Dostawcy usług chmurowych mają do dyspozycji bardziej nowoczesną, bezpieczniejszą infrastrukturę niż wiele organizacji mogłoby zbudować samodzielnie.
Oznacza to, że klienci korzystają z nowoczesnej technologii, spełniającej najwyższe standardy bezpieczeństwa, która przewyższa heterogeniczne, zawierające wiele przestarzałych elementów środowiska lokalne. Jeśli tylko wybiorą właściwych partnerów specjalizujących się w bezpieczeństwie i zrozumieją koncepcję współdzielonej odpowiedzialności w chmurze, będą mogli skutecznie ograniczyć zagrożenia.
Z opublikowanego raportu Verizon 019 Data Breach Investigations wynika, że jedna czwarta przeanalizowanych naruszeń bezpieczeństwa danych była rezultatem ataków na aplikacje webowe.
- Sondaż przeprowadzony wśród 850 specjalistów ds. bezpieczeństwa z całego świata ukazuje rosnące zaufanie do wdrożeń w chmurze publicznej. Ponad dwie piąte (44 proc.) respondentów uważa obecnie, że są one równie bezpieczne, co środowiska lokalne, a 21 proc. twierdzi, że nawet bezpieczniejsze. Co więcej, 60 proc. mówi, że są „dość” albo „bardzo” przekonani, że ich organizacja używa technologii chmurowych w bezpieczny sposób.
Nie jest to jednak pełny obraz. Respondenci nadal nie są skłonni do przechowywania wrażliwych danych w chmurze, przy czym na pierwszych miejscach listy znalazły się informacje o klientach (53 proc.) oraz wewnętrzne dane finansowe (55 proc.). Skarżą się na niedobór umiejętności w zakresie cyberbezpieczeństwa (47 proc.) oraz brak widoczności (42 proc.) jako czynniki utrudniające zabezpieczenie danych w chmurze. A ponad połowa (56%) nie jest pewna, czy ich chmurowy system jest zgodny z przepisami.
Czy niektóre z tych obaw mają związek z zagrożeniami dla aplikacji webowych?
Witryny celem ataków
Aplikacje webowe są wszechobecną, ale często słabo rozumianą częścią nowoczesnej, ukierunkowanej na chmurę organizacji. Jako metoda dostarczania pozytywnych doświadczeń klientom przy korzystaniu z naszych usług oraz zwiększania produktywności pracowników, aplikacje webowe są łakomym kąskiem dla cyberprzestępców, którzy próbują wykraść wrażliwe dane i zakłócić kluczowe procesy biznesowe. Badania firmy Forrester z 2018 r. pokazały, że najczęstszą przyczyną udanych włamań były ataki zewnętrzne – których największa część skupiała się właśnie na aplikacjach webowych (36 proc.).
Z sondażu Barracuda Networks wynika, że ponad połowa (59 proc.) globalnych firm dysponuje zaporami aplikacji webowych (web app firewall, WAF), które ograniczają te zagrożenia. Najpopularniejszą opcją jest nabycie WAF od zewnętrznego dostawcy (32 proc.), co ma sens, pod warunkiem, że zapora może ochronić klientów przed zautomatyzowanymi botami, które dominują w krajobrazie zagrożeń. Niestety nie wszystkie to potrafią.
Łatanie i konfigurowanie
Jednakże większe obawy budzi to, że wiele organizacji nie traktuje poważnie zagrożeń stwarzanych przez luki w zabezpieczeniach aplikacji webowych. 13 proc. twierdzi, że w ciągu minionych 12 miesięcy nie instalowało poprawek w swoich platformach lub serwerach aplikacji webowych. Spośród tych, którzy to zrobili, ponad jednej trzeciej (38 proc.) zajęło do od 7 do 30 dni, a jednej piątej (21 proc.) – ponad miesiąc.
Właśnie takie podejście przysporzyło poważnych problemów firmie Equifax, która nie załatała niezwłocznie usterki Apache Struts 2, co doprowadziło do gigantycznego naruszenia bezpieczeństwa danych, które dotychczas kosztowało ponad 1,4 mld dol. Jest to oczywiście przykład skrajny, który podkreśla jednak potencjalne ryzyko dla firm.
Innym potencjalnym obszarem ryzyka w środowiskach aplikacji webowych są ludzkie błędy. Tegoroczne włamanie do Capital One, które wpłynęło na ponad 100 milionów klientów amerykańskiego banku, przypisano błędnej konfiguracji opensourcowej zapory WAF.
Około 39 proc. respondentów podało, że nie mają zapory WAF, ponieważ ich aplikacje nie przetwarzają żadnych wrażliwych danych. Ataki nie skupiają się jednak wyłącznie na kradzieży danych, mogą też zakłócać usługi o krytycznym znaczeniu dla funkcjonowania firmy. Zapory WAF z pewnością nie są panaceum na wszystkie problemy. Jednak jako część wielowarstwowego podejścia do cyberbezpieczeństwa stanowią ważne narzędzie w walce z ryzykiem biznesowym.
Podsumowanie
Rosnące zaufanie do chmury umożliwia transformację cyfrową w organizacjach różnej wielkości, ale nie jest to powodem do zaniechania czujności. Cyberprzestępcy koncentrują się na lukach w zabezpieczeniach i słabych punktach, które w przeszłości bywały ignorowane, a wiele organizacji nie jest świadomych, jak te wielowarstwowe ataki mogą się rozwinąć się z jednego punktu dostępu. Zabezpieczenia aplikacji webowych i zarządzanie postawą wobec zagrożeń chmurowych to kluczowe narzędzia, które klienci muszą wdrożyć, aby kontynuować transformację cyfrową w bezpiecznej chmurze.
Hasło jest ważne: 2019 Verizon „Data Breach Investigation”/PDF
Oto kilka wskazówek, które pomogą zapewnić bezpieczeństwo w chmurze:
- Upewnij się, że zapory WAF chronią wszystkie aplikacje. Jeśli nawet aplikacja nie wchodzi w bezpośrednie interakcje z odwiedzającymi, nie zakładaj, że nie może zostać wykorzystana jako wektor ataku. Napastnik wykorzysta każdą znalezioną lukę w zabezpieczeniach, choćby po to, aby uzyskać dostęp do Twojej sieci i cenniejszych zasobów.
- Nie pozostawiaj bezpieczeństwa aplikacji w rękach swojego zespołu deweloperów. Nie są oni ekspertami od bezpieczeństwa i nie za to im płacisz – ich zadaniem jest tworzenie jak najlepszych produktów.
- Wdróż rozwiązanie klasy Cloud Security Posture Management – nie tylko wyeliminuje ono wiele zagrożeń i usterek oraz zapewni zespołowi deweloperów ramy do „bezpiecznego budowania”, ale również znacznie uprości usuwanie skutków ataku oraz przyspieszy dochodzenie w razie ewentualnych problemów.
Verizon 2019 Data Breach Investigations Report
