Rośnie zainteresowanie korzystaniem z platformy jako usługi (PaaS) i in-frastruktury jako usługi (IaaS) do tworzenia aplikacji. Jak pokazuje naj-nowszy raport opracowany przez Vectra AI, korzyści wynikające z chmury należy zrównoważyć z zagrożeniami bezpieczeństwa, płynącymi z coraz bardziej złożonych, ewoluujących wdrożeń — zwłaszcza w usługach chmury publicznej, takich jak Amazon Web Services (AWS).
| REKLAMA | ||
 |
Vectra AI zbadała, w jaki sposób organizacje radzą sobie z bezpieczeństwem swoich wdrożeń w AWS. 70% badanych firm stanowiły duże organizacje zatrudniające ponad 1000 pracowników – wszystkie doświadczyły incydentu związanego z bezpieczeń-stwem w swoim środowisku chmury. Oto główne wnioski:
36% osób biorących udział w badaniu Vectra AI to osoby pełniące role związane z bezpieczeństwem. Jak ujawniło badanie, inżynierowie bezpieczeństwa szukają kom-pleksowych dashboardów nawigacyjnych, które umożliwiają globalny przegląd infra-struktury firmy i niechcianej aktywności. Chcą być bardziej wydajni, jeżeli chodzi o czas na wdrażanie nowych funkcji i poprawek błędów, a także pomagając dewelope-rom we wdrażaniu, kompilowaniu i wydawaniu oprogramowania. Są sfrustrowani kry-zysami, które zużywają firmowe zasoby, a które są możliwe do uniknięcia. Chcą też być proaktywni, unikać niepotrzebnej, reaktywnej pracy.
71% badanych korzysta z więcej niż czterech usług – to sprawia, że są jeszcze bar-dziej narażeni na ataki. Tylko 29% korzysta z trzech usług AWS — S3, EC2, IAM. 64% respondentów DevOps wdraża nowe usługi przynajmniej raz w tygodniu.
Niezależnie od pełnionych ról, wszyscy specjaliści ds. bezpieczeństwa potrzebują narzędzi, które pomogą im mądrze wykorzystać czas i ustalić priorytety, zapobiegać incydentom bezpieczeństwa i przewidywać ruchy atakujących.
Brak procedur potwierdzenia wdrożenia przed przejściem do produkcji
Bezpieczna konfiguracja chmury, ze względu na rozmiar, skalę i ciągłe zmiany w ob-ciążeniach pracą i infrastrukturze, pozostanie bardzo trudnym zadaniem.
30% ankietowanych organizacji nie ma procedury formalnego potwierdzenia wdroże-nia przed przejściem do produkcji, a 40% przyznaje, że nie korzysta z przepływów pracy DevSecOps. To pokazuje, że chmura rozrosła się do tego stopnia, że jej bez-pieczne skonfigurowanie jest prawie niemożliwe. I chociaż można kilka aplikacji skon-figurować tak, aby docierały do odpowiednich usług, przy liczbie osób, które mają do-stęp do modyfikowania zarówno aplikacji, jak i usług, ryzyko jest zwielokrotnione o rząd wielkości.
Brak holistycznych rozwiązań
40% badanych organizacji deklaruje korzystanie z AWS w trzech lub więcej obsza-rach.
Natywne narzędzia do wykrywania zagrożeń oferowane przez dostawców usług w chmurze wymagają jednej konsoli dla każdego regionu, specjaliści ds. bezpieczeń-stwa muszą więc manualnie badać to samo zagrożenie w każdej konsoli regionalnej. Ponadto, natywne narzędzia wstrzymują tych, którzy próbują zautomatyzować działa-nia i mogą zwiększyć ryzyko skutecznego naruszenia bezpieczeństwa.
Bezpieczna i pewna konfiguracja chmury będzie nadal testować zdolność wielu orga-nizacji do obrony przed dzisiejszymi atakami. Starsze narzędzia zabezpieczające punkty końcowe są regularnie omijane przez cyberprzestępców, a nowy krajobraz chmurowy to dla cyberprzestępców Dziki Zachód.
Ponieważ organizacje nie zrezygnują z chmury, kontrola zagrożeń bezpieczeństwa musi pozostać priorytetem.
Źródło: Vectra AI
- Firmy intensywnie inwestują w operacje związane z bezpieczeństwem. Ponad połowa badanych firm zatrudniała dwucyfrową liczbę pracowników w centrach opera-cji bezpieczeństwa (SOC). Wzrost liczby pracowników potwierdzają również inne źró-dła danych i wskazują na ciągły wzrost wynagrodzeń analityków bezpieczeństwa, na których obecnie jest duże zapotrzebowanie.
- Zarówno pracownicy ds. bezpieczeństwa, jak i DevOps starają się być proak-tywni i prewencyjni w swoich rolach. Chcą mieć możliwość przewidywania potencjal-nych zagrożeń lub luk w zabezpieczeniach, zanim wykryją je hakerzy.
- Ryzyko rośnie wykładniczo, ponieważ coraz więcej osób uzyskuje dostęp do środowiska AWS. Oczekuje się, że wyzwania związane z bezpieczną konfiguracją chmury nadal będą rosnąć w najbliższej przyszłości ze względu na rozmiar, skalę i ciągłość zmian.
