Παρά το γεγονός ότι το Cloud, γίνεται ολοένα και περισσότερο αποδεκτό από τις όλες κάθετες αγορές ως βασικός πυλώνας του ψηφιακού μετασχηματισμού, παράγοντας ενίσχυσης της παραγωγικότητας και εξοικονόμησης κόστους, είναι αλήθεια ότι δεν έχουν εκλείψει κάποιοι προβληματισμοί σχετικά με την ασφάλεια.

Cloud Security Concept

Έρευνες σε παγκόσμιο επίπεδο καταδεικνύουν τι υπάρχουν αρκετές επιχειρήσεις και οργανισμοί από όλο το φάσμα των αγορών, ανεξαρτήτου μεγέθους, που εξακολουθούν να είναι προσεκτικοί, ίσως και επιφυλακτικοί θα λέγαμε απέναντι στην καθολική αξιοποίηση των cloud υπηρεσιών, με γνώμονα την ασφάλεια. Παρόλο που πραγματικά σήμερα οι κίνδυνοι που σχετίζονται αποκλειστικά με το cloud έχουν μειωθεί σε πολύ μεγάλο βαθμό, οι ομάδες ασφάλειας IT αντιμετωπίζουν σημαντικές προκλήσεις προκειμένου να διατηρήσουν προστατευμένα τα δεδομένα που υπάρχουν σε cloud υποδομές και εικονικά δίκτυα. Φυσικά, η ανάγκη για προστασία δεδομένων δεν είναι καινούργια, όμως το συνεχές μεταβαλλόμενο τοπίο χρήσης του cloud στις επιχειρήσεις αναθεωρεί τα παραδοσιακά μοντέλα ασφαλείας και δημιουργεί κάποιους νέους ποιοτικά κινδύνους, τόσο για τους χρήστες όσο και για τους παρόχους.

Για να αξιολογήσουμε καταρχήν τους κινδύνους στο cloud θα πρέπει πάνω από όλα να μπορέσουμε να προσδιορίσουμε με σαφήνεια όλες τις παραμέτρους που σχετίζονται με το συγκεκριμένο μοντέλο υποδομής IT, να καταγράψουμε όλα τα συστατικά στοιχεία και να εκτιμήσουμε την υπάρχουσα κατάσταση αλλά και τις μελλοντικές τεχνολογικές τάσεις. Το μόνο σίγουρο είναι, ότι το παραδοσιακό μοντέλο των Data Center, ιδιαίτερα στο μέλλον, διαφοροποιείται συνεχώς μετατρέποντας την IT υποδομή σε μια ελαστική, ευέλικτα κατανεμημένη υποδομή που θα βασίζεται στην εικονικοποιήση. Αυτή η αλλαγή εξελίσσεται εδώ και αρκετά χρόνια, ενώ ως μοντέλο ήδη υφίσταται και αναμένεται να καθιερωθεί ακόμα περισσότερο στο προσεχές μέλλον. Θα πρέπει να αναφέρουμε πάντως, ότι κάποιες κατηγορίες επιχειρήσεων και οργανισμών, τώρα και στο άμεσο μέλλον ενδέχεται να συνεχίσουν να διατηρούν ορισμένες εφαρμογές και δεδομένα “κοντά τους” σε τοπικές υποδομές αποθήκευσης και διαχείρισης δεδομένων, αλλά αυτό ενδέχεται να αποτελεί την εξαίρεση και όχι ο κανόνας.

 

Το υπολογιστικό νέφος εισάγει νέους κινδύνους ασφάλειας;

