Digitaal dreigingslandschap

7 veelgemaakte fouten in cloudbeveiliging voor het mkb

9 minuten leestijd

door Romy Tump

Cloud computing is een essentieel onderdeel van het huidige digitale landschap. Het verwijst naar het leveren van verschillende services via het internet. In plaats van fysieke hardware en software op de locatie van de gebruiker, worden de resources beschikbaar gesteld en beheerd in datacenters van derde partijen. IT-infrastructuur, platforms en software worden tegenwoordig vaker als dienst geleverd (vandaar de afkortingen IaaS, PaaS en SaaS), dan in een traditionele on-premise configuratie. Dit is aantrekkelijk voor het mkb.

Cloud biedt de mogelijkheid om het speelveld met grotere concurrenten gelijk te maken, door grotere bedrijfsflexibiliteit en snelle schaalbaarheid mogelijk te maken, zonder dat dit ten koste gaat van financiële middelen. Dat kan de reden zijn waarom 53% van de wereldwijde mkb’s die in een recent rapport zijn onderzocht, zeggen dat ze jaarlijks meer dan 1,2 miljoen dollar uitgeven aan de cloud; vorig jaar was dit nog 38%.

Toch brengt digitale transformatie ook risico's met zich mee. Beveiliging (72%) en het naleven van wet- en regelgeving (71%) zijn de tweede en derde meest genoemde clouduitdagingen voor deze mkb-respondenten. De eerste stap bij het aanpakken van deze uitdagingen is het begrijpen van de belangrijkste fouten die kleinere bedrijven maken bij hun cloud implementaties.

De top zeven cloudbeveiligingsfouten die mkb-bedrijven maken

Voor de duidelijkheid, de volgende fouten zijn niet alleen fouten die mkb's maken in de Cloud. Zelfs de grootste en best uitgeruste ondernemingen maken zich soms schuldig aan het vergeten van de basis. Maar door deze blinde vlekken weg te nemen, kan jouw organisatie enorme stappen zetten in het optimaliseren van het gebruik van de cloud, zonder zichzelf bloot te stellen aan mogelijk ernstige financiële of reputatierisico's.

1: Geen multi-factor authenticatie (MFA)

Statische wachtwoorden zijn van zichzelf al onveilig en niet elk bedrijf hanteert een goed wachtwoordbeleid. Wachtwoorden kunnen op verschillende manieren worden gestolen, zoals via phishing, brute-force methoden of gewoon door te raden. Daarom is het belangrijk omje een extra authenticatie laag toe te voegen bovenop je gewone wachtwoord. MFA maakt het veel moeilijker voor aanvallers om toegang te krijgen tot de SaaS-, IaaS- of PaaS-accountapps van je gebruikers, waardoor het risico op ransomware, gegevensdiefstal en andere mogelijke gevolgen wordt beperkt. Een andere optie is om waar mogelijk over te schakelen op alternatieve authenticatiemethoden zoals wachtwoord loze authenticatie.

2: Te veel vertrouwen hebben in de cloud service provider (CSP)

Veel IT-leiders denken dat investeren in de cloud in feite betekent dat alles wordt uitbesteed aan een vertrouwde derde partij. Dat is slechts gedeeltelijk waar. In feite is er een gedeeld verantwoordelijkheidsmodel voor het beveiligen van de Cloud, verdeeld tussen CSP en klant. Waar je voor moet zorgen hangt af van het type clouddienst (SaaS, IaaS of PaaS) en de CSP. Zelfs wanneer het grootste deel van de verantwoordelijkheid bij de provider ligt (bijv. bij SaaS), kan het de moeite waard zijn om te investeren in extra controles door derden.

3: Geen back-ups maken

Zoals hierboven beschreven, moet je er nooit van uitgaan dat jouw cloud provider (bijvoorbeeld. voor het delen en opslaan van bestanden) achter je staat. Het is altijd de moeite waard om te anticiperen op het ergste scenario, waarschijnlijk een systeemstoring of cyberaanval. Het zijn niet alleen de verloren gegevens die een impact zullen hebben op jouw organisatie, maar ook de uitvaltijd en de productiviteit die een incident met zich mee kan brengen.

