Στρατηγικές ασφάλειας σύμφωνα με το Cloud Security Summit

01 Απριλιου 2010
Posted in Επικαιρότητα

H παρουσίαση στρατηγικών για την επαναφορά συστημάτων και την ανάκτηση πληροφοριών ήταν μεταξύ άλλων ο στόχος της έρευνας “Top Cloud Security Threats Report” που εκπόνησε η συμμαχία Cloud Security Alliance (CSA), ένας αναγνωρισμένος μη κερδοσκοπικός οργανισμός, σε συνεργασία με την HP.

Η έρευνα στηρίχθηκε σε εκτενείς συνεντεύξεις εξειδικευμένων στελεχών από 29 επιχειρήσεις, παρόχους λύσεων ασφάλειας και εταιρείες παροχής συμβουλευτικών υπηρεσιών, που καλούνται να διαχειριστούν τα πιο πολύπλοκα περιβάλλοντα cloud computing στον κόσμο. Τα βασικά ευρήματα της έρευνας παρουσιάστηκαν στο Cloud Security Summit που διεξήχθη στο πλαίσιο του συνεδρίου RSA.

Απειλές ασφάλειας cloud computing

Η έρευνα ανέδειξε και άλλες απειλές για περιβάλλοντα cloud computing, μεταξύ των οποίων περιλαμβάνονται:

• Εισβολείς με κακόβουλες προθέσεις
• Τρωτά σημεία τεχνολογιών που χρησιμοποιούνται από κοινού
• Περιπτώσεις απώλειας ή διαρροής δεδομένων
• Δραστηριότητες πειρατείας λογαριασμών και υπηρεσιών

Σήμερα, η υιοθέτηση υπηρεσιών cloud computing αυξάνεται με ολοένα και ταχύτερους ρυθμούς, παρότι η ασφάλεια θεωρείται ο βασικός παράγοντας που αποτρέπει τις επιχειρήσεις από την αξιοποίηση τους. Με τη νέα έρευνα, οι επιχειρήσεις που αξιοποιούν αυτές τις υπηρεσίες μπορούν να αποκτήσουν μεγαλύτερη ορατότητα πάνω σε θέματα ασφάλειας, αλλά και να εκτιμήσουν καλύτερα τους κινδύνους και τα οφέλη που προκύπτουν από την υλοποίηση στρατηγικών cloud computing.

«Οι υπηρεσίες cloud computing είναι σίγουρα η επόμενη γενιά τεχνολογιών πληροφορικής που πρέπει να διαχειριστούν αποτελεσματικά οι επιχειρήσεις. Ως κλάδος, έχουμε συνολικά την ευθύνη να κατανοήσουμε τις απειλές που πιθανώς να συνοδεύουν τη χρήση αυτών των υπηρεσιών και να εφαρμόσουμε βέλτιστες πρακτικές για τη μείωση των κινδύνων για την ασφάλεια τους», δήλωσε ο Jim Reavis, ιδρυτής της Cloud Security Alliance. «Ο στόχος της έρευνας δεν ήταν απλώς η αναγνώριση των απειλών που απασχολούν πιο πολύ τα τμήματα πληροφορικής. Προσπαθήσαμε να βοηθήσουμε τους οργανισμούς να κατανοήσουν πως μπορούν να προστατευθούν έγκαιρα από αυτές», συμπλήρωσε.  Και συνέχισε λέγοντας: «Αυτό ήταν το πρώτο μέρος της ερευνητικής μας πρωτοβουλίας. Η έρευνα θα ανανεώνεται τακτικά, ώστε να αντανακλάται η αύξηση της συμμετοχής των στελεχών, αλλά και η εξέλιξη των απειλών».

Η έρευνα αναγνωρίζει τα τρωτά σημεία που αν προσβληθούν, θα εμποδίσουν την πλήρη αξιοποίηση των υπηρεσιών cloud computing. Για παράδειγμα, οι επιχειρήσεις πρέπει να είναι ενήμερες γύρω από προγράμματα και πρακτικές «κατάχρησης ή επιβλαβούς χρήσης του cloud computing», όπως το κακόβουλο δίκτυο Zeus και τα trojan horses InfoStealing, τα οποία εκμεταλλεύονται με ιδιαίτερη επιτυχία ευαίσθητους ιδιωτικούς πόρους και δεδομένα που υπάρχουν σε περιβάλλοντα cloud computing.

Ωστόσο, αξίζει να σημειωθεί ότι οι απειλές ασφάλειας δεν είναι απαραίτητα προϊόν κακόβουλων προθέσεων. Καθώς οι μηχανισμοί κοινωνικής δικτύωσης εξελίσσονται, όλο και περισσότερες ιστοσελίδες στηρίζονται σε interfaces προγραμματισμού εφαρμογών (APIs), δηλαδή σε ένα σετ λειτουργιών που επιτρέπουν την αλληλεπίδραση μεταξύ προγραμμάτων λογισμικού για την ανταλλαγή δεδομένων από διαφορετικές πηγές. Οι ιστοσελίδες που στηρίζονται σε πολλά APIs συχνά αντιμετωπίζουν προβλήματα λόγω του φαινομένου του «πιο αδύναμου κρίκου», στο οποίο ένα μη ασφαλές στέλεχος μπορεί να έχει αρνητική επίδραση στο ευρύτερο σύνολο των APIs. Έτσι, μπορεί να δημιουργηθεί ένα συνδυασμός τρωτών σημείων και να αναπτυχθούν κακόβουλες τεχνικές που θέτουν σε κίνδυνο την ασφάλεια των συστημάτων και των δεδομένων.

© Σύνδεσμος Επιχειρήσεων Πληροφορικής & Επικοινωνιών Ελλάδας - ΣΕΠΕ 2008 - 2010