Подавляющее большинство специалистов по безопасности опасаются, что человеческий фактор может подвергнуть риску хранящиеся в облаке данные.
Недавний опрос 310 специалистов в области безопасности, проведенный компанией Dimensional Research по заказу Tripwire, Inc. показал что большинство организаций сталкиваются с затруднениями в процессе мониторинга и обеспечения безопасности своих облачных инфраструктур.
Так, большинство опрошенных безопасников (76%) утверждают, что сталкиваются со сложностями при поддержке конфигураций безопасности в облаке, а еще 37% считают что их возможности по управлению рисками в облаке ниже, чем в других частях используемой организацией среды. При этом почти все опрошенные — 93% — озабочены возможностью того, что человеческий фактор приведет к случайной утечке данных, хранящихся в облаке, или подвергнет их риску иным образом.
Злоумышленники используют автоматическое поисковое ПО для обнаружения открытых чувствительных данных в облаке, поэтому задача регулярного мониторинга средств обеспечения безопасности и своевременного внесения необходимых поправок и исправлений становится ключевой для многих организацией.
Тем не менее, как показал отчет Tripwire, всего лишь 21% организаций проводят оценку применяемых мер безопасности в режиме, приближенном к реальному времени (хотя бы раз в неделю или чаще). Подавляющее большинство опрошенных проводят такую оценку только раз в месяц или даже реже. Интересно, что несмотря на беспокойство, которое вызывает человеческий фактор, 22% организаций проводят оценку своих мер безопасности в ручном режиме.
По мнению авторов отчета, группы службы безопасности имеют дело со сложными средами, эффективное обеспечение безопасности в которых возможно только при наличии продуманной стратегии и необходимых ресурсов. К счастью, существуют общепризнанные инструменты, такие как CIS Benchmarks и NIST Cybersecurity Framework, предоставляющие расположенные по степени приоритетности рекомендации для обеспечения безопасности в облаке.
К сожалению, текущая работа по поддержанию необходимого уровня контроля над мерами по обеспечению безопасности зачастую не выполняется или требует слишком большого количества ресурсов, что приводит к ошибкам, вызванным человеческим фактором.
В частности, большая часть организаций, принимавших участие в опросе, используют тот или иной фреймворк для обеспечения безопасности (два наиболее популярных — CIS и NIST), однако только 22% опрошенных сказали, что у них получается поддерживать соответствие требованиям облачной безопасности непрерывно в течение длительного времени. Хотя 91% опрошенных уже внедрили те или иные средства автоматического контроля безопасности в облаке, 92% все еще намерены продолжать увеличивать степень автоматического контроля.