Σύμφωνα με τον Διεθνή Οργανισμό Τυποποίησης (ISO), ως κίνδυνος ορίζεται «η επίδραση της αβεβαιότητας στους στόχους». Ειδικότερα και σχετικά με τους κινδύνους στο cloud, ένα καλό ερώτημα προκειμένου να ξεκινήσει η σχετική συζήτηση, είναι το κατά πόσο το υπολογιστικό νέφος εισάγει αποκλειστικά νέες και περισσότερες μορφές κινδύνου, που δεν υπήρχαν σε προηγούμενα υπολογιστικά οικοσυστήματα; Δηλαδή θα πρέπει να κατανοήσουμε πόσοι από αυτούς τους κινδύνους που εμφανίζονται να σχετίζονται με το cloud, αφορούν αποκλειστικά το cloud ως αποτέλεσμα της φύσης της αρχιτεκτονικής του. Ως μια γενική τοποθέτηση θα πρέπει να πούμε ότι το υπολογιστικό νέφος δεν είναι περισσότερο ή λιγότερο ασφαλές από την τοπική αρχιτεκτονική αποθήκευσης και διαχείρισης των δεδομένων και εφαρμογών. Υπάρχουν θα λέγαμε περισσότερο ποιοτικές διαφορές και όχι ποσοτικές σε ότι αφορά τους κινδύνους και κυρίως θα πρέπει να αναφέρουμε ότι είναι διαφορετική η διαχείριση αυτών των κινδύνων. Είναι δεδομένο άλλωστε ότι ολόκληρα οικοσυστήματα εφαρμογών που εκτελούνται στο δημόσιο σύννεφο, διαθέτουν ένα σύνολο αμυντικών μηχανισμών ασφαλείας πολύ υψηλού επιπέδου.

Ενδιαφέρον παρουσιάζει η προσέγγιση του ENISA, σχετικά με τις τρωτότητες που αφορούν τη χρήση του cloud, τις οποίες διακρίνει σε τρεις βασικούς τομείς:

  • Πολιτική και Οργανωτική – Που περιλαμβάνει την επιλογή του παρόχου, τη διακυβέρνηση, τη συμμόρφωση και τη φήμη ενός οργανισμού.
  • Τεχνικές προδιαγραφές – Πρόκειται για την εσφαλμένη διαχείριση των πόρων, την αποτυχία απομόνωσης των υποδομών, τις κακόβουλες εσωτερικές ενέργειες, υποκλοπή και διαρροή δεδομένων, άρνηση παροχής υπηρεσιών (DDoS) και απώλεια κλειδιών κρυπτογράφησης
  • Νομική –  Όπως, αλλαγές δικαιοδοσίας, κίνδυνοι προστασίας δεδομένων και κίνδυνοι αδειοδότησης.

 

Αντιλαμβανόμαστε λοιπόν, ότι περισσότερα από αυτά τα τρωτά σημεία δεν αφορούν αποκλειστικά τις τεχνολογίες του cloud, αλλά είναι αποτέλεσμα μιας διαφορετικής αρχιτεκτονικής και αφορούν κάθε αλλαγή και μετάβαση της τεχνικής διεργασίας σε μια πληροφοριακή υποδομή. Όποτε, θα πρέπει να εξετάσουμε τις αναδυόμενες απειλές από το cloud με βάση τις ειδικές συνθήκες που δημιουργεί μια αρχιτεκτονική που θα βασίζεται στις αντίστοιχες υπηρεσίες.

Με βάση λοιπόν την αξιολόγηση αυτών των απειλών, μπορούμε να διαμορφώσουμε και την ασφάλεια στο cloud. Ως ασφάλεια στο cloud, ορίζουμε την προστασία δεδομένων, εφαρμογών και υποδομών που σχετίζουμε με το cloud computing, ενώ όπως προαναφέραμε πολλές πτυχές της ασφάλειας για περιβάλλοντα στο σύννεφο (είτε πρόκειται για δημόσιο, είτε για ιδιωτικό είτε για υβριδικό σύννεφο) είναι οι ίδιες όπως και για οποιαδήποτε τοπική IT αρχιτεκτονική.

Οι βασικές ανησυχίες για την ασφάλεια – όπως η μη εξουσιοδοτημένη πρόσβαση στα επιχειρηματικά δεδομένα και οι διαρροές πληροφοριών, οι αδυναμίες στους ελέγχους πρόσβασης, η ευπάθεια σε επιθέσεις – επηρεάζουν εξίσου τα παραδοσιακά συστήματα πληροφορικής και το cloud. Όπως σε κάθε υπολογιστικό περιβάλλον, έτσι και στην ασφάλεια του υπολογιστικού νέφους θα πρέπει να λαμβάνονται τα κατάλληλα μέτρα προκειμένου να διατηρούνται τα δεδομένα και τα συστήματα προστατευμένα, να υπάρχει ανά πάσα στιγμή η βέλτιστη ορατότητα στη τρέχουσα κατάσταση ασφάλειας, να μπορεί ο οργανισμός να γνωρίζει άμεσα αν συμβεί κάτι το ασυνήθιστο ώστε να μπορεί εντοπίσει συγκεκριμένα και να ανταποκριθεί άμεσα σε απροσδόκητα γεγονότα που θέτουν σε κίνδυνο την ασφάλεια.

