Beskyttende skjold til dine skyplatforme: Tips, tricks, faldgruber | SITS
Blog

Beskyttende skjold til dine skyplatforme: Tips, tricks, faldgruber

I 2024 bør du bestemt overveje disse sikkerhedsudfordringer og retningslinjer
5 minutes

Er du begejstret for cloud-applikationer og -tjenester på grund af deres mange muligheder og fordele, eller er du primært bekymret for datalækager og andre problemer? I den seneste State of Cloud-rapport oplyste 70 % af de adspurgte virksomheder, at mere end halvdelen af deres IT-infrastruktur allerede befinder sig i skyen. Samtidig viser en anden undersøgelse, at 97 % af cloud-applikationerne i virksomhederne ikke er godkendt, enten fordi teams eller enkelte medarbejdere bruger online-værktøjer uden viden eller godkendelse. I denne sammenhæng kalder analytikerne hos PwC cloud-angreb for den "største cyberrisiko i 2024". Antallet af virksomheder, der for nylig har været udsat for et databrud med skader på mere end en million amerikanske dollars, er steget fra 27 % til 36 % i forhold til året før. Grund nok til at fokusere på emnet cloud-platformsikkerhed: Du skal være opmærksom på det nu, for at beskytte data, systemer, omdømme og medarbejdere på den bedst mulige måde.

Initielt udgangspunkt: De største trusler mod cloud-tjenester og data

For at sikre en pålidelig cloud-infrastruktur skal de udfordringer, der kan føre til datalækager, problemer med overholdelse af regulativer og enorme omkostninger, først belyses. Der kan i øjeblikket identificeres tre hovedtendenser: Cloud-native malware, angreb på cloud-baserede AI-platforme og risici i softwareforsyningskæden. Selvom ”public clouds” findes på næsten alle områder i dag, ser det ofte ud til, at sikkerheden og implementeringen lider. IT-teams opfordres derfor til at omkonfigurere hastigt opbyggede eller dårligt designede cloud-infrastrukturer for at gøre dem mere effektive, pålidelige og omkostningseffektive.

Risiko 1: Pas på cloud native malware
Med den stigende udbredelse af cloud-tjenester og voksende dataoverførsel mellem forskellige cloud-platforme øges også risikoen for at blive offer for cloud-native malware. Sådan malware er specifikt rettet mod cloud-miljøer og udnytter sårbarheder i cloud-infrastrukturer og -applikationer. Nogle spredes via cloud storage- og 3-die parts værktøjer.
Men det er ikke alt: Trusler lurer også i nye infrastrukturer, herunder edge-systemer til dataintensive behov, non-x86arkitekturer til specialiserede workloadr, serverless edge-arkitekturer og 5G-mobiltjenester.Risiko 2: AI's forbandelse og velsignelse - angreb på cloud-baserede AI-platforme
Et andet område, som bliver stadig vigtigere i forhold til cloud-sikkerhed, er - ikke overraskende - kunstig intelligens. I en global undersøgelse foretaget af McKinsey udtrygte en tredjedel af alle respondenter, at deres virksomheder allerede bruger generativ AI regelmæssigt, og tendensen er stigende. AI kan være et værdifuldt værktøj i kampen mod sikkerhedstrusler. På den anden side bruger kriminelle aktører også i stigende grad AI til at udvikle deres metoder og udnytte den tillid, som udviklere har til automatiserede systemer. Eksperter forudser, at AI-drevne angreb vil stige i 2024 og tvinge til hurtige justeringer. Det vil kræve stadig smartere AI-baserede sikkerhedsforanstaltninger, som ikke kun kan identificere trusler i realtid, men også forudsige sandsynligheden og beskytte mod dem.

