V červenci 2019 vydala společnost Bitglass report o aktuálním stavu cloudové bezpečnosti. Hlavním cílem reportu, který každoročně sleduje skrze názory IT specialistů, jak se mění přístup organizací k využití cloudu a jeho zabezpečení, je identifikovat klíčové trendy, ale i aktuální zranitelnosti.

Letošní výsledky ukazují, že 75 % organizací využívá více různých cloudových řešení, ale pouze pětina má vhled do abnormálního chování uživatelů a toků dat napříč aplikacemi. Jelikož stále více organizací uchovává v cloudu citlivé informace (tedy z obchodního pohledu, ne z hlediska definice GDPR), jako jsou data o zákaznících (45 % respondentů), údaje o zaměstnancích (42 % respondentů) nebo duševní vlastnictví (24 % respondentů), je zavedení adekvátních bezpečnostních opatření poměrně kritické.

Věříme v bezpečnost cloudu?

Důvěra organizací v zabezpečení aplikací ve veřejných cloudech se v porovnání s on-premise aplikacemi v posledních čtyřech letech významně zvýšila. Zatímco v roce 2015 uvedlo 40 % IT odborníků, že věří, že aplikace ve veřejných cloudech jsou stejně bezpečné nebo bezpečnější než on-premise, podle letošního průzkumu veřejnému cloudu takto věří více než dvě třetiny dotázaných specialistů (67 %).

Navzdory tomu devět z deseti respondentů (93 %) uvedlo, že mají ohledně zabezpečení cloudu přinejmenším mírné obavy. Jinými slovy organizace vědí, že cloud sám o sobě je vysoce bezpečný, ale bojují s vlastní odpovědností za jeho bezpečné používání.

Čeho se bojíme?

Od roku 2018 se nejobávanějším vektorem úniku dat stal malware, označila jej takto více než čtvrtina respondentů (27 %). Obavy z úniku dat prostřednictvím nespravovaných cloudových aplikací naopak poklesly z 12 % v roce 2018 na letošních 5 %, což může ukazovat uvědomění organizací, že existují i vážnější hrozby pro únik informací, než je shadow IT.

Obavy ze zranitelností na úrovni aplikační infrastruktury klesly z 21 % v roce 2018 na 9 % v roce 2019. Současně se však posunuly obavy z nesprávných konfigurací z pomyslného středu (12 %) na třetí místo (20 %). Tyto statistiky opět potvrzují rostoucí povědomí o tom, že samotná bezpečnost cloudu nestačí, ale organizace ho musí používat bezpečným způsobem.

Priority v zabezpečení cloudu

Ačkoliv se v posledních letech pořadí hlavních priorit v zabezpečení cloudu v organizacích mění, tři hlavní priority letos i přes mírné prohození pozic zůstávají. Stále mezi ně patří (v tomto pořadí) ochrana před malwarem, dosažení shody s předpisy a zabezpečení nejpoužívanějších aplikací.

Odhalování nespravovaných aplikací se posunulo z loňského čtvrtého místa na šesté a prohodilo si tak pozici s odhalováním nesprávné konfigurace cloudu. To potvrzuje i zmíněný nárůst podílu nesprávné konfigurace mezi obavami. Ačkoliv je tzv. shadow IT zjevně stále v organizacích problém, velká narušení zabezpečení dat, např. způsobená chybou v nastavení bucketu v AWS, která se v posledních letech dostala do médií, zřejmě vzbudila pozornost v oblasti korektní konfigurace cloudových platforem a aplikací.

Lehce alarmující je, že se z pátého místa neposouvá v žebříčku priorit nahoru zabezpečení mobilních zařízení, přestože podle nedávného průzkumu společnosti Bitglass 85 % dotázaných společností nyní umožňuje pracovníkům používat vlastní zařízení (BYOD).

Jak cloud chráníme?

Mezi nejčastěji používané funkce cloudového zabezpečení patří kontrola přístupu (52 %) a anti-malware (46 %). Přesto lze vzhledem ke zjištěným procentům říct, že tyto a další uváděné funkce jako single sign-on (26 %) a ochrana před únikem dat (20 %) nejsou dostatečně často využívané.

Kromě toho, dvě třetiny respondentů uvedly, že tradiční bezpečnostní nástroje v cloudu nefungují nebo zde mají omezenou funkčnost. To je další jasný důvod, proč je implementace vhodných řešení cloudové bezpečnosti kritická.