Συλλέγοντας και ομαδοποιώντας τις βασικές απειλές ή καλύτερα τρωτότητες που μπορεί να σχετίζονται τη χρήση του cloud στους οργανισμούς και τις επιχειρήσεις θα μπορούσαμε να είχαμε της εξής κατηγοριοποίηση:

  • Έλλειψη κοινής ευθύνης και ανεπαρκή συνεργασία
  • Απουσία εργαλείων προστασίας και έλλειψη έλεγχων
  • Ανθρώπινα σφάλματα από εσωτερικούς παράγοντες
  • Κακόβουλες εσωτερικές ενέργειες
  • Αδυναμία ελέγχου των εξουσιοδοτημένων προσβάσεων
  • Ευπάθειες σε λογισμικά συστήματα και εφαρμογές
  • Μη ασφαλή API – Application Programming Interfaces
  • Μη προστατευμένες IoT συσκευές

 

Ανάληψη κοινής ευθύνης και συνεργασία

Ορισμένοι οργανισμοί πιστεύουν εσφαλμένα ότι, εφόσον τα επιχειρηματικά τους δεδομένα βρίσκεται στο σύννεφο, δεν έχουν πλέον την ευθύνη να τα προστατεύουν. Όμως, οι πάροχοι των υπηρεσιών cloud (CSP) τις περισσότερες φορές δεν έχουν αποκλειστικά την υποχρέωση να προστατεύουν τα επιχειρηματικά δεδομένα των πελατών τους, πέρα από τις καθορισμένες υπηρεσίες για τις οποίες έχουν συμφωνήσει και περιγράφονται λεπτομερώς στις συμβάσεις. Αυτό σημαίνει ότι η διατήρηση των δεδομένων, η ανθεκτικότητα και η ασφάλεια τους είναι κατά κύριο λόγο ευθύνη των επιχειρηματικών χρηστών – και όχι μόνο των παρόχων. Θα πρέπει λοιπόν οι επιχειρήσεις να κατανοήσουν το μοντέλο της κοινής ευθύνης του παρόχου και τα βήματα που πρέπει να ακολουθήσουν προκειμένου να προστατεύσουν τα επιχειρηματικά δεδομένα τους στο cloud. Επιπλέον, θα πρέπει να μετριάσουν τους κινδύνους απώλειας δεδομένων κατανέμοντας το σύνολο αυτών και τις υπηρεσίες αποθήκευσης, σε δύο ή περισσότερες περιοχές cloud. Εξίσου σημαντική πρακτική προστασίας δεδομένων, είναι πάντα η δημιουργία αντιγράφων ασφάλειας, η κρυπτογράφηση και η ορθή διαχείριση και προστασία των κλειδιών κρυπτογράφησης.

Σε σχέση με την ανάληψη κοινής ευθύνης ασφάλειας στο cloud θα πρέπει λοιπόν να επισημάνουμε ότι κάθε επιχείρηση είναι υπεύθυνη για την προστασία του δικού της χώρου μέσα στο cloud για αυτό και θα πρέπει να λαμβάνει μια σειρά από μέτρα όπως τη χρήση αξιόπιστου λογισμικού από γνωστές πηγές με μηχανισμούς για έγκαιρη παροχή και εγκατάσταση ενημερωμένων εκδόσεων. Πριν την υιοθέτηση και ανάπτυξη cloud υποδομών και υπηρεσιών θα πρέπει ληφθεί υπόψη και να κατανοηθεί απόλυτα η συμμόρφωση σε κανονισμούς όπως για παράδειγμα τον GDPR. Εξίσου σημαντική μέριμνα είναι η δυνατότητα εύκολης μετάβασης σε κάποιο άλλο σύννεφο ως μια μελλοντική επιλογή αν χρειαστεί. Οι CSPs παρέχουν κάποιες εγγυήσεις έναντι της απώλειας δεδομένων. Ωστόσο, κανένα σύστημα δεν μπορεί να είναι τέλειο αφού είναι γεγονός ότι ακόμα και μεγάλοι πάροχοι cloud έχασαν δεδομένα πελατών. Όπως συμβαίνει με όλες τις πτυχές του cloud computing, η ανταπόκριση στα συμβάντα ασφαλείας θα πρέπει να είναι κοινή ευθύνη. Θα πρέπει να η κάθε επιχείρηση να μάθεις πώς να συνεργάζεται με τον CSP για τη διεύρυνση και αντιμετώπιση πιθανών περιστατικών ασφάλειας.