4: Niet regelmatig patchen

Als je er niet in slaagt te patchen, stel je jouw cloud systemen bloot aan misbruik van kwetsbaarheden. Dat kan weer leiden tot besmetting met malware, gegevenslekken en meer. Patchbeheer is een belangrijke best practice op het gebied van beveiliging die net zo relevant is in de Ccloud, als op locatie.

5: Cloud misconfiguratie

CSP's zijn innovatief, maar de enorme hoeveelheid nieuwe functies en mogelijkheden die ze lanceren als reactie op feedback van klanten, kan uiteindelijk leiden tot een ongelooflijk complexe cloud omgeving voor veel mkb-bedrijven. Dit maakt het veel moeilijker om te achterhalen welke configuratie het veiligst is. Veelgemaakte fouten zijn onder andere het configureren van cloudopslag, zodat elke derde partij er toegang toe heeft en het niet blokkeren van open poorten.

6: Cloudverkeer niet monitoren

Een veelgehoorde opmerking is dat het tegenwoordig niet meer een kwestie is van "of" maar "wanneer" jouw Cloud (IaaS/PaaS) omgeving wordt geschonden. Dat maakt snelle detectie en respons cruciaal als je de signalen vroegtijdig wilt opmerken en een aanval wilt tegenhouden, voordat deze de kans krijgt om de organisatie te beïnvloeden. Continue monitoring is dus een must.

7: De kroonjuwelen van het bedrijf niet versleutelen

Geen enkele omgeving is 100% beveiligd tegen inbreuken. Dus wat gebeurt er als een kwaadwillende jouw meest gevoelige interne gegevens of zeer persoonlijke informatie van werknemers/klanten weet te bereiken? Door deze gegevens volledig te versleutelen, zorg je ervoor dat ze niet kunnen worden gebruikt, zelfs niet als ze worden verkregen.

Cloudbeveiliging op de juiste manier aanpakken

De eerste stap bij het aanpakken van deze cloudbeveiligingsrisico's is begrijpen waar jouw verantwoordelijkheden liggen en welke gebieden worden afgehandeld door de CSP. Vervolgens moet je beslissen of je vertrouwt op de cloudbeveiligingsmaatregelen van de CSP of dat je deze wilt uitbreiden met producten van derden. Overweeg het volgende:

  • Investeer in beveiligingsoplossingen van derden. Doe dit om jouw cloudbeveiliging en bescherming voor jouw e-mail-, opslag- en samenwerkingstoepassingen te verbeteren,  bovenop de beveiligingsfuncties die zijn ingebouwd in cloudservices die worden aangeboden door cloudproviders.
  • Uitgebreide of beheerde detectie- en responstools (XDR/MDR) toevoegen voor een snelle respons op incidenten en om inbreuken te beperken/herstellen.
  • Een continu, op risico's gebaseerd patchprogramma ontwikkelen en implementeren dat is gebaseerd op sterk activabeheer (oftewel, weten welke cloudactiva je hebt en er vervolgens voor zorgen dat deze altijd up-to-date zijn).
  • Versleutel gegevens in de tussentijd (op databaseniveau) en tijdens het transport om ervoor te zorgen dat ze beschermd zijn, zelfs als kwaadwillenden ze te pakken krijgen. Dit vereist ook effectieve en continue datadetectie en -classificatie.
  • Definieer een duidelijk toegangscontrolebeleid. Verplicht sterke wachtwoorden, MFA, beperk de netwerktoegang van gebruikers en stel een lijst op met welke specifieke IP’s je toelaat en welke niet.
  • Overweeg een Zero Trust-aanpak, die veel van de bovenstaande elementen (MFA, XDR, versleuteling) omvat naast netwerksegmentatie en andere controles.

 

Veel van de bovenstaande maatregelen zijn dezelfde best practices die je zou verwachten te implementeren op locatie. Dit is ook in grote lijnen zo, maar de details zullen verschillen. Het belangrijkste is om te onthouden dat cloud beveiliging niet alleen de verantwoordelijkheid van de provider is. Neem vandaag nog het heft in handen om cyberrisico's beter te beheren.