Dostosuj preferencje dotyczące zgody

Używamy plików cookie, aby pomóc użytkownikom w sprawnej nawigacji i wykonywaniu określonych funkcji. Szczegółowe informacje na temat wszystkich plików cookie odpowiadających poszczególnym kategoriom zgody znajdują się poniżej.

Pliki cookie sklasyfikowane jako „niezbędne” są przechowywane w przeglądarce użytkownika, ponieważ są niezbędne do włączenia podstawowych funkcji witryny.... 

Zawsze aktywne

Niezbędne pliki cookie mają kluczowe znaczenie dla podstawowych funkcji witryny i witryna nie będzie działać w zamierzony sposób bez nich.Te pliki cookie nie przechowują żadnych danych umożliwiających identyfikację osoby.

Brak plików cookie do wyświetlenia.

Funkcjonalne pliki cookie pomagają wykonywać pewne funkcje, takie jak udostępnianie zawartości witryny na platformach mediów społecznościowych, zbieranie informacji zwrotnych i inne funkcje stron trzecich.

Brak plików cookie do wyświetlenia.

Analityczne pliki cookie służą do zrozumienia, w jaki sposób użytkownicy wchodzą w interakcję z witryną. Te pliki cookie pomagają dostarczać informacje o metrykach liczby odwiedzających, współczynniku odrzuceń, źródle ruchu itp.

Brak plików cookie do wyświetlenia.

Wydajnościowe pliki cookie służą do zrozumienia i analizy kluczowych wskaźników wydajności witryny, co pomaga zapewnić lepsze wrażenia użytkownika dla odwiedzających.

Brak plików cookie do wyświetlenia.

Reklamowe pliki cookie służą do dostarczania użytkownikom spersonalizowanych reklam w oparciu o strony, które odwiedzili wcześniej, oraz do analizowania skuteczności kampanii reklamowej.

Brak plików cookie do wyświetlenia.

Jak zapobiegać wyciekom danych firmowych w chmurze? W kwestii cyberbezpieczeństwa, powinniśmy mieć świadomość, że największym ryzykiem jest błąd ludzki – przestrzegają eksperci ESET.

Błędnie skonfigurowane serwery w chmurze i innych systemach w organizacjach są swoistym zaproszeniem dla cyberprzestępców, które może prowadzić do incydentów związanych z bezpieczeństwem. Podchodząc do kwestii cyberbezpieczeństwa organizacji, powinniśmy mieć świadomość, że największym ryzykiem dla firm, które dokonują transformacji cyfrowej, w tym wymuszonego przez pandemię koronawirusa przejścia do trybu pracy zdalnej, jest błąd ludzki – ostrzegają eksperci ESET.

 

Poważne skutki wycieków danych w chmurze

Możliwość przejścia w tryb pracy zdalnej czy hybrydowej uratowała wiele firm w trakcie pandemii COVID-19. Co więcej, udana transformacja cyfrowa jest jedną z przewag konkurencyjnych na etapie wychodzenia z globalnego kryzysu gospodarczego. Jednymi z kluczowych elementów tego procesu są inwestycje w rozwiązania chmurowe obsługujące aplikacje i procesy biznesowe oraz podnoszące wydajność operacyjną przedsiębiorstw. Według danych Instytutu Gartnera, specjalizującego się w zagadnieniach strategicznego wykorzystania technologii oraz zarządzania technologiami, prognozowane globalne wydatki na usługi chmury publicznej wzrosną o 18,4% w 2021 r. i wyniosą prawie 305 miliardów dolarów. Z kolei w przyszłym roku mają wzrosnąć o kolejne 19%.

 

Jednocześnie skala tych zmian wpływa na większą liczbę pomyłek popełnianych przez ludzi – w tym błędnej konfiguracji rozwiązań chmurowych, co naraża wrażliwe dane na ataki cyberprzestępców. Według danych udostępnionych przez amerykańskiego dostawcę usług telekomunikacyjnych Verizon różnego rodzaju błędy ludzkie stanowiły 17% naruszeń danych w 2020 roku.

 

W przypadku firmowej chmury jeden z negatywnych trendów jest szczególnie widoczny – to jej błędna konfiguracja. Każdego roku z tego powodu do sieci wyciekają miliardy rekordów, co stanowi poważne zagrożenie dla bezpieczeństwa organizacji i w konsekwencji dla jej zysków i reputacji. Stopniowe eliminowanie tego zagrożenia jest możliwe, ale będzie wymagało od firm lepszego monitorowania i kontroli procesów w środowisku chmurowym, na przykład przy użyciu zautomatyzowanych narzędzi.

