واقعیت ناخوشایند امنیت ابری در سال ۲۰۲۳

بیایید در مورد اینکه چگونه می توانید از لیست رو به رشد شرکت هایی که هک شده اند دور بمانید صحبت کنیم. هشدار اسپویلر: به پول و تعهد نیاز دارد.

این روزها مطالعات به سرعت در حال انجام است. مطالعه امنیت ابر جهانی تالز برای سال ۲۰۲۲ نشان داد که در طول ۱۲ ماه گذشته، ۴۵٪ از مشاغل با نقض داده های ابری مواجه شده اید یا در انجام ممیزی ها شکست خورده اید. (خوب بود که این عدد مشخص می شد.) اگر این فضا را تماشا می کردید، نسبت به سال قبل فقط ۵ درصد تخفیف داشت. چه چیزی می دهد؟

به طور کلی، ما با طوفانی کامل از فقدان سرمایه گذاری فزاینده در امنیت ابری، وابستگی قابل توجه به پلتفرم های مبتنی بر ابر، و کمبود استعدادهای امنیتی ابری روبرو هستیم که بسیاری از شرکت ها را به استخدام افراد حرفه ای کمتر واجد شرایط سوق می دهد. . این را با افزایش تسلیحات ابزارهای جدید، مانند هوش مصنوعی مولد توسط بازیگران بد، ترکیب کنید، و بیشتر شرکت‌ها آمادگی لازم برای مقابله با چالش‌های جدید را ندارند.

داده ها خارج از کنترل هستند

یکی از نگرانی‌های مهم‌تر افزایش داده‌های سایه است. داده‌های سایه‌ای، داده‌هایی هستند که بدون دانش یا کنترل فناوری اطلاعات سازمانی، در زیرساخت فناوری اطلاعات سازمان ایجاد، ذخیره یا منتقل می‌شوند. معمولاً خارج از سیستم‌های تأیید شده و نظارت شده وجود دارد و شامل داده‌های ذخیره شده در دستگاه‌های کارمندان، سرویس‌های ابری یا سایر برنامه‌های غیرمجاز و ناشناخته می‌شود.

اگر تا به حال سندی حاوی داده‌های تجاری حساس از پایگاه داده ابری سازمانی را روی یک درایو انگشت شست قرار داده‌اید تا در خانه روی آن کار کنید، یا قبل از رفتن به سفر کاری فهرست مشتریان را از یک برنامه مبتنی بر SaaS برای خود ایمیل کرده‌اید، شما از داده های سایه استفاده می کنید. داده‌های سایه می‌توانند حاوی اطلاعات حساس یا محرمانه باشند و طبیعت وحشی آن خطراتی را برای امنیت داده‌ها، انطباق، و حاکمیت ایجاد می‌کند.

این بیشتر یک مشکل آموزشی است تا یک مشکل امنیتی ابری. می‌توانید تمام محدودیت‌ها را برای استفاده از این داده‌ها و حتی استفاده از مانیتور قرار دهید، اما در پایان، اگر داده‌ها روی صفحه نمایش دیده شوند، می‌توانند به داده‌های سایه ناامن تبدیل شوند.

این واقعیت که این مسئله آموزشی (و افراد) است حل مشکل را دشوار می کند. متخصصان امنیت فناوری اطلاعات از ابزارها و فناوری‌ها برای این مشکل استفاده می‌کنند، که ممکن است احساس امنیت کاذبی ایجاد کند. ما به لایه‌ای از آموزش در مورد نحوه مدیریت داده‌ها نیاز داریم، که ممکن است کسانی که در فناوری اطلاعات مشغول به کار هستند آن را مشکل شخص دیگری بدانند. اغلب به منابع انسانی منتقل می شود، جایی که به ندرت به آن پرداخته می شود.

این یک دنیای اشتباه پیکربندی شده است

مشکلات پیکربندی اغلب مهم‌ترین خطر برای داده‌های ابری هستند و اغلب نادیده گرفته می‌شوند. یک نقض را به من نشان دهید، و من یک چیز احمقانه را به شما نشان خواهم داد که اجازه داده است این اتفاق بیفتد. یکی از نمونه‌های اخیر یک خودروساز بزرگ است که بیش از اطلاعات دو میلیون مشتری در معرض به دلیل پیکربندی نادرست در سیستم های ذخیره سازی ابری آن قرار گرفت.

