Unit 42 is het wereldberoemde adviesteam voor informatie over bedreigingen en beveiliging van Palo Alto Networks.
De belangrijkste kop van het nieuwste Unit 42 Cloud Threat Report gaat niet over de meest geavanceerde aanvallen. Het is dat bijna alle organisaties die we hebben geanalyseerd, niet over de juiste controles beschikken om hun cloudbronnen veilig te houden.
De term hiervoor in cloudbeveiliging is identiteits- en toegangsbeheer (IAM) en verwijst naar het beleid dat bepaalt wie toestemming heeft om wat te doen in een cloudomgeving. Een fundamentele best practice voor dit soort beleid is om toegang met de minste bevoegdheden toe te passen – ervoor te zorgen dat elke gebruiker of groep de minimale toegang heeft die nodig is om de noodzakelijke functies uit te voeren. Dit helpt de schade die een aanvaller kan aanrichten in het geval van een compromis te minimaliseren, aangezien de aanvaller alleen toegang krijgt tot de beperkte informatie en mogelijkheden van die ene gecompromitteerde cloudbron.
Helaas kwamen we een andere situatie tegen toen we onderzochten hoe organisaties de toegang tot hun cloudomgevingen beheren. We analyseerden meer dan 680.000 identiteiten in 18.000 cloudaccounts van 200 verschillende organisaties en ontdekten dat maar liefst 99% van de cloudgebruikers, -rollen, -services en -bronnen buitensporige machtigingen kregen. Dit is van belang omdat de meeste bekende cloudincidenten beginnen met een verkeerd geconfigureerd IAM-beleid of een gelekte referentie.
Hoe kan Lax IAM-beleid van invloed zijn op u?
Tijdens de pandemie hebben veel organisaties aanzienlijke hoeveelheden gegevens en bedrijfsactiviteiten naar de cloud verplaatst. We ontdekten dat 69% van de organisaties nu meer dan de helft van hun workloads in de cloud host, vergeleken met slechts 31% in 2020.
Dit maakt de cloud een aantrekkelijker doelwit voor kwaadwillenden die bijvoorbeeld gevoelige gegevens willen stelen, ransomware willen afleveren of gebruik willen maken van computerbronnen die niet van hen zijn. Hoewel geavanceerde aanvallen op cloudbronnen mogelijk zijn, hoeven aanvallers niet zo ver te gaan om hun doelen te bereiken wanneer organisaties buitensporige machtigingen en overdreven tolerant beleid toestaan. Als uw organisatie de best practices voor IAM-machtigingen in de cloud niet volgt, maakt u het werk van een aanvaller mogelijk gemakkelijker.
Cloudbeveiliging verbeteren: aanbevelingen
Uw beveiliging moet net zo native zijn voor de cloud als de applicaties die u daar uitvoert. CISO’s moeten kijken naar integratie van Cloud Native Application Protection Platform (CNAPP)-suites. Dit kan helpen om verschillende beveiligingsfuncties in één gebruikersinterface samen te brengen, allemaal afgestemd op cloudbeveiliging.
Uw beveiligingsteam moet ook IAM-machtigingen versterken. Ons recente Cloud Threat Report bevat een gids met best practices in acht stappen die u kan helpen.
Tot slot, zoals tegenwoordig gebruikelijk is in cyberbeveiliging, zal een overvloed aan waarschuwingen uw beveiligingsteam waarschijnlijk hinderen en hun efficiëntie verminderen. Bekijk tools en workflows die u kunt inzetten om de beveiligingsautomatisering te vergroten, zodat uw team de ademruimte krijgt om uw algehele beveiligingshouding goed te krijgen, in plaats van vast te zitten aan het reageren op de ene waarschuwing na de andere.
Meer weten? Download het volledige rapport hier: Unit 42 Cloud Threat Report, vol 6
