N
aukowcy z firmy DivvyCloud zajmujący się bezpieczeństwem w chmurze odkryli, że naruszenia spowodowane błędnie skonfigurowanymi chmurami kosztują firmy na całym świecie szacunkowo 5 bilionów dolarów w 2018 i 2019 r.
Zobacz także: 15 tys euro? Wiadomości E-mail, nielegalny system nadzoru wideo – kolejne naruszenie RODO
W „Raporcie o błędach w konfiguracji chmur w 2020 r. DivvyCloud zbadali wszystkie naruszenia danych zgłoszone publicznie pomiędzy 1 stycznia 2018, a 31 grudnia 2019 r. na całym świecie, stwierdzając, że zidentyfikowano 196 naruszeń danych, które zostały ostatecznie spowodowane głównie nieprawidłowym skonfigurowaniem konfiguracji zabezpieczeń chmury.
W ciągu ostatnich dwóch lat ujawniono ponad 33 miliardy rekordów, ponieważ tysiące firm przenoszą się do środowisk chmurowych bez odpowiednich systemów bezpieczeństwa.
„Naruszenie danych spowodowane błędnymi konfiguracjami chmury dominowało w nagłówkach gazet w ostatnich latach, a zdecydowanej większości tych incydentów można było uniknąć” – powiedział Brian Johnson, dyrektor generalny i współzałożyciel DivvyCloud.
Korzystając z danych z raportu Instytutu Ponemon z 2019 r., w którym stwierdzono, że średni koszt utraconego rekordu na świecie wynosi 150 USD, badacze DivvyCloud oszacowali, że naruszenie konfiguracji w chmurze kosztuje firmy powyżej 5 bilionów USD w ciągu tych dwóch lat.
„Naruszenia związane z błędnymi konfiguracjami chmur dominowały w ostatnich latach w nagłówkach wiadomości. Badacze DivvyCloud opracowali ten raport, aby uzasadnić rosnącą tendencję naruszeń spowodowanych błędnymi konfiguracjami chmur, określić ich wpływ na firmy i konsumentów na całym świecie oraz zidentyfikować czynniki, które mogą zwiększyć prawdopodobieństwo, że firma ucierpi na takim naruszeniu ”.
„Z roku na rok od 2018 do 2019 r. Liczba rekordów narażonych na błędne konfiguracje chmury wzrosła o 80%, podobnie jak całkowity koszt dla firm związanych z tymi utraconymi rekordami”.
Firmy nadal szybko wdrażają usługi w chmurze, ale nie wdrażają odpowiednich środków bezpieczeństwa – odnosi się to zarówno do usług chmurowych jak i serwerów wirtualnych lub fizycznych. Okazało się, że w 2018 r. ujawniono w sumie 11,8 miliarda rekordów, a całkowity koszt naruszeń to 1,76 biliona dolarów. Do 2019 r. liczba ta wzrosła do 21,2 miliarda odsłoniętych rekordów, a koszt wzrósł do 3,18 bln USD.
Nasilenie błędnych konfiguracji chmury wzrasta z roku na rok. Badacze z firmy cytowali dane McAfee, z których wynika, że 99% wszystkich błędnych konfiguracji w chmurze publicznej nie zostało zgłoszonych.
Liczba naruszeń związanych z błędnymi konfiguracjami chmury wzrosła z 81 do 115 w latach 2018-2019, gdy coraz więcej firm przenosi systemy i procesy na platformy chmurowe. Raport ten pokazuje powiązania między rokiem rozpoczęcia działalności firmy, a dotkliwością lub częstością naruszeń błędnej konfiguracji chmury.
Prawie 70% organizacji zajmujących się przypadkami naruszeń zostało założonych przed 2010 r., a około 7% to firmy zainaugurowane po 2015 r.
„Statystyki te wskazują, że starszym firmom, które przechodzą na chmurę, trudniej jest wdrożyć i stale egzekwować odpowiednią kontrolę bezpieczeństwa nad swoimi w środowiskach chmurowych w porównaniu do młodszych firm „urodzonych w chmurze” – powiedział raport.
Przyczyny błędnych konfiguracji
W raporcie stwierdzono, że większość błędnych konfiguracji chmury była spowodowana przez niedoświadczonych użytkowników lub brak przejścia z przestarzałych modeli zabezpieczeń. Innymi przyczynami zawartymi w raporcie był brak ujednoliconej widoczności chmury, a także niespotykane tempo zmian, skali i zakresu.
Obecnie w organizacji znajduje się znacznie więcej osób korzystających z systemów chmurowych, co otwiera infrastrukturę, dzięki większej powierzchni ataku.