به ندرت سیستم های امنیتی با پیکربندی مناسب برای دسترسی به داده ها دور زده می شوند. اغلب، سیستم های ذخیره سازی در معرض نمایش گذاشته می شوند یا پایگاه داده ها به رمزگذاری بیشتری نیاز دارند. کسی به طور کامل نمی‌دانست که در پیکربندی امنیت برای سیستم‌های مبتنی بر ابر و فروشگاه‌های داده چه می‌کنند. این مربوط به کمبود استعداد است که من به آن اشاره کردم، و اگر ضررهای هنگفتی از طریق یک رخنه دریافت کنیم، معمولاً به این ترتیب اتفاق می‌افتد.

سایر تهدیدات

ما همچنین تهدیدهای جدید و نوظهوری مانند APIهای کمتر از امنیت داریم. اگر روی پلتفرم‌های مبتنی بر ابر ایجاد و استقرار می‌کنید، APIها بیشتر کار شما را هدایت می‌کنند. نه تنها API ها توسط فروشندگان ابری ارائه می شوند، API ها نیز در برنامه های تجاری ساخته شده اند. آنها “کلیدهای پادشاهی” را ارائه می دهند و اغلب به عنوان نقاط دسترسی باز به داده های تجاری باقی می مانند.

از دیگر تهدیدات نوظهور استفاده از سیستم‌های هوش مصنوعی برای خودکارسازی جعلی است. همانطور که من در اینجا توضیح دادم، این حملات مبتنی بر هوش مصنوعی در حال حاضر رخ می‌دهند. همانطور که بازیگران بد در استفاده از سیستم‌های هوش مصنوعی (اغلب سرویس‌های ابری رایگان) بهتر می‌شوند، شاهد حملات خودکاری خواهیم بود که می‌توانند حتی پیچیده‌ترین سیستم‌های امنیتی را نیز دور بزنند. همگام شدن با روش‌های جدید و ابتکاری که ممکن است حملات رخ دهد، دشوار خواهد بود.

در واقع، استفاده از هوش مصنوعی مولد برای ایجاد کد برای برنامه‌های مخرب در صورت درخواست، فقط از طریق تعداد زیادی از سیستم‌های نرم‌افزاری حمله‌ای که می‌توانند تولید و راه‌اندازی شوند، حملات موفقیت‌آمیز را موضوع زمان می‌کند. بیشتر رهبران فناوری اطلاعات سازمانی نمی‌توانند به سرعت مهاجمان دفاع خود را افزایش دهند.

چه باید کرد

این بیشتر خبر بدی برای کسانی است که مسئول امنیت ابر هستند. بهترین راه برای یک پلتفرم ابری امن تر، اصول است. این به معنای رویکردهای امنیتی بدون اعتماد و بهترین ابزارهای امنیتی ابری است. در هر صورت، شما مجموعه بهتری از دفاع ها را ارائه می کنید که سایر شرکت ها را به هدف جذاب تری تبدیل می کند. به همین دلیل است که دوچرخه های قفل شده کمتر دزدیده می شوند – دزد می تواند قفل را در عرض چند ثانیه قطع کند، اما موتورسیکلت قفل نشده در کنار آن هدف راحت تری است.

یک آسیب پذیری به این بزرگی به همکاری کل شرکت برای ارتقاء دانش مردم در مورد امنیت ابر نیاز دارد. من در اینجا دو میدان نبرد را می بینم: اول، کاربران ابری رتبه و فایل از مدیران فروش تا دستیاران اجرایی باید شیوه های امنیتی را بهبود بخشند. آنها نیاز به آموزش و حکومت دارند و برای استفاده از داده های خارج از انطباق پاسخگو باشند.

دوم ارتقاء استعدادهای امنیتی است که شرکت به کار می گیرد. این به معنای تامین بودجه برای حقوق و دستمزد برای استخدام بهترین متخصصان امنیتی و همچنین پرداخت هزینه برای آموزش مداوم و اولویت بندی زمان صرف شده در آموزش است. من اغلب داستان هایی در مورد کمبود تمرینات آموزشی می شنوم زیرا کارکنان امنیتی مجبور به خاموش کردن آتش هستند. حدس بزنید چرا آن آتش سوزی ها در وهله اول رخ می دهند؟ اگر فکر می کنید که آموزش ندارید، در مسیر درستی هستید.