In mijn vorige blog, de waarde van security, heb je al kunnen lezen dat er een nieuw cybersecurity tijdperk aangebroken is:
- Hackers worden niet beperkt door landsgrenzen en houden zich ook niet aan kantooruren. Bedreigingen kunnen dus overal vandaan komen en zijn 24/7 aanwezig.
- Regelgeving wordt steeds strenger (denk aan de AVG/GDPR) en de gevolgen van het niet naleven hiervan zijn enorm (boetes tot 4% van de wereldwijde jaaromzet zijn mogelijk).
Overal en altijd toegang
De traditionele security aanpak, waarbij je als het ware een groot hek om je IT-omgeving plaatst en op die manier zorgt dat aanvallers worden buitengehouden, werkt niet meer in een cloud omgeving. In de cloud ben je namelijk niet langer in staat om de gegevens van je organisatie binnen dit hek te houden. Medewerkers willen immers overal en altijd toegang tot hun data en applicaties.
Als je organisatie niet meegaat in deze ontwikkeling, gaat dit ten koste van de productiviteit van je medewerkers. Daarnaast maak je je als werkgever minder aantrekkelijk voor de jongere generaties. Ook zorgt het in veel gevallen voor gevaarlijke ‘schaduw IT’: omgevingen waarin gebruikers zelf oplossingen creëren en bestanden heen en weer mailen naar een platform dat buiten beheer van de IT-afdeling valt. Studies tonen aan dat maar liefst 80% van je medewerkers een of meerdere applicaties of cloud diensten gebruikt, waar je IT-afdeling geen weet van heeft.
Om te voorkomen dat gegevens onbeveiligd je organisatie verlaten, dien je een andere wijze van security toe te passen: beveiliging op basis van het ‘assume breach’ principe. Het is namelijk niet langer de vraag óf je wordt aangevallen en gehackt, maar wannéér dit gebeurt.
Het feit dat 91% van alle cyberaanvallen via e-mail binnenkomt, illustreert waarom het belangrijk is om beveiliging op meerdere niveaus toe te passen binnen je cloud omgeving. Geavanceerde e-mail ‘wasstraten’ worden steeds vaker toegepast binnen organisaties, maar desondanks blijft het risico op besmetting groot. 32% van alle onbekende malware besmettingen komt namelijk via e-mail binnen en in veel gevallen duurt het maanden voordat de organisatie er überhaupt achter komt dat er een hack heeft plaatsgevonden. Houd er dus rekening mee dat er altijd wel iemand is die op een foute link klikt, ongeacht welke e-mail filtering er ook toegepast wordt. Studies tonen aan dat maar liefst een op de tien gebruikers klikt op de links in deze phishing mails. Die worden overigens steeds geavanceerder door de komst van “Smart Phishing”, waarbij phishing mails in hoge mate gepersonaliseerd worden door AI algoritmes.
Meereizende beveiliging
In de cloud is het dus niet meer mogelijk om je hele omgeving, inclusief al je data, van de buitenwereld af te schermen. Daarom moet je uitgangspunt zijn dat de beveiliging met de data meereist. Zo is je beveiliging ook buiten je eigen IT-omgeving actief en dat is hard nodig zodra je bijvoorbeeld samenwerkt met collega’s, partners of leveranciers.
Een voorbeeld van ‘meereizende’ beveiliging is automatische dataclassificatie op basis van specifieke kenmerken, zoals bankrekeninggegevens, waardoor documenten niet zonder meer door derden geopend of per e-mail verstuurd kunnen worden. Deze automatische dataclassificatie is bedrijfsspecifiek te maken door documenttemplates te voorzien van specifieke kenmerken. InSpark heeft een oplossing ontwikkeld, waarmee je automatische classificaties kunt laten genereren op basis van bestaande documentensets, wat de benodigde tijd voor dataclassificatie aanzienlijk reduceert. Deze oplossing werkt op basis van Machine Learning en helpt bij de adoptie van deze technologie.
