Hur företag kan stoppa intrång i sina molntjänster

Om två år uppskattas hela 64 procent av all programvara och all data finnas i molnet.

Hur företag kan stoppa intrång i sina molntjänster 1
Åsa Edner, Sverigechef på Palo Alto Networks

Även om de stora leverantörerna av publika molntjänster erbjuder god grundsäkerhet visar rapporten ”Cloud Threat Report 2H 2002” från IT-säkerhetsleverantören Palo Alto Networks att det är vanligt att företag konfigurerar sina tjänster fel. Det lämnar vägen öppen för intrång och angrepp som kan bli kostsamma för företagen.

Rapporten baserar sig på undersökningar av en stor mängd företag och visar att säkerhetsproblemen framförallt handlar om dåligt hanterande av administratörsrättigheter och dåliga rutiner för att ge olika typer av användare rätt behörighet. För rapporten genomförde man simulerade angrepp på utvalda företag och utnyttjade dåligt skyddade användaruppgifter för att ta sig in. Väl inne har man kunnat utnyttja det faktum att många vanliga användarkonton givits administratörsrättigheter för att bredda och fördjupa sin attack. Simuleringen visade att det angripna företaget kunnat drabbas av skador för tiotals miljoner kronor om det handlat om en riktig attack.

Åsa Edner, Sverigechef på Palo Alto Networks pekar på att: ”I stort sett alla verksamheter idag har någon typ av molnstrategi. Pandemin har dessutom sett till att dessa strategier fått högre prioritet och gått från långsiktiga projekt till snabba actions. Här är det dessvärre många som missar att säkerställa att företagens data i molnet är skyddade på samma sätt som i det fysiska nätverket.”

“När man ska lägga ut data ut i molnet måste alla vara i synk – säkerhetsteamet, nätverksteamet och applikationsutvecklarna men även de som jobbar med compliance och risk och det är nog precis här den stora utmaningen ligger – att få alla att jobba tillsammans för att driva effektivisering och produktivitet och för att säkra framtida affärskrav” säger Åsa Edner.

Palo Alto Networks fann att 62 procent av de företag man undersökt som använder Googles molnplattform hade tilldelat vanliga användare administratörsrättigheter. Endast 47 procent av användare av AWS tillämpade flerfaktorsautentisering för användare. En angripare som kommer över inloggningsinformation till ett konto med hög behörighet kan använda det för att ta sig vidare djupare in i organisationen och till och med påverka andra molntjänster.

En angreppstyp som blir allt vanligare är kryptokapning. Rapporten visar att 23 procent av företag med sin infrastruktur i molnet är drabbade. Ökningen går fort. I februari 2018 var siffran 8 procent. Även här handlar det om dåligt konfigurerade molntjänster som öppnar vägen in för angripare. Företag som drabbas och upptäcker kryptokod måste gå till botten med var angreppet startade och hur angriparen tog sig in. Det räcker inte att rensa bort den skadliga koden och installera om.

Studien ger rekommendationen att företag bör ha ett holistiskt angreppssätt för att skydda sig. Oavsett vilken eller vilka molntjänster företaget nyttjar bör man:

·         Begränsa antalet användare med administratörsrättigheter till ett minimum

·         Förenkla hanteringen av behörigheter genom att samla roller i grupper

·         Använda multifaktorsautentisering

·         Ha en policy som säkerställer starka lösenord

·         Aldrig tilldela användare högre behörighet än vad som krävs för rollen

·         Skydda verksamheten genom att använda en övergripande molnsäkerhetstjänst som täcker flera angreppsvinklar och skyddar mot de scenarier rapporten beskriver

Palo Alto Networks molnsäkerhetstjänst Prisma Cloud analyserar 10 miljarder händelser varje månad och använder dessa för att identifiera och stoppa hot oavsett vilken i molntjänst de uppträder. Tjänsten kan upptäcka felaktiga och säkerhetshotande inställningar och automatiskt agera för att skydda både renodlade molntjänster och hybrida miljöer.