Risiko 3:sici i software Supply Chain
Men det er ikke alt, for beskyttelse mod angreb på supply chain er blevet stadig vigtigere i de senere år. Man kan forestille sig, at en enkelt kodelinje, der er skjult i et framework, sætter hele virksomhedens digitale platform i stå: Det er, hvad sikkerhed i software supply chain handler om. Som med enhver anden platform er sikkerheden i din software kun så stærk som den svageste del af systemet. Flere og flere virksomheder bliver ofre for angreb via ”Supply chain”. Hvis brugere og aktiver er fordelt over det hele, øger det risikoen for angreb yderligere. Hackere kan enten udnytte platformene til at få vigtig indsigt, eller de kan forårsage skade inden for forsyningskæderne. Cyberkriminelle fokuserer i stigende grad på at udnytte sårbarheder i tredjepartstjenester, som f.eks. software eller kode, der er kritisk for produktion eller Continuous Integration (CI), Continuous Delivery eller Continuous Deployment (CD).

Den gode nyhed:

Gartners analytikere forudser, at de globale investering til sikkerhed og risikostyring vil beløbe sig til 215 milliarder amerikanske dollars i 2024, hvilket er en stigning på 14,3 procent i forhold til 2023. Virksomhederne ser derfor ud til at være opmærksomme på truslen.
Den dårlige nyhed: Eksperter fra den internationale Cloud Security Alliance kritiserer utilstrækkelig ekspertise inden for cloud-sikkerhed. Ifølge den seneste undersøgelse føler 77 procent af de adspurgte sig ikke tilstrækkeligt forberedt på sikkerhedstrusler.

Det er klart, at Cloud er et helt andet miljø end en lokal applikation. Derfor vil cybersikkerhedsteams, der kopierer og indsætter sikkerhedspolitikker i Clouden, hurtigt indse, at denne tilgang ikke vil fungere. Da skyen er disponeret for automatisering og hastighed, er indbyggede sikkerhedsværktøjer til skyen et vigtigt krav. Men sådanne værktøjer kræver ekspertise, ellers vil virksomheder snart stå over for miljøer, som deres teams ikke er udstyret til at beskytte. Det handler om at implementere værktøjer, der er optimeret til cloud-miljøer. Der skal også investeres i uddannelse i cloud-sikkerhed. Det omfatter kendskab til aktuelle retningslinjer og krav. Vi har samlet de vigtigste af dem.

Her er de sikkerhedsretningslinjer og specifikationer, du bør kende

Overholdelse af sikkerhedsretningslinjer og lovkrav, f.eks. inden for EU, er afgørende for virksomheder, der bruger cloudtjenester. Det er den eneste måde at sikre fortrolighed, integritet og tilgængelighed af vigtige data og undgå potentielle administrative bøder og juridiske konsekvenser.

  • Den generelle forordning om databeskyttelse (GDPR): GDPR, eller General Data Protection Regulation, trådte i kraft i 2018 og gælder for alle virksomheder, der behandler EU-borgeres persondata, uanset hvor virksomheden er baseret. GDPR stiller strenge krav til sikkerheden for persondata, herunder databehandling i skyen. Udbydere af cloud-tjenester skal implementere processer og passende sikkerhedsforanstaltninger for at opfylde kravene i GDPR.
  •  NIS-direktivet: Direktivet om net- og informationssikkerhed, forkortet NIS, er en EU-lov, der har til formål at styrke sikkerheden i net- og informationssystemer i hele EU. Det forpligter operatører af centrale tjenester og udbydere af digitale tjenester til at implementere passende sikkerhedsforanstaltninger for at sikre cybersikkerheden. Dette omfatter også sikring af cloud-infrastrukturer, der bruges til at levere disse tjenester.
  • ISO/IEC 27001: ISO/IEC 27001 er en international standard for ledelsessystemer for informationssikkerhed (ISMS). Selvom det ikke er et lovkrav, bruges den ofte som en retningslinje for bedste praksis til sikring af information og data i virksomheder. Mange europæiske virksomheder, der bruger cloud-tjenester, kræver, at deres cloud-tjenesteudbydere er ISO/IEC 27001-certificerede for at sikre, at der er implementeret passende sikkerhedskontroller.
  • Certificeringer af cloud-sikkerhed: Der findes også forskellige cloud-sikkerhedscertificeringer, som er blevet udviklet af europæiske myndigheder og organisationer for at vurdere og garantere sikkerheden i cloud-tjenester. Eksempler er Cloud Security Alliance (CSA) STAR-certificeringsprogram og EuroCloud Star Audit. De hjælper med at vælge troværdige cloud-udbydere, der opfylder høje sikkerhedsstandarder.
  • Nationale love og myndighedskrav: Ud over de EU-dækkende direktiver har visse europæiske lande specifikke nationale love og lovgivningsmæssige krav vedrørende sikkerheden i cloud-tjenester. Du bør være bekendt med disse specifikke regionale bestemmelser og sikre, at dine cloud-infrastrukturer overholder de respektive krav.