Schaalvoordelen door de cloud
Door de cloud kun je optimaal profiteren van de security schaalvoordelen die de cloud biedt en bundelt onder de term “Microsoft Intelligent Security Graph”. Daarbij wordt door Data en Machine Learning aangedreven intelligentie gebruikt om binnen een tijdsbestek van minuten malware te detecteren en op wereldwijde schaal dergelijke aanvallen af te slaan. Je wordt dus beschermd tegen bedreigingen en aanvallen, ook als ze niet binnen je eigen organisatie plaatsvinden. Zo profiteer je maximaal van de schaalgrootte van de cloud. Microsoft illustreert dit met een voorbeeld over de Bad Rabbit ransomware, waarbij binnen 14 minuten een wereldwijde malware uitbraak gedetecteerd én geblokkeerd werd.
De voordelen worden pas echt duidelijk als je een vergelijking maakt met beveiliging in een traditionele IT-omgeving, waarbij security researchers eerst handmatig onderzoek moeten doen, vervolgens een patch ontwikkelen en deze ten slotte ook nog eens moeten verspreiden. Bij het opstellen van de businesscase voor moderne cloud security moeten deze aspecten ook meegenomen worden.
Je bent zélf verantwoordelijk
Een grote misvatting is dat de cloud provider, bijvoorbeeld Microsoft, zorgt voor de volledige beveiliging van je cloud omgeving. De verantwoordelijkheid voor cloud security is een gedeelde verantwoordelijkheid tussen de cloud provider en de cloud gebruiker. De cloud provider levert de mogelijkheden en technologieën om jouw cloud optimaal te beveiligen en helpt om voor een veilige basis te zorgen. Maar de juiste configuratie en goed gebruik hiervan zijn voor rekening van de gebruiker. In de figuur hieronder staat grafisch weergegeven wat deze gedeelde verantwoordelijkheid bij Microsoft inhoudt.
Een voorbeeld van de wijze waarop Microsoft invulling geeft aan deze gedeelde verantwoordelijkheid, is het opkopen van te koop aangeboden datasets met gelekte credentials. Deze credentials worden vervolgens vergeleken met de credentials in de Azure Active Directory van jouw organisatie. In geval van een match, waarbij een van jouw gebruikers dus hetzelfde wachtwoord gebruikt als degene die voorkomt in een openbaar datalek, kun jij direct actie ondernemen.
Wat je als organisatie bijvoorbeeld zélf moet regelen, is account- en toegangsbeheer tot je cloud omgeving, maar ook 24/7 analyse van de mogelijke security dreigingen en de opvolging hiervan. Vergelijk het met je beveiliging van je huis: Microsoft levert goede sloten voor de voordeur, maar als je vervolgens de sleutel aan iedereen uitdeelt, is het slechts een kwestie van tijd voordat iemand ongewenst je huis binnenkomt. Indien je dan geen alarminstallatie hebt met bewegingssensoren, weet je vaak niet eens dat er een inbreker binnen is geweest.
Inregelen alleen is niet voldoende
Het inregelen van de juiste beveiliging is echter niet voldoende. De ontwikkelingen op het gebied van security volgen elkaar in zo’n rap tempo op dat het al een uitdaging op zich is om hiervan op de hoogte te blijven, temeer omdat expertise op dit gebied schaars is op de huidige arbeidsmarkt.
Daarnaast moet je niet alleen zorgen voor bescherming van je cloud, maar ook voor monitoring en opvolging van security incidenten. InSpark volgt hierbij het Protect, Detect & Respond framework van het National Institute of Science and Technology (NIST). Omdat aanvallen 24 uur per dag en 7 dagen per week kunnen plaatsvinden, dient je monitoring en opvolging ook hierop ingericht en afgestemd te zijn.
Heeft jouw organisatie de juiste kennis en capaciteit in huis om je cloud omgeving 24/7 te beschermen, monitoren en security incidenten op te volgen? Als het antwoord op deze vraag ‘nee’ is, dan doe je er goed aan om hiervoor een betrouwbare partij in te schakelen.