Voorbereiden op het onbekende

Security wordt genoemd als een van de echte voordelen bij het gebruik van cloud-technologie. Ouderwetse bedrijfssystemen bestaan vaak uit een heel scala aan systemen die afzonderlijk gebouwd zijn, vaak gedurende een periode van jaren. Deze systemen hebben elk variërende niveaus aan integratie en kunnen componenten bevatten die gemaakt zijn in een tijd met veel minder aandacht voor security dan nu. Daarnaast zal de kennis van mensen die dergelijke systemen onderhouden van bedrijf tot bedrijf sterk verschillen.

Dergelijke factoren roepen vragen op over de robuustheid van het bedrijfsnetwerk. Is mijn kritische informatie wel veilig? Hoe groot is het raakvlak? Wat voor kwetsbaarheden zijn bij mijn systeem aanwezig en zijn deze beschikbaar voor allerlei soorten van kwaadaardige malware om ze te misbruiken?

De overweging van op de cloud gebaseerde oplossingen

Het is dus geen wonder dat we naar de voordelen van cloud-computing kijken en soms applicaties in de cloud als een beter alternatief beschouwen. Het feit dat de cloud de geografische locatie irrelevant maakt en dat oplossingen automatisch kunnen worden uitgebreid of ingekrompen, afhankelijk van de behoeften van een bedrijf kunnen belangrijke factoren zijn. Andere argumenten die voor gebruik van de cloud-technologie spreken zijn ook niet moeilijk te vinden:

• De providers van cloud-diensten weten wat ze doen, dus we geloven dat implementatie en infrastructuur in de handen is van experts.

• Veel meer dan het onderhouden van de oude interne systemen, inclusief software- en hardware-updates, lijkt het verhuizen van alles naar de cloud een goed idee. Eenvoudig beheer en voorspelbare kosten zijn belangrijke factoren bij deze overweging.

• Omdat wij geloven dat cloud-providers experts zijn in wat ze doen, geloven we ook dat zij een scherpe blik hebben op security. Gebruik van de meest recente infrastructuur en applicaties garanderen de beste beveiliging die beschikbaar is tegen cyberdreigingen.

Laat echter de cloud niet uw eigen veiligheidsbewustzijn doen wegzakken

Als contrast met dit alles komt het recente nieuws over de hack van de interne database van het bedrijf Adobe. Zoals Kristian Bognaes noemde in zijn "In the news"-blog, bedraagt het aantal gestolen digitale documenten bij Adobe nu meer dan 150 miljoen. Ook andere grote service providers als RSA, Yahoo, Vodafone en nog anderen hebben in de afgelopen jaren diverse inbreuken op de veiligheid gekend.
Wat mij echt bezorgd maakt ten aanzien van de hack bij Adobe, is dat het ook gestolen source-code betreft. We weten van eerdere hacks dat het gebruik maken van bekende kwetsbaarheden in commerciële software een gebruikelijke manier is om toegang te verkrijgen tot beveiligde informatie. Als de hackers daarnaast toegang hebben tot de source-code, kan dit hun speurtocht naar kwetsbaarheden veel eenvoudiger maken dan alleen maar met brute kracht de binaire getallen kraken.

Toen RSA in 2011 werd gehackt, werd volgens het eigen blog van RSA een kwetsbaarheid in Adobe Flash gebruikt om een backdoor (APT) te plaatsen op een werkstation van een RSA-werknemer. Een APT (Advanced Persistent Threat, geavanceerde blijvende bedreiging) is een stuk malware dat zolang als nodig is - om gebruikersnamen, wachtwoorden en andere persoonsgegevens te stelen aanwezig blijft. In dit specifieke geval werden gegevens gestolen en gebruikt om de integriteit van RSA's eigen SecureID-product te beschadigen.

Tot nu toe is het niet bekend of hackers de potentiële kwetsbaarheden in de gestolen Adobe-code daadwerkelijk hebben gebruikt om malware te implementeren die hiervan profiteert. Er kan echter ook andere code zijn gestolen van grote commerciële leveranciers waar we nooit van hebben gehoord, code die nu al wordt geanalyseerd door hackers voor later gebruik.

Het oude liedje is nu nog belangrijker

Met andere woorden het is opnieuw het oude liedje: doe wat je kan om de criminelen op uw netwerk buiten de deur te houden. Als ze eenmaal binnen zijn, kan het uiterst moeilijk zijn om ze weer kwijt te raken. U kunt een hoop aan resources uitgeven aan de beste infrastructuur ter wereld, maar als er een zwakke link is, ergens in het hele systeem, dan kan dit de toegang zijn tot uw netwerk. En de favoriete zwakke link in veel gevallen is ongepatchte software.

Naast het aanhouden van een streng wachtwoordregime tonen de recente gebeurtenissen het belang aan van het te allen tijde gepatcht houden van uw systemen.
Norman Safeground gebruikt cloud-technologie om veel van de aan onze klanten aangeboden diensten te onderhouden. In volgende blogs zal ik hierover nog meer in detail ingaan.

Bjørn Lilleeng, Technical Integration Manager bij Norman Safeground te Oslo in Noorwegen