Hoe het gemak van de cloud een veiligheidsrisico vormt voor organisaties
Als we het hebben over cyberdreigingen voor organisaties, dan hebben we het over ransomware. In Nederland lag hier jarenlang focus op. Organisaties werden continu gewezen op de risico’s en gevaren en investeerden in passende beveiligingsmaatregelen, pentesten en back-upoplossingen. Nu organisaties goed gewapend zijn tegen ransomware-aanvallen, veranderen kwaadwillenden gewoon hun strategie. Organisaties hebben massaal de reis naar de cloud gemaakt en cybercriminelen liften mee naar dezelfde bestemming. Wat betekent dit voor de risico’s die jouw organisatie loopt? En hoe wapen je je tegen deze nieuwe vorm van dreiging?
De uitdagingen van de cloud
De cloud wordt vaak gepresenteerd als het paradijs in IT-land, vanwege de grote voordelen die het biedt op gebied van schaalbaarheid en flexibiliteit. De risico’s van de cloud op het gebied van veiligheid zijn minder vaak onderwerp van gesprek. Toch kent dit paradijs ook gevaren. Zo denken organisaties vaak dat ze de verantwoordelijkheid buiten de deur leggen, door hun data op te slaan in de cloud. Je blijft zelf verantwoordelijk voor het beveiligen van je data, net zoals je dat doet met data die on-premise staat. Een ander gevaar is dat alles complexer wordt. De cloud is vaak een aanvulling op de on-premise omgeving en is daarmee eigenlijk een extra IT-omgeving. Dat betekent ook dubbel zo veel complexiteit. Je begrijpt dat dit de beveiliging niet vereenvoudigt. Kortom, veiligheid krijgt vaak onvoldoende aandacht in de reis naar de cloud.
Het succes van aanvallen in de cloud
Kwaadwillenden maken daar dankbaar gebruik van. Statelijke Actoren voeren meer dan ooit campagnes op clouddiensten. Het is een kwestie van tijd voordat eCrime deze tactiek overneemt. Wat maakt het zo succesvol? Het is je inmiddels vast duidelijk geworden dat organisaties over het algemeen kwetsbaarder worden als ze gebruikmaken van de cloud. Die kans laten cybercriminelen niet onbenut. Zodra ze een identiteit hebben gestolen – wat veel eenvoudiger gaat in cloud-omgevingen – kunnen ze vrij, en vooral snel rond bewegen. Door legitieme services te gebruiken, gaan ze op in de massa van legitieme zaken en zijn ze moeilijker traceerbaar.
Daarnaast leent de cloud zich uitermate goed voor supply chain aanvallen. Kunnen kwaadwillenden niet bij het gewenste doelwit binnenkomen, dan proberen ze het gewoon via één van de toeleveranciers. Eenmaal binnen zie je dat de kwaadwillenden strategisch te werk gaan. Steeds vaker zien we dan ook een dubbel verdienmodel. Waar je als organisatie bij een ransomware-aanval nog enige kans hebt om de kwaadwillende de deur uit te werken, stelen of gijzelen ze nu je data. Kwaadwillenden vragen organisaties eerst om losgeld – verdienmodel 1 – en daarna nogmaals om zo af te dwingen dat hun data niet wordt verkocht op het dark web – verdienmodel 2.
Maak deze veelgemaakte fouten niet
Werk aan de winkel dus voor organisaties. En dat begint bij bewustwording van de kwetsbaarheden van je organisatie in de cloud. Het biedt veel gemak, maar pas op dat dit gemak je niet blind maakt voor de gevaren. Een voorbeeld: je cloudprovider biedt wellicht een standaard configuratie met handige templates, maar door dit gemak ontstaan er sneller configuratiefouten op het gebied van security. Denk aan het verlenen van bepaalde rechten of poorten die open blijven staan. Met dit soort zaken maak je jezelf kwetsbaar voor inbrekers.
Een andere veelgemaakte fout is te weinig bescherming van rechten en identiteiten. Zoals ik al zei, bewegen kwaadwillenden zich vaak voort in cloudomgevingen met legitieme credentials. Monitoren op rechten en identiteiten wordt hierdoor nóg belangrijker, net als gedragsmonitoring. Dat is de enige manier om verdacht gedrag - dat in de eerste plaats niet verdacht lijkt – op te sporen. Daarnaast kan ik niet vaak genoeg zeggen hoe belangrijk het is om MFA (Multi Factor Authenticatie) toe te passen. Maak hierbij geen uitzondering voor IT-beheerafdelingen. In de cloud lijken organisaties het belang hiervan te vergeten. IT-beheerders hebben ineens meerdere omgevingen om te beheren. De fout van dezelfde gebruikersnaam en wachtwoord gebruiken voor ieder account is snel gemaakt, net als het uitzetten van MFA. Maar daarmee loop je groot risico, want hiermee zijn juist je kroonjuwelen onbeschermd. Gemak is wat dat betreft je grootste vijand. Dat geldt ook op het gebied van DevOps. Er bestaan bibliotheken vol templates die je veel werk besparen, maar je weet hiermee niet wat je in huis haalt. Die templates kunnen allemaal kwetsbaarheden hebben. Monitor daarop en maak gebruik van security baselines.
Een stap voor blijven
Ik begrijp dat iedereen druk genoeg is met de dagelijkse operatie, toch is het belangrijk om waakzaam te blijven en de vaardigheden van je organisatie te blijven vergroten. Wat dit alles extra belangrijk maakt, is de snelheid waarmee cybercriminelen vandaag de dag opereren. Ze zijn zo snel als het licht en dat moet jij ook zijn. Train jezelf hierin. Bijvoorbeeld met patchen – dit is ontzettend belangrijk –, maar ook met reageren op dreigingen. Snelheid bepaalt het succes van cybercriminelen, maar ook van het verdedigingsmechanisme van organisaties. Het lijkt nu misschien of de cloud an sich hierin een risico vormt voor je organisatie, maar dat is absoluut niet het geval. Het risico zit hem in het gemak waarmee organisaties ervan uitgaan dat alles veilig is in de cloud. Dat baart mij zorgen. Als organisaties hun data in de cloud net zo goed beschermen als data die on-premise staat, dan blijf je cybercriminelen gewoon een stap voor. Nieuwe tactiek of niet.
Door: Huib Dijkstra, solution engineer cybersecurity bij CrowdStrike
