Bedrijven vertrouwen wat betreft security te veel op cloud providers

Een van de belangrijkste reden voor bedrijven om applicaties, klantdata en software-ontwikkeling naar de publieke cloud te brengen is om beveiligingsrisico’s te verkleinen. Dit staat echter haaks op de regels die cloud-providers hanteren waarin een heldere gedeelde verantwoordelijkheid bestaat voor security en compliancy in cloud-omgevingen.

Dit blijkt uit het nieuwste Threat Landscape report, een terugkerend onderzoek van CyberArk. De uitkomsten zijn opvallend ook gezien het soort data en applicaties dat naar de cloud wordt gebracht. Bijna de helft van de respondenten (49 procent) migreert bedrijfskritische applicaties als ERP, CRM of financiële managementtool naar een publieke cloud, 45 procent gebruikt de cloud voor het opslaan van klantgegevens en 39 procent zet de cloud in voor interne ontwikkelingsdoeleinden, inclusief DevOps. Hierbij geeft 75 procent aan te vertrouwen op de ingebouwde beveiliging van de cloud-provider, terwijl tegelijkertijd de helft hiervan wel inziet dat het niet voldoende bescherming biedt.

Grootste beveiligingszorgen in de cloud

De punten waar men zich het meeste zorgen over maakt zijn medewerkers, partners en leveranciers met verhoogde toegangsrechten tot het netwerk (46 procent), ongeautoriseerde toegang tot cloud management consoles (46 procent) en gedeelde inloggegevens voor compute, opslag en applicatie instances (44 procent).

Deze zorgen worden kritiek op het moment dat onbeveiligde en onbeheerde inloggegevens privileged access bieden, en deze door aanvallers misbruikt kunnen worden om hogerop in de (cloud)infrastructuur te komen. Een meerderheid van de respondenten (62 procent) weet niet dat credentials, secrets en privileged accounts bestaan in IaaS- en PaaS-omgevingen. Slechts 49 procent heeft een beveiligingsstrategie voor privileged access tot cloud-infrastructuren en workloads.

Wie is verantwoordelijk?

"We zien met dit rapport twee problemen ontstaan. Enerzijds is dus niet duidelijk wie de verantwoordelijke is voor security in de cloud. Anderzijds wordt dat effect versterkt door de slechte bescherming van privileged accounts in deze omgevingen", aldus Adam Bosnian, executive vice president, global business development bij CyberArk. "Ondanks dat het gevoelige data is die men opslaat in de cloud, die ook nog eens onderhevig is aan allerlei regels, heeft nog niet eens de helft van de bedrijven een strategie om hier verandering in aan te brengen. Dit zagen we al in ons rapport van vorig jaar, en daar is dus nog weinig in veranderd."

De bevindingen zijn de eerste resultaten uit het CyberArk Global Advanced Threat Landscape Report 2019. Het volledige rapport is hier te vinden.