Według raportu 40 osób w dowolnym momencie decyduje się na wybór platformy chmurowej, a liczba ta wzrosła do 3000 osób w dzisiejszym coraz bardziej zdigitalizowanym środowisku.
Badanie wykazało również korelacje między naruszeniami błędnej konfiguracji chmury, a firmami przechodzącymi fuzje i przejęcia, powołując się na naruszenie Marriott / Starwood w 2018 r. Jako doskonały przykład tego, w jaki sposób łączenie środowisk IT może czasami prowadzić do naruszenia danych z powodu błędnych konfiguracji chmury.
Ponad 40% badanych w raporcie firm zajmowało się fuzją i przejęciem w latach 2015-2019, przy czym co najmniej trzy z tych organizacji doświadczają więcej, niż jednego naruszenia danych związanego z błędną konfiguracją chmury.
W raporcie zauważono również, że istnieją precedensy w przypadku naruszenia danych powodujące problemy w połączeniach, wspominając, że Verizon zmniejszył swoją ofertę przejęcia Yahoo o 350 milionów dolarów po tym, jak masowe naruszenie danych dotarło do wiadomości.
Spośród 196 naruszeń zbadanych przez badaczy DivvyCloud 44% wszystkich danych ujawnionych w 2018 i 2019 r. dotyczyło problemów z błędnymi konfiguracjami Elasticsearch.
„Liczba naruszeń spowodowanych błędnymi konfiguracjami Elasticsearch wzrosła prawie trzykrotnie w latach 2018-2019. Błędne konfiguracje segmentu S3 stanowiły 16% wszystkich naruszeń. Błędne konfiguracje segmentu S3 zmniejszyły się o 45% od 2018 do 2019 roku. Błędne konfiguracje MongoDB stanowiły 12% wszystkich naruszeń”.
Badacze DivvyCloud zauważyli, że według Gartnera, 99% awarii zabezpieczeń w chmurze jest winą klienta, ale większość naruszeń błędnej konfiguracji chmury wystąpiła w przypadku usług AWS. Microsoft Azure, Google Cloud Platform i Kubernetes również miały szereg naruszeń błędnej konfiguracji chmury.
Firmy technologiczne zajmowały się większością naruszeń, 41% incydentów przypisywano branży, a następnie firmy opieki zdrowotnej na 20% i podmioty rządowe na 10%. Przedsiębiorstwa z branży hotelarskiej, finansowej, detalicznej, edukacji i biznesu stanowiły około 6%.
„Przedsiębiorstwa te nie poprawiają bezpieczeństwa, nie przejmują kontroli i minimalizują ryzyka, ponieważ uwzględniają dynamiczny samoobsługowy charakter chmury publicznej i infrastruktury kontenerowej. W wyniku tego dochodzi do naruszeń danych, które niszczą nie tylko ich organizacje, ale także opinia publiczna ”- stwierdza raport.
„Najczęściej, gdy nagłówek naruszenia pojawia się, to firma jest właścicielem (lub powierza mu ochronę) narażonych danych, których reputacja ucierpiała, a nie bazowy dostawca usług w chmurze. Jeśli chodzi o bezpieczeństwo, istnieje relacja wspólnej odpowiedzialności między klientem, a dostawcą usług w chmurze ”.
Ustalaj priorytety od samego początku
Raport sugeruje, że każda firma lub przedsiębiorstwo korzystające z usług w chmurze musi od samego początku priorytetowo traktować bezpieczeństwo i stale aktualizować protokoły, aby uwzględnić zmiany na rynku. Organizacje, a nie dostawcy usług w chmurze, są odpowiedzialne za zarządzanie dostępem, przechowywaniem, analizą zagrożeń i obroną danych przechowywanych w systemach chmurowych.
Bezpieczeństwo musi stanowić stałą troskę, która jest stale rozwiązywana, zamiast tej, która jest rozpatrywana raz. Niestety w raporcie stwierdzono, że naruszenia danych spowodowane błędnymi konfiguracjami chmur będą nadal stanowić problem, ponieważ coraz więcej firm przyjmuje usługi w chmurze, nie uznając bezpieczeństwa niezbędnego do ich ochrony.
„Wiemy, że coraz więcej firm szybko wdraża chmurę publiczną, ponieważ potrzebuje jej szybkości i zwinności, aby być konkurencyjnym i innowacyjnym w dzisiejszym szybko zmieniającym się otoczeniu biznesowym” – powiedział Johnson.
„Problem polega na tym, że wiele z tych firm nie stosuje holistycznego podejścia do bezpieczeństwa, co otwiera je na niepotrzebne ryzyko. Bezpieczna konfiguracja chmury musi być procesem dynamicznym i ciągłym oraz musi obejmować zautomatyzowane działania naprawcze”.