Konklusion: Cloud Platform Security

Velplanlagt brugeradministration, overholdelse af politikker, ledsagende sikkerhedsværktøjer og strategier for anvendelse af Cloud hjælper med at kontrollere data og enheder i Cloud på en pålidelig måde nu og fremover. For at sikre, at Cloud kun giver fordele og ikke udvikler sig til en dataslugende platform, er det værd at rådføre sig eksperter på området. Vores tjekliste hjælper dig med at undgå faldgruber og planlægge din cloud-strategi.

Category Tags
AI Assessment & Advisory Cloud Platform Security Cyber Defense Identity & Access Management NIS2 Optional Security & IT Solutions
Solutions
Cloud Platform Security
Migrering til Microsoft-skyen giver virksomheder adskillige fordele: Microsoft 365 gør dem i stand til at arbejde mere produktivt, mens Azure giver dem muligheden for at bygge infrastrukturer dynamisk og derved spare tid og omkostninger.
Learn more
Cloud Data Security
Efterhånden som cloud-tjenester, "arbejde fra hvor som helst" og AI-drevne værktøjer som Microsoft Copilot bliver allestedsnærværende, står din virksomhed over for helt nye datarisici.
Learn more
Cyber Defense
06. september 2024
Threat Intelligence - Viden er magt og sikkerhed
Learn more
AI
16. april 2024
Afværgelse af AI-angreb: Sådan beskytter man data og systemer
Learn more
Assessment & Advisory
15. april 2024
ISO 27001-certificering uden forsinkelse
Learn more
Assessment & Advisory
10. april 2024
Managed Services for at imødegå manglen på arbejdskraft
Learn more
Security & IT Solutions
09. april 2024
Workload Security med SASE, sådan fungerer det
Learn more
Cloud Platform Security
09. april 2024
DevOps-sikkerhed: Stresstest for kultur og teknologi
Learn more
Identity & Access Management
05. april 2024
Biometri - bedre sikkerhed uden adgangskoder?
Learn more
Cyber Defense
05. april 2024
Threat Intelligence - Viden er magt og sikkerhed
Learn more
NIS2
05. april 2024
NIS2 & ISO/IEC 27001:2022: Nye kontroller for at opfylde begge standarder
Learn more
Identity & Access Management
05. april 2024
Hvordan Privileged Access Management øger sikkerheden
Learn more
Assessment & Advisory
05. april 2024
Meta-Titel: vCISO - mere it-sikkerhed gennem brugertilpasset support
Learn more
AI
03. april 2024
AI fra Microsoft: Er din virksomhed Copilot Ready?
Learn more
NIS2
02. april 2024
NIS2 & Risk Management: Er cyberrisici virkelig håndterbare?
Learn more
Cloud Platform Security
28. marts 2024
Beskyttende skjold til dine skyplatforme: Tips, tricks, faldgruber
Learn more
Assessment & Advisory
28. marts 2024
Sikkerheds-allrounderen CISO: Outsource eller ansætte dig selv?
Learn more
Cyber Defense
28. marts 2024
Håndtering af cybersikkerhedsrisici i industriel IoT og OT
Learn more
Vi er her for dig
Udfyld formularen og vores eksperter kontakter dig.
This site is registered on wpml.org as a development site. Switch to a production site key to remove this banner.