 

Ανεπάρκεια εργαλείων προστασίας και η έλλειψη έλεγχων

Οι πάροχοι υπηρεσιών δημόσιου cloud, διαθέτουν μια σειρά από εργαλεία και υπηρεσίες που έχουν σχεδιαστεί για τη βελτίωση της ασφάλειας, την προστασία των πόρων τους και την αντιμετώπιση των επιθέσεων. Για παράδειγμα, υπηρεσίες που απευθύνονται και σε ιδιώτες όπως οι Amazon Web Services προσφέρουν εικονικά ιδιωτικά σύννεφα, firewalls εφαρμογών, κρυπτογράφηση και αποκλειστικές συνδέσεις για παράκαμψη του δημόσιου διαδικτύου. Το όφελος από αυτά τα εργαλεία καθώς και από εργαλεία παρακολούθησης, όπως το Google Stackdriver και το Azure Monitor, είναι σημαντικά προκειμένου να εντοπιστούν πιθανές απειλές ασφάλειας του cloud.

Οι δοκιμές διείσδυσης (Penetration Testing) στους οργανισμούς, είναι ιδιαίτερα σημαντικές προκειμένου να αξιολογηθεί η ανταπόκριση ενός συστήματος απέναντι σε επιθέσεις και να εντοπιστούν οι ευπάθειες ενώ οι πάροχοι των υπηρεσιών cloud μπορούν να βοηθήσουν σημαντικά στη διενέργεια αυτών των δοκιμών.

Οι προηγμένες απειλές APTs επηρεάζουν εξίσου αρνητικά το cloud. Τα ολοένα και πιο εξελιγμένα κακόβουλα προγράμματα και οι αντίστοιχες προηγμένες επιθέσεις, έχουν σχεδιαστεί για να αποφεύγουν τις δικτυακές άμυνες στοχεύοντας σε τρωτά σημεία στις πληροφοριακές υποδομές. Μπορεί να είναι σχεδόν ακατόρθωτο για τους χρήστες του cloud να αντιμετωπίσουν ορισμένες προηγμένες επιθέσεις, όπως οι επιθέσεις DDoS, όταν αυτές βρίσκονται σε εξέλιξη αν δεν υπάρχουν οι κατάλληλοι μηχανισμοί προστασίας για αυτό και θα πρέπει ο κάθε οργανισμός να επιζητά και να αξιοποιεί τις υπηρεσίες προστασίας DDoS των παρόχων cloud.

