Bruker du skyløsninger? Da har du mest sannsynlig mistet viktig kontroll over IT-sikkerheten.
De fleste virksomheter har allerede flyttet eller er på vei til å flytte sine IT-miljøer fra egne servere til skyen. Da er det kritisk å være klar over at leverandøren av skyløsninger ikke er ansvarlig for IT-sikkerheten. Det er alltid ditt ansvar å beskytte egne data.
Du har kanskje hørt om shared responsibility, det vil si delt ansvar, når du bruker en ekstern skyleverandør i stedet for egne servere. Det gir et litt misvisende inntrykk av at skyleverandøren deler ansvaret for IT-sikkerheten i dine systemer. Mange tror til og med at skyleverandøren overtar hele ansvaret. Slik er det ikke.
Skyleverandøren har ansvaret for at plattformen de leverer er tilgjengelig og sikker, men ikke at dine data er det. Det er virksomheten som eier dataene som har ansvaret for at disse er sikret godt nok enten de er lagret i skyen eller on-prem (egne fysiske servere og IT-infrastruktur).
Bufferen for IT-sikkerhet har forsvunnet i skyen
Det kan sammenlignes med forskjellen på å eie en gammel Volvo 740 og en Tesla. I eldre biler har du full oversikt under panseret og alle bilens deler. Du hadde mulighet til å gjøre det meste av reparasjoner selv, forutsatt grunnleggende innsikt i bil.
Har du en Tesla, er du helt avhengig av at et autorisert verksted løser alle problemer som måtte dukke opp. Du mister altså en del av kontrollen som du skal ha og er lovpålagt å ha, når du bruker skyløsninger.
Dette er en konsekvens av at også infrastruktur leveres som en tjeneste. Tidligere måtte alle endringer gjennom infrastrukturteamet som fungerte som en IT-sikkerhetsbuffer. Denne bufferen er nå borte. Infrastruktur som en tjeneste innebærer at utviklerne blir fristilt fra den tradisjonelle IT-avdelingen og kan sende ut nye oppdateringer i programvare og applikasjoner uten å involvere andre.
Sikkerhetsavdelingen er ikke lenger inne i loopen. Du er ikke lenger direkte involvert. Dermed har du mistet et viktig sikkerhetslag.
Les også: Tar du IT-sikkerhet så alvorlig som du burde? Antagelig ikke.
Du må ta tilbake kontrollen over IT-sikkerhet i skyen
Når du flytter dine data inn i en leverandørs infrastruktur, mister du oversikten du hadde og sikkerhetsmekanismene du hadde satt i verk on-prem. Du bør finne en måte å få tilbake den kontrollen på uten at det går utover utviklernes fleksibilitet.
Du må finne et verktøy som gir deg mulighet til å samhandle med utviklerne, som gir deg oversikt og mulighet til å sette inn sikkerhetstiltak før oppdateringen av tjenesten rulles ut. IT-sikkerhetsteamet må kobles på så tidlig som mulig i utviklingsprosessen, slik at man forhindrer at det rulles ut tjenester med kjente sårbarheter og feilkonfigurasjoner.
Uten en slik sikkerhetsmekanisme risikerer du at en konfigurasjonsfeil dupliseres mange ganger som igjen fører til tusenvis alarmer som det er nesten umulig å rydde opp i etterkant. Du er avhengig av et verktøy som gir sikkerhetsteamet den nødvendige oversikten på et tidlig tidspunkt og mulighet for samhandling og innsikt. Da kan du fjerne sårbarheter og feilkonfigurasjoner på et så tidlig tidspunkt som mulig.
Som IT-sjef eller sikkerhetsansvarlig trenger du følgende
- Oversikt over hvordan skymiljøet ser ut
- Oversikt over hvilke tjenester og applikasjoner utviklerne planlegger å rulle ut
- Et verktøyt som lar deg bli en naturlig del av utviklernes prosess fra starten av! Det vil si shift-left-security. Du må komme deg inn i prosessen så langt til venstre som mulig, det vil si, så tidlig som mulig.
Høres dette komplisert ut? Det trenger det ikke være og det er en dårlig ide å stikke hodet i sanda og tenke at «Jeg vil ikke ha noe med skyløsningene å gjøre».
Still deg dette enkle spørsmålet: Når virksomheten din blir angrepet, fordi en kjent sårbarhet har blitt rullet ut av utviklerne. Hvem er det som må svare på kritiske spørsmål fra medie-Norge? Er det deg som IT-sjef og/eller sikkerhetsansvarlig eller utviklerteamet i Litauen?
Det er ditt ansvar, da må du sørge for nødvendig kontroll.
Les også: Hvor sikker er egentlig skyen din? En sjekkliste i 3 faser
Alle nye applikasjoner vil bli født i skyen i 2025
Å ta i bruk skyløsninger innebærer altså at du må ha en ny tilnærming til IT-sikkerhet. Du må endre måten du jobber på, slik at du har tilsvarende innsyn og kontroll som du hadde med egne servere. Dette er et voksende problem. Dermed er det lurt å ta grep så tidlig som mulig. Ifølge Gartner vil 95 % av alle applikasjoner som rulles ut i 2025 være cloud native, det vil si at de er født i skyen.
