

خوشبختانه، تعریف راه‌حل‌های مشکلات امنیتی سیستم آسان است: منابع بیشتر و تمرکز بیشتر بر امنیت ابر. با این اوصاف، شما نمی‌توانید فقط فناوری را روی مشکل بیاندازید. رفع نیاز به یک برنامه امنیتی مناسب دارد که مشخص می کند در طول حداقل پنج سال آینده چه کاری باید انجام شود تا سیستم شما ایمن شود.

تعریف چگونگی تغییر فرهنگ و سپس اجرای تغییرات اغلب دشوارتر است. اگر با فرهنگ بی‌علاقگی سر و کار داشته باشید، تمام آموزش‌های دنیا فایده چندانی نخواهد داشت.

همیشه خوب است که دیگران را به خاطر نقص سیستم سرزنش کنیم. این بار امکان پذیر نیست و در آینده نیز چنین نخواهد بود. وقت آن رسیده است که با نگاه کردن به آینه، مشکلات امنیتی خود را حل کنید.