Ο παράγοντας άνθρωπος και αποφυγή λαθών

Το ανθρώπινο στοιχείο εξακολουθεί να είναι ένας από τους ασθενέστερους κρίκους στον τομέα της ασφάλειας στο IT. Το ίδιο ίσως και σε μεγαλύτερο βαθμό ισχύει ειδικά και για το σύννεφο. Το ηλεκτρονικό “ψάρεμα” (phishing), η κοινωνική μηχανική και άλλες μορφές απάτης, μπορεί να επιτρέψουν στους κακόβουλους χάκερ να υποκλέψουν τα στοιχεία εξουσιοδοτημένης πρόσβασης σε λογαριασμούς cloud, κάτι που θα έχει ολέθριες συνέπειες για το σύνολο των εφαρμογών και των δεδομένων. Προφανώς οι απειλές για την ασφάλεια στο cloud – όπως και στις κλασσικές αρχιτεκτονικές – δεν προέρχονται μόνο από εξωτερικούς παράγοντες αλλά και από εσωτερικές κακόβουλες ενέργειες. Είναι επιτακτική ανάγκη οι οργανισμοί να αντιμετωπίσουν τις ελλείψεις στα θέματα ελέγχου και διαχείρισης ταυτότητας, τις αδυναμίες στους κωδικούς πρόσβασης και τα υπόλοιπα πρωτόκολλα ασφάλειας. Οι αδυναμίες αυτές μπορεί πέρα από το να επιτρέψουν την εκδήλωση περισσότερων επιθέσεων να οδηγήσουν τους υπαλλήλους  στο να κάνουν σημαντικά λάθη με απρόβλεπτες συνέπειες. Σαφώς και υπάρχουν τρόποι προκειμένου μια επιχείρηση να προστατευτεί από τις απειλές ασφάλειας στο cloud που προέρχονται από ανθρώπινο λάθος. Οι διαχειριστές θα πρέπει να εκπαιδεύουν τους χρήστες και να εφαρμόζουν βέλτιστες πρακτικές και επικαιροποιημένες πολιτικές για την ασφάλεια με πιστοποιημένες διαδικασίες. Πρέπει να διασφαλιστεί ότι οι διαδικασίες δημιουργίας αντιγράφων ασφαλείας και ανάκτησης δεδομένων ανταποκρίνονται στις ανάγκες του οργανισμού.

Η πρόληψη της μη εξουσιοδοτημένης πρόσβασης στο σύννεφο απαιτεί τη μετάβαση σε μια προσέγγιση με βάση τα δεδομένα. Ο κανόνας είναι ένας και απλός: Κρυπτογραφήστε τα δεδομένα και ενισχύστε τις διαδικασίας αυθεντικοποιήσης με ισχυρούς κωδικούς πρόσβασης και έλεγχο ταυτότητας 2 παραγόντων. Διαχειριστείτε σωστά τα σχετικά κλειδιά κρυπτογράφησης για να διασφαλίσετε την αποτελεσματική κρυπτογράφηση.

Βέλτιστη Διαχείριση της πρόσβασης

Η καλύτερη δυνατή διαχείριση πρόσβασης – Access Management – είναι ιδιαίτερα σημαντική για την αποτροπή συμβάντων ασφάλειας στο cloud που οφείλονται στον ανθρωπινό παράγοντα και βασίζεται σε τρεις κύριες δυνατότητες: την ικανότητα αναγνώρισης και ταυτοποίησης των χρηστών, την ικανότητα ορθής εκχώρησης δικαιωμάτων πρόσβασης στους χρήστες και τη δυνατότητα δημιουργίας και εφαρμογής ορθών πολιτικών ελέγχου πρόσβασης όπως αναλύονται παρακάτω:

