すべての企業が直面するクラウドセキュリティリスク
専門家の分析によると、2020年までに世界のクラウドコンピューティング市場は、2015年の910億ドルと比較して、広いマージンで1,910億ドルに拡大すると予測されています。クラウドコンピューティングには、市場投入までの時間の短縮、従業員の生産性の向上など、いくつかの利点があります。コストが削減され、多くの業界がデータをクラウドに移行するようになります。
クラウドデータのセキュリティ侵害は、どの企業にも影響を与える可能性のある主要な懸念事項であり、情報技術部門にクラウドを採用することを妨げるものもあります。
クラウドプラットフォームSlack、Adobe Creative Cloud、LastPass、Evernoteの目立った侵害の後、研究者はIT部門が懸念すべきいくつかのクラウドリスクを特定しました。このサービスはユーザーのクラウドサービスのパスワードとウェブサイトをすべて保持しているため、LastPassでのクラウド侵害は最も重大でした。サイバー犯罪者は、パスワード、特にアクセスが中断されない管理者に属するパスワードで武装している場合、企業のインフラストラクチャに対して残忍な攻撃を開始する可能性があります。ほとんどの企業は、クラウドセキュリティがいつ侵害されたかを認識しておらず、強力なクラウドセキュリティトレーニングの後に、クラウドセキュリティ認定を受けたITプロフェッショナルのサービスが必要になります。
クラウドセキュリティとは
クラウドセキュリティは、仮想データ、IP、サービス、アプリケーション、およびクラウドコンピューティングの関連インフラストラクチャを保護するために利用される一連のポリシー、アプリケーション、制御、およびテクノロジーです。
知的財産および機密データの盗難または紛失
企業はますます機密データをクラウドに保存しています。クラウドで見つかる最も一般的な機密データはプライベートデータであり、クラウドに保存されているデータの47%を占めています。個人を特定できるデータが2番目(28.1%)、支払いデータ(13.6%)であり、暗号化されたヘルスレポートデータはデータの11.3%がクラウドに保存されています。統計によると、クラウドサービスに保存されているファイルの21%には、機密データと知的財産が含まれています。特定のクラウドサービスに違反があった場合、サイバー犯罪者はこれらすべての機密データに完全にアクセスできるようになります。
エンドユーザーの操作に対する制御が緩い
一部の労働者は、会社が気付かないうちに会社でクラウドサービスを使用している可能性があり、それらの従業員は監督なしで何かをしている可能性があります。たとえば、会社を辞めようとしている営業担当者は、すべての顧客の連絡先のレポートを取得して、プライベートクラウドデータストレージサービスに保存し、他の競合他社に雇用されたらその情報を使用できます。これは、一般的な内部脅威として知られているものの例です。
認証の破損、アカウントのハッキング、資格情報の侵害
パスワード管理が不十分で、パスワードが弱く、認証手段が簡単な場合、クラウドデータは常に危険にさらされる可能性があります。企業はIDの管理に苦労することが多いため、クラウドセキュリティ認定の専門家を雇おうとします。 仕事を処理します。ユーザーが組織を離れたり、職務が変更されたりしたときに、ユーザーアクセスを停止するのを忘れることがあります。 クラウドセキュリティトレーニングの開発者 携帯電話認証、1回の使用で有効期限が切れるパスワード(ワンタイムパスワードOTP)、クラウドサービスの保護に役立つスマートカードなどの多要素認証システムを作成できます。何人かの開発者は、暗号化キーとクレデンシャルをプロジェクトのソースコードに入れて、GitHubなどの公開リポジトリで共有するというよくある間違いを犯します。
標的型攻撃を解き放つマルウェア感染
クラウドサービスは、データの抽出を変換するためのキャリアとしても使用されます。ハッカーが使用する新しいデータ変換および抽出技術が発見されました。攻撃者は機密データをビデオおよびオーディオファイルにエンコードし、YouTubeで共有します。一度に140文字のプライベートTwitterアカウントを使用して機密データを抽出できるマルウェアもあります。 Dyre形式のマルウェアの場合、ハッカーはファイル共有サービスを使用して、フィッシング攻撃を介してウイルスを標的に送信できます。
ハッキングされたAPIとインターフェース
現在、ほとんどすべてのアプリケーションとクラウドサービスがAPIを提供しており、ITスタッフはAPIとインターフェースを使用して、クラウドの管理、プロビジョニング、追跡、オーケストレーションを提供するサービスを含むクラウドサービスとやり取りおよび管理しています。
クラウドサービスの可用性とセキュリティは通常、APIの安全性に依存し、APIが多いほど、攻撃にさらされる可能性が高くなります。ハッカーは通常、APIを標的にしてシステムに侵入し、それらを制御します。 APIを完全に削除することはできないかもしれませんが、専門的なクラウドセキュリティトレーニングは、APIによってもたらされるリスクを軽減するのに役立ちます。
クライアントまたはビジネスパートナー間の契約違反
多くの場合、ビジネスパートナー間の契約により、データの処理方法とデータへのアクセスを許可されたユーザーが制限されます。適切なオリエンテーションがないと、従業員はこれらの制限されたデータを許可なくクラウドに移動でき、契約違反につながり、会社に対して法的措置を取ることができます。良い例は、サービスにアップロードされたすべてのデータをサードパーティ企業と共有するための契約条件に書かれた権利を持っているクラウドサービスです。これにより、サードパーティ企業とユーザーの間で締結された機密保持の合意に違反することが許可されます。
APT寄生虫
APTは、Advanced PersistentThreatの頭字語です。これは、ハッカーがシステムへの不正アクセスを取得し、データを利用して、知らないうちにそこにとどまるサイレント攻撃のモードです。
APTはネットワーク内を横方向に移動し、通常のトラフィックと統合されるため、クラウドセキュリティトレーニングを受講しているかどうかを検出するのは困難です。 。トップクラウドプロバイダーは、高度な技術を使用して、ATPがインフラストラクチャに侵入するのをブロックします。クラウドユーザーは、クラウドアカウントでAPTコミットメントを検出することに熱心に取り組む必要があります。
永続的なデータ損失
クラウドが非常に高度になっているため、永続的なデータ損失が発生することは非常にまれです。それでも、悪意のあるハッカーはクラウドからデータを完全に削除して、データセンターやビジネスを混乱させる可能性があります。クライアントもプロバイダーと連携する必要があるため、データ損失を未然に防ぐためのコストは、クラウドサービスプロバイダーの唯一の責任ではありません。クライアントがデータをクラウドにアップロードする前に暗号化する場合、クライアントは暗号化キーを慎重に保護する必要があります。
クラウドを理解していない
適切なクラウドセキュリティトレーニングなしでクラウドサービスを利用する企業 または、クラウドセキュリティ認定のスタッフがいない 財務、商業、法律、コンプライアンス、および技術的なリスクが多数発生する可能性があります。
これらの企業は、クラウドテクノロジーに関連するすべての概念と基本的な複雑さを理解しているクラウドセキュリティ認定を受けた人々のサービスを採用することをお勧めします。
クラウドコンピューティング