- Organizacje poszukują większej kontroli nad usługami AWS. Jeśli nie ma roz-wiązania do monitorowania konkretnej usługi, zespoły ds. bezpieczeństwa nie mają możliwości sprawdzenia, czy usługa nie jest wykorzystywana przez hakerów, co ujawnia ogromny ślepy punkt.
- Chmura rozwinęła się tak bardzo, że bezpieczna i niezawodna konfiguracja jest obecnie prawie niemożliwa. Prawie jedna trzecia ankietowanych organizacji nie posiada procedur formalnego potwierdzenia przed przejściem na produkcję, a 64% z nich wdraża nowe usługi co tydzień lub częściej.
- Potrzebne jest rozwiązanie, które zapewni kompleksowe bezpieczeństwo w różnych obszarach. Specjaliści ds. bezpieczeństwa chcą automatyzacji działań w celu zwiększenia skuteczności. Zwiększenie nakładów pracy dodatkowymi zadaniami ma-nualnymi tylko ich spowolni.
36% osób biorących udział w badaniu Vectra AI to osoby pełniące role związane z bezpieczeństwem. Jak ujawniło badanie, inżynierowie bezpieczeństwa szukają kom-pleksowych dashboardów nawigacyjnych, które umożliwiają globalny przegląd infra-struktury firmy i niechcianej aktywności. Chcą być bardziej wydajni, jeżeli chodzi o czas na wdrażanie nowych funkcji i poprawek błędów, a także pomagając dewelope-rom we wdrażaniu, kompilowaniu i wydawaniu oprogramowania. Są sfrustrowani kry-zysami, które zużywają firmowe zasoby, a które są możliwe do uniknięcia. Chcą też być proaktywni, unikać niepotrzebnej, reaktywnej pracy.
71% badanych korzysta z więcej niż czterech usług – to sprawia, że są jeszcze bar-dziej narażeni na ataki. Tylko 29% korzysta z trzech usług AWS — S3, EC2, IAM. 64% respondentów DevOps wdraża nowe usługi przynajmniej raz w tygodniu.
Niezależnie od pełnionych ról, wszyscy specjaliści ds. bezpieczeństwa potrzebują narzędzi, które pomogą im mądrze wykorzystać czas i ustalić priorytety, zapobiegać incydentom bezpieczeństwa i przewidywać ruchy atakujących.
Wiele współczesnych narzędzi obejmuje tylko ułamek usług wdrażanych przez większość organizacji. Opracowana przez nas Vectra Detect dla AWS wykorzystuje sztuczną inteligencję do wykrywania, ustalania priorytetów i automatycznego zatrzymywania zaawansowanych ataków obejmujących globalne środowiska AWS. Pomaga DevOps pewnie migrować, rozwijać i wdrażać więcej apli-kacji z dużą szybkością, elastycznością i skalowalnością. Z kolei dzięki wbudowanym w chmurę możliwościom wykrywania i reagowania na zagrożenia, zmniejsza ryzyko, że atakujący wykorzystają usługi AWS – wyjaśnia Christian Putz, Country Manager Vectra AI.
Brak procedur potwierdzenia wdrożenia przed przejściem do produkcji
Bezpieczna konfiguracja chmury, ze względu na rozmiar, skalę i ciągłe zmiany w ob-ciążeniach pracą i infrastrukturze, pozostanie bardzo trudnym zadaniem.
30% ankietowanych organizacji nie ma procedury formalnego potwierdzenia wdroże-nia przed przejściem do produkcji, a 40% przyznaje, że nie korzysta z przepływów pracy DevSecOps. To pokazuje, że chmura rozrosła się do tego stopnia, że jej bez-pieczne skonfigurowanie jest prawie niemożliwe. I chociaż można kilka aplikacji skon-figurować tak, aby docierały do odpowiednich usług, przy liczbie osób, które mają do-stęp do modyfikowania zarówno aplikacji, jak i usług, ryzyko jest zwielokrotnione o rząd wielkości.
Brak holistycznych rozwiązań
40% badanych organizacji deklaruje korzystanie z AWS w trzech lub więcej obsza-rach.
Natywne narzędzia do wykrywania zagrożeń oferowane przez dostawców usług w chmurze wymagają jednej konsoli dla każdego regionu, specjaliści ds. bezpieczeń-stwa muszą więc manualnie badać to samo zagrożenie w każdej konsoli regionalnej. Ponadto, natywne narzędzia wstrzymują tych, którzy próbują zautomatyzować działa-nia i mogą zwiększyć ryzyko skutecznego naruszenia bezpieczeństwa.
Bezpieczna i pewna konfiguracja chmury będzie nadal testować zdolność wielu orga-nizacji do obrony przed dzisiejszymi atakami. Starsze narzędzia zabezpieczające punkty końcowe są regularnie omijane przez cyberprzestępców, a nowy krajobraz chmurowy to dla cyberprzestępców Dziki Zachód.
Ponieważ organizacje nie zrezygnują z chmury, kontrola zagrożeń bezpieczeństwa musi pozostać priorytetem.
Źródło: Vectra AI