  • Έλεγχος ταυτότητας χρηστών – Χρησιμοποιήστε έλεγχο ταυτότητας χρηστών πολλαπλών παραγόντων προκειμένου να μειώσετε τον κίνδυνο υποκλοπής στοιχείων πρόσβασης. Τα “διαπιστευτήρια ταυτοποίησης χρήστη” αν υποκλαπούν επιτρέπουν σε έναν εισβολέα να ελέγχει και να ρυθμίζει τις παραμέτρους του cloud ενός πελάτη. Η χρήση πολλαπλών παραγόντων αυθεντικοποιήσης θα αναγκάσει κάποιον επίδοξο εισβολέα να αποκτήσει πολλαπλά, ανεξάρτητα στοιχεία ελέγχου ταυτότητας, κάτι που θεωρητικά πρακτικά είναι ιδιαίτερα δύσκολο.
  • Εκχώρηση δικαιωμάτων πρόσβασης χρήστη . Αναπτύξτε ένα σύνολο ρόλων για κάθε χρήστη προκειμένου να καλύψετε τόσο τις κοινές ευθύνες όσο και τις ατομικές ευθύνες. Οι CSP μπορούν να παρέχουν συμβουλές για το σχεδιασμό αυτών των που θα πρέπει να διασφαλίζουν ότι κανένα άτομο δεν μπορεί να επηρεάσει αρνητικά ολόκληρο το εικονικό οικοσύστημα δεδομένων. Θα πρέπει επίσης να επισημάνουμε ότι οι προγραμματιστές και οι διαχειριστές των συστημάτων δεν πρέπει να έχουν ανεξέλεγκτη πρόσβαση στους πόρους, μετριάζοντας το ρίσκο ενός κακόβουλου εσωτερικού παράγοντα. Οι προγραμματιστές θα πρέπει να περιοριστούν σε έργα που έχουν ανατεθεί και οι διαχειριστές των συστημάτων να περιορίζονται στους καθορισμένους πόρους. Ο έλεγχος πρόσβασης βάσει ρόλων μπορεί να χρησιμοποιηθεί για τη δημιουργία προνομίων και για προγραμματιστές και για διαχειριστές συστημάτων.
  • Δημιουργία και επιβολή πολιτικών πρόσβασης. Οι πάροχοι υπηρεσιών cloud προσφέρουν διάφορους τύπους υπηρεσιών αποθήκευσης και κάθε μία από αυτές τις υπηρεσίες μπορεί να έχει μοναδικές πολιτικές πρόσβασης που πρέπει να εκχωρηθούν για την προστασία των δεδομένων που αποθηκεύουν. Οι χρήστες  Cloud υπηρεσιών θα πρέπει να κατανοούν πρωτίστως αλλά και να συνδιαμορφώνουν αυτές τις πολιτικές πρόσβασης για συγκεκριμένες υπηρεσίες.

Ευάλωτα λογισμικά συστήματα και API

Τα APIs (Application Programming Interface) επιτρέπουν σε προγράμματα λογισμικού να διασυνδέονται με εξωτερικές υπηρεσίες, συμπεριλαμβανομένων εκείνων που προέρχονται από έναν πάροχο cloud. Για παράδειγμα, μια επιχείρηση μπορεί να αναπτύξει μια εφαρμογή που χρησιμοποιεί πολλαπλά API για την πρόσβαση και την ανταλλαγή κρυπτογραφημένων δεδομένων με τους πόρους αποθήκευσης ενός παρόχου cloud. Ευπάθειες σε αυτά τα interface και τα APIs μπορούν να εισάγουν νέες απειλές ασφάλειας του cloud και πρέπει να δίνεται ιδιαίτερη προσοχή σε αυτό το σημείο. Η καλύτερη άμυνα απέναντι στα τρωτά σημεία λογισμικού είναι η άμεση διόρθωση από τους προγραμματιστές οποιουδήποτε λάθους εντοπιστεί και η διενέργεια τακτικών ελέγχων για ευπάθειες με πλήρεις αναφορές. Η μετάβαση σε περιβάλλον cloud ενδέχεται να παρουσιάσει κινδύνους που δεν υπήρχαν στην ανάπτυξη των εφαρμογών και των συστημάτων στο εσωτερικό του χώρου. Αφού αναπτυχθούν οι εφαρμογές και τα συστήματα στο cloud θα πρέπει να λειτουργούν με ασφάλεια. Σε αντίθεση με τους φυσικούς διακομιστές, τους δίσκους και τις συσκευές δικτύωσης, το λογισμικό ορίζει την εικονική υποδομή του cloud. Κατά συνέπεια, η υποδομή μπορεί να αντιμετωπιστεί ως πηγαίος κώδικας, ο οποίος θα πρέπει να διαχειρίζεται ως ένα σύστημα ελέγχου πηγαίου κώδικα, με εφαρμογή των διαδικασιών ελέγχου αλλαγής. Τα συστήματα ελέγχου πηγαίου κώδικα έχουν αποδειχθεί αποτελεσματικά στη διαχείριση της ανάπτυξης λογισμικού. Αυτές οι ίδιες πρακτικές μπορούν να προσαρμοστούν για τη διαχείριση της υποδομής του cloud. Οι αλλαγές στους πόρους παραγωγής θα πρέπει να απαιτούν ανεξάρτητη έγκριση πριν από την εφαρμογή από διαχειριστή συστήματος.

