First click here and then choose your language with the Google translate bar at the top of this page ↑
Nou, dat zou wel eens kunnen tegenvallen. Cloud hosting providers zoals Microsoft, Amazon en Google hanteren namelijk een model van gedeelde verantwoordelijkheid. De cloud provider is verantwoordelijk voor de fysieke beveiliging van het datacenter, de koeling, de infrastructuur, het correct functioneren van de hardware tot het beveiligen van het Operating System van zijn PaaS services. De gebruiker van de cloud staat in voor een correcte configuratie van de PaaS-services in de cloud, voor de encryptie van de data en voor het het niet publiek beschikbaar maken van wat enkel voor intern gebruik bedoeld is.
Samengevat: de gebruiker staat in voor de beveiliging van de eigen toepassing en content, en de cloud providers staan in voor de beveiliging van hun platform.
Ook dan lijkt er nog niet zo veel aan de hand. De cloud providers ontfermen zich nog steeds om het leeuwendeel van de security. De cloudomgeving van de gebruiker is in goede handen, want de cloud providers hebben meer ervaring en geschoold personeel om zichzelf én de klanten die gebruik maken van hun platform te beveiligen. Dat is ook vaak een belangrijke reden geweest voor gebruikers om voor een cloudomgeving te kiezen. Zij gaan er dan ook graag van uit dat ze zich over security geen zorgen meer om hoeven te maken.
Topdoelwit voor cybercriminelen
Echter is die beveiliging van het cloudplatform het afgelopen jaar onder druk komen te staan. Dat begon met een aantal security-onderzoekers die in 2021, door de toenemende populariteit van de cloud, deze platforms grondiger bestudeerden. Zo kwamen ‘vulnerabilities’ of kwetsbaarheden aan het licht die eigenlijk al lang aanwezig waren maar nooit eerder werden opgemerkt.
De populariteit van cloudplatformen werd zo plotseling een bedreiging op zich, omdat cybercriminelen met het exploiteren van slechts één kwetsbaarheid vele duizenden slachtoffers konden maken. De grote cloudproviders hebben de capaciteit om de kwetsbaarheden snel en op grote schaal te dichten. Maar het geeft wel aan dat cloudgebruikers op hun hoede moeten blijven en zelf maatregelen moeten nemen om hun omgeving te beveiligen. Want hoe beter gebruikers hun eigen omgeving beveiligen, hoe kleiner de impact van een kwetsbaarheid in het cloudplatform op die eigen omgeving.
Het geheel is groter dan de som der delen
Wat kunnen cloud klanten dan precies doen om het gevaar zoveel mogelijk in te dammen? Laten we de vergelijking maken met een deur. Het beveiligen van een bedrijfsdomein moet net zo vanzelfsprekend zijn als het op slot doen van de deur en het inschakelen van het alarm bij vertrek. Alleen, in de huidige digitale wereld volstaat materiële beveiliging niet meer. Fysieke toegang is niet de grootste zorg, in plaats daarvan manifesteren bedreigingsvectoren zich online via onbeheerde en alomtegenwoordige internetverbindingen en breiden zij zich uit via de clouds die worden gebruikt voor allerlei toepassingen, workloadbeheer en opslag. En elke cloud heeft meerdere in- en uitgangen. Een bedrijf wat naar de cloud gaat, heeft dus aanzienlijk meer metaforische deuren waar een indringer doorheen kan, omdat elke cloudleverancier die wordt gebruikt meerdere in- en uitgangen heeft. En de uitdaging wordt steeds groter; in een recent rapport over cloudbeveiliging heeft 76% van de respondenten ingezet op 2 of meer clouds (tegenover 62% in 2021).
Een optimale beveiliging bestaat uit een reeks onderdelen die in elkaar passen: denk aan de deur, de scharnieren, handgrepen, sloten, grendels, sleutels, enz. Zonder een van deze elementen is een deur niet volledig bruikbaar - het geheel is groter dan de som der delen. Dit geldt ook voor cloudbeveiliging.
Beveiliginginstellingen op maat van de omgeving
Ga daarom eens na welke specifieke beveiliging uw omgeving nodig heeft en pas de security-instellingen hierop aan - of vraag hierover advies. Hou er ook rekening mee dat de configuratie kan veranderen, en dat de oorspronkelijke security-instellingen ook af en toe moeten worden geactualiseerd. Dat wordt duidelijk aan de hand van het volgende voorbeeld.
In augustus 2021 kwamen, mede door een veranderde focus van security onderzoekers op cloud, kritieke kwetsbaarheden aan het licht in Azure Cosmos DB, de belangrijkste NoSQL database service van het Microsoft Azure platform. Door deze in 2019 reeds geïntroduceerde kwetsbaarheid – met de gevatte naam ChaosDB - konden Microsoft Azure klanten of aanvallers met een gecompromitteerd Azure account, twee jaar lang toegang krijgen tot de ‘beschermde’ omgeving van andere Azure-klanten, en dus tot alle klanteninformatie en andere vertrouwelijke gegevens.
Een potentiële ramp voor alle Azure Cosmos DB gebruikers die de standaardbeveiliging van deze service onvoldoende opgekrikt hadden door bijvoorbeeld de netwerktoegang tot de database onvoldoende te beperken. Dat is dan ook het algemene advies van cloud en security providers: voorzie voor elke toepassing en elke achterliggende database enkel toegang voor wie het echt noodzakelijk is.
