Cloud security is een gedeelde verantwoordelijkheid
Organisaties gaan met steeds meer bedrijfsonderdelen naar de cloud. Tijdens de huidige pandemie hebben organisaties versneld ondervonden hoe belangrijk het is een werkplek in te richten, waarmee medewerkers instaat worden gesteld flexibel en efficiënt vanuit huis samen te werken.
Bij deze verschuiving naar de cloud is het belangrijk om te beseffen dat de verantwoordelijkheid omtrent securitycomponenten een gedeelde verantwoordelijkheid worden van de afnemende partij (de organisatie) en de cloud provider (Microsoft). Microsoft noemt security in een cloud omgeving een gedeelde verantwoordelijkheid (‘shared responsibility’), waarbij Microsoft de moderne security tools levert en jij zelf zorg dient te dragen voor de juiste configuratie van deze diensten, het juiste gebruik ervan en de opvolging van de gedetecteerde dreigingen. Wie verantwoordelijk is voor welk onderdeel hangt af van de dienst die wordt afgenomen bij de cloud provider. In Figuur 1 is een overzicht te zien van de gedeelde verantwoordelijkheden bij een verschuiving naar de cloud.
Figuur 1: Het ‘gedeelde verantwoordelijkheid’ model
Waarom moet het veiliger?
Niet alleen organisaties verplaatsen zich naar de cloud, maar ook hackers richten zich steeds meer op de cloud. Dit is een logisch gevolg van deze transitie omdat de cloud steeds meer bereikbaar moet zijn vanaf het publieke internet. Uit cijfers van het CBS blijkt dat de kans op aanvallen exponentieel toeneemt naarmate een bedrijf groeit (cybersecuritymonitor-2019 CBS). Het gevolg van een aanval is dat er hoge kosten gemoeid gaan als gevolg van directe schade, schade als gevolg van vertrouwen en voor het herstel na een aanval.
Daarnaast geldt in de gehele EU sinds 2018 de privacywetgeving: de Algemene verordening gegevensbescherming (AVG). Sinds de inwerkingtreding van de AVG hebben bedrijven een beveiligingsverplichting en een meldingsplicht bij datalekken. Het gevolg van onvoldoende passende maatregelen kan leiden tot hoge boetes. Uit cijfers van het CBS blijkt dat er een toenemende trend is in het aantal datalekken bij bedrijven in verschillende sectoren.
Hoe bescherm je jouw Microsoft omgeving?
De voordeur van een organisatie is net zo goed beveiligd, als de zwakste schakel van het slot op de deur. Een aanvaller werkt volgens een zogenoemde ‘kill chain’ waarbij een aanval in fases wordt uitgevoerd. Zie figuur 2.
Zo wordt bijvoorbeeld in een Reconnaissance fase opzoek gegaan naar aanvalshoeken waar een organisatie kwetsbaar voor is. Deze zwakste schakel binnen een omgeving zorgt voor een opening die een aanvaller gebruikt om zich verder te bewegen binnen een organisatie om zo buit te halen.
Figuur 2: 8 fases van een ‘kill chain’
Het Cloud Security Center werkt daarom met vijf Protection Packs die complementair aan elkaar zijn, zodat de gehele Microsoft Cloud omgeving wordt beveiligd tegen alle fases van de ‘kill chain’.
Deze Protection Packs zijn respectievelijk Identity Protection, Endpoint Protection, Apps & Data Protection, Infrastructure Protection en Web Application Protection.
Identity Protection beschermt de accounts en identiteiten binnen een organisatie door degene met een verhoogd risico in kaart te brengen en afwijkend gedrag ervan op te sporen. Een aanval op of door middel van een gebruikers account wordt hiermee in de kiem gesmoord.
Endpoint Protection beschermt de apparaten van gebruikers door het detecteren en wegnemen van bedreigingen die schade kunnen veroorzaken aan het apparaat en een ingang kunnen bieden voor criminelen.
Apps & Data Protection zorgt ervoor dat er ook bescherming is op applicatie en data niveau. Zo wordt ongebruikelijk gedrag binnen cloud applicaties gedetecteerd en is er bescherming van o.a. e–mail. Dit beschermt de organisatie tegen aanvallen als phising, ransomware en malware met bijvoorbeeld e-mail als ingang.
Infrastructure Protection beschermt de infrastructuur binnen een organisatie. Steeds meer workload verplaatsen zich naar de cloud. Dit vraagt om bescherming in de cloud door middel van bijvoorbeeld netwerk segmentering. Infrastructure Protection beschermt door het detecteren en wegnemen van bedreigingen die schade kunnen veroorzaken aan de infrastructuur.
Web Application Protection biedt bescherming voor webapplicaties door het afweren van aanvallen en een hoge beschikbaarheid van de applicaties te realiseren.
Figuur 3: bescherming van de gehele Microsoft omgeving
Microsoft security intelligence
Microsoft is constant bezig met het updaten van de security intelligence van de producten. Zo wordt er continue data verzameld van de laatste gevaren en aanvallen op het internet. Een aanval aan andere kant van wereld zorgt ervoor dat detectie logica van de Microsoft producten dusdanig wordt bijgesteld dat je omgeving binnen enkele minuten beschermd is tegen die bedreiging.
De rol van het InSpark Cloud Security Center
Het Cloud Security Center van InSpark is een Cloud SOC (Security Operations Center). De SecOps afdeling is voornamelijk bezig met Threat Management en Vulnerability Management.
In de basis kent een gedegen cloud security aanpak de volgende aandachtsgebieden:
- Bescherming van de cloud omgeving (assets zoals gebruikers en infrastructuur),
- Continue detectie van dreigingen binnen jouw cloud omgeving
- Snel en adequaat reageren op (potentiële) aanvallen en kwetsbaarheden.
- Real-time vulnerability monitoring en periodiek overleg
Deze processtappen corresponderen met de Protect, Detect & Respond fasen van het internationale NIST Cybersecurity framework. Zie figuur 4.
Figuur 4: Het NIST cybersecurity framework
In de Protect fase richten onze consultants de omgeving in volgens onze security baseline waarmee de kans op aanvallen wordt geminimaliseerd. Nadat een omgeving door middel van onze standaarden is ingericht zal deze overgedragen worden naar ons Cloud SOC. Daarvanuit werken wij in de fases Detect & Respond. Detect is het detecteren van IoC’s (Indicators of Compromise) in de vorm van security alerts. Respond is het reageren op alerts door het nemen van mitigerende acties waar van toepassing.
Vulnerability Management (Pre-breach) Dit heeft betrekking op de Protect–fase uit het NIST framework, waarbij er alles aan wordt gedaan om te voorkomen dat een hacker toegang krijgt tot je cloud omgeving. Er wordt een security baseline geïmplementeerd en daarnaast wordt gecontroleerd of aan alle security en privacy eisen wordt voldaan (denk bijvoorbeeld aan de AVG). Tevens kijken we naar een verkeerd geconfigureerde infrastructuur en ontbrekende (security) updates.
Threat Protection (Post-breach) Dit heeft betrekking op de Detect– en de Respond-fase uit het NIST framework. Hierbij is het doel om jouw cloud omgeving te beschermen tegen ‘ongoing‘ aanvallen van kwaadwillende personen. Zowel huidige pogingen om toegang te krijgen als bedreigingen die zich al binnen de omgeving bevinden worden gemonitord. Vervolgens kunnen deze bedreigingen 24/7 geneutraliseerd worden.
Wacht niet langer met het beschermen van jouw voordeur! Wil je meer weten? Wij vertellen je graag meer over de mogelijkheden.