Κάποιες φορές είναι πιθανόν να υπάρχουν διάφοροι λόγοι για τους οποίους ίσως είναι απαραίτητο να παροπλιστεί μια εφαρμογή ή ένα σύστημα που αναπτύσσεται στο σύννεφο. Όποια και αν είναι η αιτία, ο σχεδιασμός για παροπλισμό μιας εφαρμογής ή ενός συστήματος θα πρέπει να γίνει πριν από την ανάπτυξη.

Μη προστατευμένες IoT συσκευές – Όπως οι περισσότερες έρευνες δείχνουν, τα επόμενα χρόνια, οι συσκευές Internet of Things θα προσθέσουν στο πεδίο δεκάδες δισεκατομμύρια αισθητήρες συλλογής δεδομένων. Στην ουσία κάθε μια από αυτές τις συσκευές αποτελεί ένα τελικό σημείο δικτύου, με συγκεκριμένη διαμόρφωση και διεύθυνση IP. Ένας εσφαλμένος σχεδιασμός του λογισμικού, τα λάθη διαμόρφωσης και άλλες παραλείψεις, μπορούν να μετατρέψουν μια IoT συσκευή σε κερκόπορτα για κακόβουλες ενέργειες και να εκθέσουν τα δεδομένα που υπάρχουν σε αυτή. Οι συσκευές IoT απαιτούν μεγάλη αυτοματοποίηση για τη ρύθμιση, τη διαμόρφωση και την επιδιόρθωση. Ένα απλό σφάλμα ή ελλιπής σχεδιασμός θα μπορούσε να πολλαπλασιάσει τις συνέπειες μια επίθεσης και να ανοίξει το δρόμο και για πολλές άλλες επιθέσεις. Οι απειλές στο κόσμο του IoT δεν προέρχονται μόνο από τους αισθητήρες που συλλέγουν δεδομένα. Υπάρχουν πολλές υποστηρικτικές συσκευές ενεργοποίησης IoT, όπως τα switches, που ανταποκρίνονται στις εντολές που αποστέλλονται στο δίκτυο, συμπεριλαμβανομένων των ροών εργασίας και των δεδομένων που φιλοξενούνται από το cloud. Θα πρέπει λοιπόν, η επιλογή των συσκευών IoT να λαμβάνει υπόψη την ενσωμάτωση ισχυρών λειτουργιών ασφάλειας δικτύου, ενώ θα πρέπει να αξιολογείται πολύ συχνά η ρύθμιση και η διαχείριση συσκευών IoT για τη διατήρηση της ασφάλειας.

Ένα μεγάλο πεδίο δράσης για την αγορά της ψηφιακής ασφάλειας.

Η άνοδος του enterprise cloud computing δημιούργησε μεγάλες ευκαιρίες όχι μόνο για τους παρόχους υπηρεσιών cloud, αλλά και για την παγκόσμια βιομηχανία ψηφιακής ασφαλείας. Η διαχείριση των τρωτών σημείων και η αντιμετώπιση των κινδύνων που σχετίζονται με το cloud, έχει δημιουργήσει μια πολύ μεγάλη αγορά λύσεων και υπηρεσιών που απευθύνονται σε επιχειρήσεις και οργανισμούς, κάθε κατηγορίας, κάθε κλίμακας και ανεξάρτητα από τον όγκο των δεδομένων που έχουν  επιλέξει στο cloud.

Μια προστατευμένη υποδομή στο cloud είναι όπως καταλάβαμε ζωτικής σημασίας παράγοντας για την επιβίωση, την ανταγωνιστικότητα και την ανάπτυξη της και για αυτό η βιομηχανία του ΙΤ Security έχει αναπτύξει μια σειρά λύσεων και εργαλείων που προσφέρονται ως απαραίτητα συστατικά εφαρμογής πολλών από τα μέτρα και τις στρατηγικές που αναπτύξαμε παραπάνω.

Στη συνέχεια του αφιερώματος έχετε την ευκαιρία να διαβάσετε τις προσεγγίσεις στελεχών της ελληνικής αγοράς ψηφιακής ασφάλειας. σχετικά με πολλές από τις πτυχές του μεγάλου κεφαλαίου του cloud security.