Continue opvolging nodig
Bedrijven moeten zich ook bewust zijn van de continue opvolging die nodig is. Microsoft installeert bijvoorbeeld onopgemerkt ‘secret agents’ (kleine beheerprogramma’s) op Azure Linux machines om deze te optimaliseren. Deze werken volledig op de achtergrond en de meeste klanten weten zelfs niet dat die er zijn. Wanneer op een van die agents een kwetsbaarheid wordt ontdekt, moeten alle agents worden geüpgraded. Maar die upgrade moeten de klanten zelf uitvoeren. Zij worden dus gevraagd om een agent te upgraden waarvan ze niet eens wist dat ze die hadden. En daarvan worden ze op de hoogte gebracht met een notification zoals er dagelijks vele passeren. De kans is dus vrij groot dat dit onopgemerkt voorbijgaat en dat de kwetsbaarheid niet wordt weggewerkt.
Niet alleen Microsoft Azure vertoont kwetsbaarheden, ook Amazon AWS en Google Cloud hebben al geregeld patches en upgrades nodig gehad. Wie een idee wil krijgen van alle kwetsbaarheden die men al heeft aangetroffen en voor welke cloud platforms, kan hier een kijkje nemen: https://www.cloudvulndb.org/. De lijst is lang en het tempo lijkt alleen maar toe te nemen. Het toont zelfs voorbeelden hoe Microsoft zijn eigen documenten op de cloud onbeschermd had gelaten. Andere bronnen die een goed overzicht van de stand van zaken bieden, zijn cloud provider ‘bulletins’ van Microsoft (https://msrc.microsoft.com/update-guide/vulnerability), AWS (https://aws.amazon.com/security/security-bulletins), of Google (https://cloud.google.com/support/bulletins).
De (schijn)veiligheid van de cloud kan voor mkb’s een hoofdpijndossier vormen. Wie liever toch op beide oren slaapt en zijn aandeel in de securityverantwoordelijkheid uitbesteedt wegens te weinig tijd of kennis, kan terecht bij een security partner met een specifieke oplossing die de detectie van kwetsbaarheden op uw cloudomgeving beheert en tegelijk ook de juiste reactie voorstelt of uitvoert in geval van een probleem.
Bron: google.com, amazon.com, microsoft.com, cloudvulndb.org, bleepingcomputer.com, checkpoint.com, winmagpro.nl | Geert De Ron, Cloud Security Architect
Meer actueel nieuws
Verkenningsonderzoek naar ransomware-aanvallen bij Nederlandse overheidsdiensten en bedrijven
Het Centraal Bureau voor de Statistiek (CBS) heeft in samenwerking met het Nationaal Cyber Security Centrum (NCSC) verkenningsonderzoek gedaan naar ransomware-aanvallen bij Nederlandse overheidsdiensten en bedrijven. De onderzoekers keken onder meer naar de tijdslijn en kosten van aanvallen met gijzelsoftware. Vanwege de gevoeligheid van de verzamelde data, is het rapport niet online gepubliceerd. Dat schrijft het CBS in een persbericht.
Celstraf van drie jaar geëist tegen 35-jarige cybercrimineel ‘Han Solo’
Het Openbaar Ministerie (OM) heeft tegen een 35-jarige man uit Heerenveen een gevangenisstraf van 3 jaar geëist en het terugbetalen van het wederrechtelijk voordeel van €318.050,63. Hem wordt verweten dat hij door het handelen in digitale lijsten met persoonsgegevens, zogenaamde leads, een grote bijdrage heeft geleverd aan bankhelpdeskfraude met mogelijke vele gedupeerden wereldwijd.
Overzicht cyberaanvallen week 19-2022
Ransomware treft ziekenhuizen in provincie Luxemburg te Belgie, digitale televisiegidsen van Russische tv-aanbieders werden maandagochtend gehackt en geen diplomatieke reactie na cyberaanval op Nederlandse olieterminals. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.
Cybercrime nieuwsbrief 209 week 19-2022
Is de ‘NewProfilePic-app’ Russische malware, hoe werkt de Apple, Google en Samsung Pay oplichtingstruc en Costa Rica, eerste land dat de noodtoestand afroept als gevolg van een cyberaanval. Dit en meer lees je in nieuwsbrief 209.
Digiweerbaar met de Cyber Sessies: Aflevering 5 'Digitaal ben je zo veilig als de zwakste schakel'
Zelf kun je je bedrijf nog zo goed tegen cybercriminelen hebben beveiligd, maar wat als een belangrijke toeleverancier wordt gehackt? In deze aflevering van Cyber Sessies draait het om hoe om te gaan met aanvallen in de leveranciersketen. Presentator Remy Gieling spreekt hierover met drie kopstukken uit de wereld van digitale veiligheid; Frank Groenewegen (partner Cyber Risk Deloitte), Erno Doorenspleet (vice president CTO KPN Security) en Daan Keuper (security researcher Computest).
Is de ‘NewProfilePic-app’ Russische malware?
De app 'New Profile Pic' staat zowel in de Apple App Store als in de Google Play Store op nummer één in de ranglijst van de populairste, meest gedownloade apps. Daarmee is de app momenteel dus populairder dan apps als Instagram, TikTok, Snapchat, YouTube en Messenger. Maar om deze app is momenteel het één en ander te doen: zo gaat het gerucht dat de app in werkelijkheid malware bevat van Russische makelij, dat gebruikers van de app slachtoffer worden van oplichting én dat de app data doorsluist naar het Kremlin. Hoe zit dat? In dit artikel leggen we het uit.