Det er viktig å være klar over at IT-sikkerheten ikke nødvendigvis er like godt ivaretatt i skyen som on-prem (egne fysiske servere og IT-infrastruktur). Husk at leverandøren av skyløsningen ikke overtar ansvaret for IT-sikkerheten til dine data. Det er et ansvar som ikke kan delegeres.
Selvsagt har skyleverandøren ansvar for at plattformen de leverer er tilgjengelig og sikker, men ikke for at dine data er det. Det er virksomheten som eier dataene som har ansvaret for at disse er sikret godt nok uavhengig av hvor dataene lagres. Du mister en del av kontrollen som du skal ha og er lovpålagt å ha, når du bruker skyløsninger. Men ikke ansvaret.
– Du har mistet et viktig sikkerhetslag underveis, når også infrastruktur leveres som en tjeneste, sier salgssjef i Data Eguipment, Hugo Fernandez.
– Tidligere fungerte infrastrukturteamet som en IT-sikkerhetsbuffer, fordi de måtte involveres. Når infrastruktur også leveres som en tjeneste, har utviklerne fritt spillerom. De kan sende ut nye oppdateringer i programvare og applikasjoner uten å involvere andre. Sikkerhetsansvarlig blir ikke nødvendigvis tatt med på råd, forklarer han.
Når serverne var plassert on-prem hadde du antageligvis god oversikt og mange sikkerhetsmekanismer på plass. Nå er dataene flyttet inn i en leverandørs infrastruktur som du ikke har kontroll over. Du bør sørge for å få denne kontrollen tilbake, men uten at det blir en bremsekloss for utviklingsarbeidet.
Du trenger et verktøy som gir deg mulighet til å samhandle med utviklerne så tidlig som mulig. Slik sikrer du at du har mulighet til å sette inn IT-sikkerhetstiltak før oppdateringer skjer. Da får du sjansen til å forhindre at det rulles ut tjenester med kjente sårbarheter og feilkonfigurasjoner. Uten et slikt verktøy risikerer du at en konfigurasjonsfeil dupliseres i det uendelige med påfølgende alarmer.
Ifølge Gartner vil 95 % av alle applikasjoner som rulles ut i 2025 være Cloud-Native, det vil si at de er født i skyen. Det betyr også at problemet med at kjente sårbarheter publiseres også vil øke kraftig, hvis det ikke settes inn tiltak. Bakteppet er at utviklere ifølge Forrester henter 75 % av appkoden sin fra open source kilder og 81 % av open source kodebase inneholder sårbarheter, ifølge undersøkelser gjennomført av Palo Alto Networks researchavdeling Unit42.
Det betyr at dersom du ikke involverer IT-sikkerhetsteamet, kommer du garantert til å lansere tjenester og applikasjoner med en rekke sårbarheter cyberkriminelle vil utnytte.
Et eksempel på dette er angrepet som rammet en stor finansinstitusjon, hvor angripere tok over hele skykontoen. Se illustrasjon.
Her ser du en mikrotjeneste for filbehandling, en applikasjon som ble rullet ut i skyen til finansinstitusjonen. Appen brukes normalt slik: En bruker laster opp en fil som lagres i skyen. Nettklienten sender en API-forespørsel til appen og varsler den om at en fil ble lastet opp + plasseringen og filnavnet. Mikrotjenesten henter filen og prosesserer den.
Men i dette tilfellet utnyttet cyberkriminelle en sårbarhet i applikasjonen, slik at det samtidig ble lastet opp skadelig programvare – malware. Malwaren overtok hele skykontoen og hentet ut data.
Siden denne typen angrep settes inn mot flere sikkerhetslag samtidig, trenger du en IT-sikkerhetsløsning som får med seg alle angrepene. Uten det, får du ikke med deg hvor omfattende angrepet er.
– Du lurer kanskje på hvordan du skal få tilbake kontrollen? Det behøver ikke være så komplisert som det høres ut. Det er uansett ikke lurt å stikke hodet i sanden og håpe at det går bra. Når medie-Norge står på døra, fordi dine data har kommet på avveie, så er det ikke utviklerne som må svare for seg. Det er uansett ditt ansvar som IT-sjef. Dermed er det viktig at du tar grep og sørger for nødvendig kontroll, sier salgssjef i Netsecurity, Hugo Fernandez.
Du må ha oversikt over hvordan skymiljøet ser ut og hvilke tjenester og applikasjoner utviklerne planlegger å rulle ut.
Sikkerhetshensyn må bli et verktøy som lar deg bli en naturlig del av utviklernes prosess fra starten av! Det vil si shift-left-security. Du må komme deg inn i prosessen så langt til venstre som mulig, det vil si, så tidlig som mulig.
Det er selvsagt ikke slik at utviklerne ikke har noen sikkerhetsverktøy til rådighet. Ifølge Panaseer har store be drifter i snitt 76 forskjellige sikkerhetsverktøy. Men ingen av dem gir oversikt over totalbildet.
Så hvordan skal man klare å fange opp disse sårbarhetene så tidlig som mulig? Du trenger et sikkerhetssystem som er født i skyen - en Cloud native security platform (CNSP). Det vil si en sikkerhetsplattform som er skreddersydd til å møte de spesielle sikkerhetsutfordringene skyen bringer med seg.
Du trenger en sikkerhetsløsning som er skreddersydd for slike miljøer, en Cloud native application protection platform (CNAPP)
Prisma Cloud fra Palo Alto Networks er en slik plattform. Den er basert på «shift-left security». «Shift-left» innebærer at man tenker IT-sikkerhet så tidlig som mulig i prosessen under utvikling av nye applikasjoner. Først med en slik plattform på plass, har du sørget for tilstrekkelig sikkerhet i skyen.
Vil du vite mer om hvordan man kan sikre tjenestene i skyen?
24. og 25. mai arrangerer vi Cloud Security Day i Stavanger (24. mai) og Bergen (25. mai) i samarbeid med Palo Alto Networks. Her ser vi nærmere på hvordan man kan sikre tjenestene i skyen. Meld deg på her!