Úspěšná obrana proti malwaru vyžaduje, aby organizace využívaly třívrstvou strategii, která pokrývá zařízení (ochrana koncových bodů), podnikovou síť (zabezpečené webové brány) a cloud. Některé cloudové aplikace sice obsahují určité prvky vestavěné ochrany před malwarem, ale nedá se to říct o většině z nich. Proto je nezbytná kombinace několika nástrojů.

Cloud access security brokery (CASB) mohou řadu těchto bezpečnostních funkcí v cloudu poskytnout. I proto se možná použití CASB pro ochranu před malwarem se v dotázaných organizacích zvýšilo z 20 % v roce 2018 na 31 % v roce 2019.

Použití agentů pro zabezpečení osobních zařízení se snížilo ze 38 % v roce 2018 na 30 % v roce 2019. Důvodem poklesu mohou být obavy zaměstnanců z narušení soukromí a komplikace spojené s instalací na koncových bodech. Bezagentová řešení tak získávají určitou výhodu. Na druhou stranu vzrostl podíl organizací (z 21 % na 27 %), které blokují přístup zaměstnanců z osobních zařízení k podnikovým datům. V 21. století ale nemůžeme čekat nic jiného, než že to bude mít negativní dopady na efektivitu a flexibilitu práce zaměstnanců.

Jak do cloudového provozu vidíme

Zatímco relativně vysoké procento organizací, které mají přehled nad přihlašováním uživatelů (69 %), naznačuje, že byl učiněn první krok k zabezpečení cloudu (nasazení správy identit), mnoha organizacím v roce 2019 stále chybí přehled a kontrola nad tím, co se stane po přihlášení uživatele. To je pravděpodobně způsobeno několika faktory, jako je vzestup BYOD a souvisejícími výzvami, s nimiž se potýkají organizace snažící se udržet kontrolu nad svými daty.

I přes mírný nárůst od loňského roku stále jen 20 % dotázaných organizací disponuje nějakou viditelností do anomálního chování napříč cloudovými aplikacemi. Proč je to důležité? Protože jen čtvrtina respondentů v průzkumu dnes používá pouze jeden cloud. Bohužel se však viziblita/přehled organizací napříč ostatními kategoriemi od roku 2018 snížila. Může to být způsobeno rostoucím počtem cloudových aplikací a osobních zařízení, nad nimiž se IT snaží získat kontrolu.

Z naší zkušenosti přitom pro vysvětlení závažnosti často v organizaci stačí v rámci testování nakonfigurovat vhodný nástroj jako SAML k poskytovateli identit a na interaktivní mapě pak ukázat, z jakých míst po celém světě a kdy se uživatelé připojují k jejím aplikacím. Už zde lze často prezentovat logický nesoulad přístupů, které mohly být automaticky blokované a účty nahlášené administrátorovi.

Cena jako hlavní parametr výběru cloudového zabezpečení

Je trochu ironie, že hlavním faktorem, podle kterého se firmy rozhodují při výběru poskytovatele cloudového zabezpečení, je cena. Přitom náklady, které organizaci vzniknou únikem dat nebo narušením zabezpečení, budou s největší pravděpodobností mnohem vyšší než investice do spolehlivé ochrany.

Mezi dalšími kritickými faktory při výběru pak respondenti uváděli snadnou implementaci (46 %), zda je řešení cloudově-nativní (45 %), snadné vynucení zásad zabezpečení napříč cloudy (36 %) a možnosti integrace řešení s různými cloudovými platformami (36 %).

Na co nezapomenout

Pro organizace, které se rozhodují, zda chtějí svým zaměstnancům umožnit přístup k firemním zdrojům v cloudu odkudkoliv, může být obrana před malwarem a udržení přehledu nad daty obtížný proces. Zatímco zavedení BYODu a povolení přístupu ke cloudovým aplikacím a datům poskytuje vyšší produktivitu a efektivitu, otevírá také malwaru další útočné vektory, kterými může proniknout do podniku.

Využití SaaS, on-line aplikací a cloudových úložišť v organizacích roste, stejně tak se zvyšuje povědomí a uvědomění potřeb v oblasti jejich zabezpečení. Přesto většině organizací stále chybí dostatečný přehled o tom, co se s jejich daty v cloudu děje a zda některý z uživatelů nevykazuje známky podezřelého chování.

Na základě hlavních zjištění reportu proto můžeme doporučit, aby organizace při výběru cloudových bezpečnostní nástrojů upřednostnily řešení, která chrání přístup k datům z libovolných zařízení v reálném čase, a blokují malware nultého-dne bez nutnosti instalovat na koncové body agenty.

Václav Paur Autor článku je CTO společnosti VPGC, která je distributorem CASB Bitglass.