In een onderzoeksrapport gaat Qualys naar de meest ernstige securitybedreigingen in de cloud en ontdekte dat organisaties door verkeerde configuraties hun eigen ramen laten openstaan.
Dat cloudbeveiliging geen sinecure is, is al door menig onderzoek aangetoond. Organisaties blijken nog steeds moeite te hebben met het beveiligen van hun applicaties in de publieke cloud. In de cloud wordt beveiliging als een gedeelde verantwoordelijkheid beschouwd: de providers voorzien de nodige instellingen, maar het is wel aan de klant zelf om die juist te configureren. Net daar gaat het mis, volgens een onderzoeksrapport van Qualys.
Qualys voerde een beveiligingsscan uit op meer dan vijftig miljoen cloudapplicaties die bij AWS, Microsoft Azure of Google Cloud geparkeerd staan. De onderzoeksresultaten geven aan dat gemiddeld 50 procent van de CIS-benchmarks bij de drie belangrijkste providers niet voldoet. Het faalpercentage ligt het laagst in AWS (34%), een stuk lager dan bij Azure (57%) en GCP (37%).
Open ramen
Verkeerde configuraties vergroten het risico op datalekken aanzienlijk. Een fout die wel eens gemaakt wordt, is het configureren van applicaties naar het internet toe. Dit was bij vier procent van de gescande applicaties het geval. Naar buiten gerichte applicaties hebben een publiek IP-adres dat zichtbaar is voor aanvallers.
De onderzoekers van Qualys vergelijken dit met het open laten staan van de ramen van je huis of wagen voor inbrekers. Het maakt je applicaties veel kwetsbaarder voor malware. Andere heikelpunten zijn de traagheid waarmee applicaties worden gepatcht; 70 procent van Log4Shell-kwetsbaarheden kunnen bijvoorbeeld nog steeds worden uitgebuit.
lees ook
Eddy Willems: ‘Patch nu eens sneller, downtime kost minder dan ransomware’
Het automatiseren van het updateproces vermindert de tijd om een kwetsbaarheid te dichten met gemiddeld twee dagen. Tenzij je applicatie het einde van de levensduur heeft bereikt. Qualys ontdekte dat organisaties webservers, databases en zelfs securitysoftware in gebruik nemen die binnen de twaalf maanden aan het einde van de ondersteuning komt.
Lees het volledige onderzoeksrapport van Qualys hier.