Uit het State of Cloud Security Report van Snyk blijkt dat hedendaagse securityprofessionals en cloud security-engineers worstelen met de complexe cloud security-risico's en -uitdagingen die zijn ontstaan als gevolg van de explosief stijgende cloudadoptie en het steeds populairder worden van cloud-native benaderingen voor applicatieontwikkeling.
Tegelijkertijd wijst het onderzoek ook op de voordelen die kunnen voortvloeien uit meer investeringen in cloud security. Waaronder betere preventie van incidenten en de verbeterde efficiëntie en samenwerking tussen teams, wat leidt tot een snellere ontwikkeling van applicaties. Uit het rapport blijkt:
- Vier vijfde (80%) van de organisaties heeft in het afgelopen jaar ten minste één ernstig cloud security-incident meegemaakt (zoals data-inbreuken, datalekken en andere inbreuken in de data-omgeving);
- 41% van de respondenten zegt dat cloudgebaseerde diensten de complexiteit vergroten waardoor hun security-inspanningen nog gecompliceerder worden; en,
- bijna de helft (49%) van de organisaties vindt dat de implementatie sneller verloopt als gevolg van de verbeterde cloud security.
"Dit nieuwe onderzoek moet dienen als een waarschuwing dat ons collectieve cloud securityrisico universeel is en alleen maar groter zal worden als we blijven vasthouden aan verouderde benaderingen en legacy-tools", zegt Josh Stella, Vice President, Chief Architect, Snyk. "De vooruitzichten zijn echter niet helemaal somber, want de resultaten laten ook duidelijk zien dat het verschuiven van cloud security naar de bron en het omarmen van DevSecOps-samenwerking wereldwijde organisaties in staat kan stellen hun huidige innovatietempo veiliger voort te zetten."
80% heeft te maken gehad met een ernstig cloud security-incident, startups en publieke sector momenteel het zwaarst getroffen
Cloud-klanten afkomstig van organisaties van alle groottes en sectoren werden in de afgelopen 12 maanden getroffen door ernstige security-incidenten in de cloud, dit gold vooral voor startups (89%) en organisaties in de publieke sector (88%). Aan de andere kant deden ondernemingen het beter (waarschijnlijk door grotere investeringen) terwijl midden- en kleinbedrijven (MKB’s) het minst werden getroffen (waarschijnlijk als gevolg van een kleinere cloud-voetafdruk en minder complexiteit in de infrastructuur).
Respondenten gaven aan dat data-inbreuken, datalekken en andere inbreuken in de data-omgeving tot de ernstigste incidenten behoorden waarvan zij op de hoogte waren. Al deze incidenten brengen ongetwijfeld hoge kosten met zich mee voor wereldwijde bedrijven, inclusief, maar niet beperkt tot, boetes voor mislukte audits en compliance-overtredingen, cryptomunten op de cloud bill van de klant en productiviteitsverlies als gevolg van systeemuitvallen.
Het zegt ook veel dat respondenten aangeven dat dit universele risico op de korte termijn waarschijnlijk zal toenemen. De respondenten zeggen het volgende:
- Een kwart (25%) is bang dat er onlangs een inbreuk op cloudgegevens heeft plaatsgevonden, maar ze zich daar niet van bewust zijn; en,
- de meerderheid (58%) van zowel de securityprofessionals als ontwikkelaars denkt dat het risico van een inbreuk op cloudgegevens bij hun organisatie het komende jaar alleen maar zal toenemen.
Cloud Native-aanpak: 41% noemt extra complexiteit als wisselwerking
Hoewel cloud-native applicatieontwikkeling de moderne ontwikkelaar ongetwijfeld in staat stelt om sneller te werken en meer te produceren, zijn er tegelijkertijd nieuwe uitdagingen en complexiteiten ontstaan doordat er meer ruimte is voor cyberaanvallen en de duidelijke afbakening van de verantwoordelijkheden omtrent security is vervaagd.
Uiteindelijk zijn veel van de huidige mislukkingen op het gebied van cloud security het gevolg van een gebrek aan effectieve samenwerking tussen teams en teamtraining. Wanneer verschillende teams verschillende tools of beleidskaders gebruiken, kan het een uitdaging zijn om het werk tussen die teams op elkaar af te stemmen en te zorgen voor consistente handhaving. Bovendien leidt ontoereikende tooling die valse positieven oplevert, vaak tot zogenoemde ‘waarschuwingsmoeheid’ binnen securityteams, wat bijdraagt aan menselijke fouten bij het identificeren van de kritieke problemen die weldegelijk prioriteit moeten krijgen en moeten worden aangepakt.