 

Dane IBM są niepokojące. Ponad 85% z 8,5 miliarda naruszonych rekordów zgłoszonych w 2019 r. było spowodowanych błędnie skonfigurowanymi serwerami w chmurze i innymi nieprawidłowo skonfigurowanymi systemami. Dopóki organizacje nie wdrożą skutecznych rozwiązań ograniczających błędy, skala procesów transformacji cyfrowej będzie powodować wzrost liczby podobnych incydentów – mówi Kamil Sadkowski, starszy specjalista ds. cyberbezpieczeństwa w ESET.

 

Kategorie danych, które mogą zostać przejęte przez nieuprawnione osoby, są różne. Od tych zawierających informacje umożliwiające identyfikację osób – jak w przypadku milionów użytkowników będących ofiarami wycieku danych hiszpańskiego producenta oprogramowania do rezerwacji hoteli. Po jeszcze wrażliwsze, jak w przypadku sierpniowego ujawnienia tajnej listy terrorystów.

 

Znany jest przypadek, kiedy cyberprzestępcy wykradli dane z ponad 22 tysięcy niezabezpieczonych baz danych, a następnie usunęli ich pierwotną zawartość, żądając okupu za odzyskanie danych – dodaje Kamil Sadkowski.

 

Na czym polega problem błędnej konfiguracji chmury?

Instytut Gartnera prognozował, że do 2020 roku 95% incydentów związanych z bezpieczeństwem w chmurze będzie następować z winy użytkownika tych rozwiązań. Wpływa na to szereg czynników, w tym między innymi słaba znajomość zasad i polityk bezpieczeństwa, brak stałego monitorowania oraz zbyt wiele interfejsów API oraz systemów do zarządzania chmurą. Ten ostatni aspekt jest szczególnie dotkliwy, gdyż zauważalnym trendem jest zwiększanie inwestycji przez organizacje w środowiska chmurowe różnych dostawców.

 

Błędna konfiguracja rozwiązań chmurowych może przybierać różne formy, w tym:

  • Brak odpowiednich ograniczeń dostępu, obejmujący powszechny problem publicznego dostępu do niezabezpieczonej bazy danych, który może umożliwić atakującym odczytywanie, zapisywanie i usuwanie danych w chmurze.
  • Nadmiernie liberalne polityki zabezpieczeń, obejmujące udostępnianie otwartych usług dostępu zdalnego do serwera poprzez Internet.
  • Brak należytej kontroli uprawnień i ograniczania dostępu dla firmowych kont użytkowników do niezbędnego minimum.
  • Błędna konfiguracja tras i wirtualizacji funkcji sieciowych.

 

Jak naprawić błędną konfigurację chmury?

Kluczowym aspektem w zakresie ochrony organizacji jest wdrożenie procesów, które tak szybko jak to możliwe automatycznie wykrywają i rozwiązują problemy.

 

Atakujący potrafi wykryć błędną konfigurację w ciągu 10 minut, ale tylko 10% organizacji usuwa problemy w tym czasie. W rzeczywistości prawie połowie (45%) organizacji naprawa błędnej konfiguracji zajmuje od godziny do tygodnia od momentu wystąpienia niebezpiecznego incydentu – mówi Kamil Sadkowski. To co powinni zrobić zarządzający organizacjami, to w pierwszej kolejności zrozumieć, a następnie wdrożyć zasady modelu współodpowiedzialności za bezpieczeństwo firmy w chmurze. Oznacza to, że powinni być świadomi tego, którymi zadaniami zajmuje się dostawca usług chmurowych, czyli sprzętem, oprogramowaniem, siecią i inną infrastrukturą, a co należy do kompetencji pracowników organizacji w zakresie konfiguracji i kontroli swoich zasobów – tłumaczy ekspert ESET.

 

Odpowiednia strategia pozwala skuteczniej zarządzać ryzykiem związanym z bezpieczeństwem w chmurze. Aby zwiększyć skuteczność modelu współodpowiedzialności za bezpieczeństwo w chmurze, poniżej przedstawione są cztery dobre praktyki w tym zakresie:

  • Ograniczenie uprawnień – ustalenie zasady jak najmniejszych uprawnień dla użytkowników i kont w chmurze pozwoli na minimalizowanie ryzyka ataku z wykorzystaniem tych zasobów.
  • Szyfrowanie danych – złagodzenie skutków ewentualnego wycieku danych może być zminimalizowane dzięki stosowaniu silnego szyfrowania dla danych o znaczeniu krytycznym dla Organizacji.
  • Ustalenie priorytetów dla zarządzania IaC (Infrastruktura jako kod), które umożliwia firmom efektywniej kontrolować zmiany i konfiguracje w środowisku chmurowym, a także automatyzuje procesy kontroli na jak najwcześniejszym etapie cyklu rozwoju.
  • Stały audyt konfiguracji w chmurze pod kątem zgodności z polityką, na przykład przy zastosowaniu narzędzi Cloud Security Posture Management (CSPM), które automatyzują i upraszczają ten proces.

 

 

IT Champions 2021 – Za nami uroczysta gala IT Reseller. Zobacz film z rozdania prestiżowych nagród branżowych!