Problemet med publisering av kjente sårbarheter er som en konsekvens kraftig økende. Utviklere henter 75 % av applikasjonskoden sin fra open source kilder, ifølge Forrester. Undersøkelser gjennomført av Palo Alto Networks researchavdeling Unit42, viser at hele 81 % av all kodebase i open source inneholder sårbarheter.
Det betyr at dersom du ikke involverer IT-sikkerhetsteamet, kommer du garantert til å lansere tjenester og applikasjoner med en rekke sårbarheter cyberkriminelle kan utnytte. All tiden din vil brukt opp til brannslukking i stedet for proaktiv IT-sikkerhet.
Du trenger IT-sikkerhet som også er født i skyen
Så hva skal du gjøre med problemet? Du må skaffe deg et verktøy som gir deg den samme gode IT-sikkerheten i skyen som on-prem. Mange virksomheter bruker flere skyløsninger samtidig. Dermed må du ha et system som oppfyller kravene som ligger i GDPR samt som gir deg full kontroll over dataene i alle skyløsningene du bruker. Dette er altså ikke noe du bør vente med. Sikkerhetsinnsatsen må settes inn mot skyapplikasjonene.
Så hvorfor har ikke alle innsett dette for lenge siden? Det er selvsagt ikke slik at utviklerne ikke har noen sikkerhetsverktøy til rådighet. De har mange egne verktøy som de bruker, men uten at IT-sjefen eller sikkerhetssjefen er involvert. Ifølge Panaseer har store bedrifter i snitt 76 forskjellige sikkerhetsverktøy. Det betyr i praksis at man ender opp med at forskjellige avdelinger jobber med hvert sitt grensesnitt. Dermed ser man kun bruddstykker av totalbildet.
Cyberkriminelle tok over skyløsningen til en stor finansinstitusjon
Det er allerede mange eksempler på at cyberkriminelle utnytter denne svakheten. Utviklere gir ofte ut for vide rettigheter, når de ruller ut oppdateringer. De tar ofte snarveier som sikkerhetsteamet ikke har innsyn i. Palo Alto Networks har sett eksempler på at dette har ført til at angripere har kunnet ta over hele skykontoen til enkelte virksomheter, blant annet en stor finansinstitusjon. Det var ingen som oppdaget dette før etter at skaden var skjedd. Se illustrasjon.
Her ser du en applikasjon, i form av en mikrotjeneste for filbehandling som ble rullet ut i skyen. Appen brukes normalt på følgende måte: En bruker gjennomfører en filopplasting som lagres i skyen. Nettklienten sender en API-forespørsel til appen og varsler den om at en fil ble lastet opp + plasseringen og filnavnet. Mikrotjenesten henter filen og prosesserer den.
Men i dette tilfellet så skjedde det noe mer. Cyberkriminelle utnyttet en sårbarhet i applikasjonen, slik at det samtidig ble lastet opp skadelig programvare – malware. Den kjører en kode inne i containeren som angriper flere sikkerhetslag i skyapplikasjonen samtidig. Malwaren lar de kriminelle overta skykontoen og henter ut data. Siden angrepet settes inn mot flere sikkerhetslag, trenger du en løsning som får med seg hele spekteret av angrepet. Uten det, får du ikke med deg hvor omfattende angrepet er.
IT-sikkerhet i skyen krever at man bruker CNAPP
Så hvordan skal man klare å fange opp disse sårbarhetene så tidlig som mulig? IT-sikkerhet i skyløsninger krever andre tiltak enn når du har egne servere. Hovedårsaken er at skyen er flyktig. Den endrer seg hele tiden, fordi skyen er så skalerbar. Dermed trenger du et sikkerhetssystem som er født i skyen - en Cloud native security platform (CNSP). Det vil si en sikkerhetsplattform som er skreddersydd til å møte de spesielle sikkerhetsutfordringene skyen bringer med seg.
I en verden drevet av DevOps hvor hyppige endringer er normen må vi sørge for at sikkerhet blir en del av utviklingsprosessen så tidlig som mulig. Du trenger en sikkerhetsløsning som er skreddersydd for slike miljøer, en Cloud native application protection platform (CNAPP).
Prisma Cloud fra Palo Alto Networks er en slik plattform. Den er basert på «shift-left security». «Shift-left» innebærer at man tenker IT-sikkerhet så tidlig som mulig i prosessen under utvikling av nye applikasjoner. Først med en slik plattform på plass, har du sørget for tilstrekkelig sikkerhet før infrastruktur og applikasjoner settes i drift i skyen.
Vil du vite mer om hvordan en slik sikkerhetsplattform fungerer i praksis?
25. april arrangerer vi Cloud Security Day i Oslo i samarbeid med Palo Alto Networks hvor vi skal se nærmere på hvordan man kan sikre tjenestene i skyen.
Har du ikke mulighet til å bli med på et fysisk seminar i Oslo? Meld deg på vårt webinar 30. mars hvor temaet er applikasjonssikkerhet i skyen. Her ser vi nærmere hvordan man benytter seg av «shift left» for å sørge for at sikkerhet er på plass før infrastruktur og applikasjon blir satt i drift i skyen.
