Data security in de cloud: deel 2

Data security in de cloud: deel 2

Kwetsbaarheden in cloud-sharing services komen voort uit het gebruik van meerdere cloudservices, waardoor gebruikers hun uitzonderingen moeten blijven aanpassen en aanpassen.

In deel 1 besprak ik enkele grote kwetsbaarheden die met behulp van cloud-sharing services werden veroorzaakt. Dit omvatte routinematig cloudgebruik dat ertoe leidde dat gebruikers e-mails van onbekende adressen openden; voldoen aan formulier-e-mails zonder gepersonaliseerde berichten of onderwerpregels; het klikken op niet-verifieerbare hyperlinks in e-mails en het schenden van cyberveiligheidstrainingen die waarschuwen voor alle bovengenoemde acties. Beveiligingsfouten in cloud-sharing-services zitten niet in de gebruiker, maar in de ontwikkelingsfocus van verschillende cloudservices. 

 

Verschillende verificatieoverwegingen voor cloudservices 

Sommige cloudservices zoals Google Drive zijn gericht op het integreren van hun cloudaanbod met hun alfabet aan services. Andere, zoals Dropbox, zijn gericht op het maken van een zelfstandige platformonafhankelijke portal. Weer anderen, zoals Apple, zijn gericht op het verhogen van de abonnementsinkomsten van hun apparaatgebruikerspopulatie.

Als gevolg hiervan geeft elke provider niet alleen prioriteit aan een ander aspect van het deelproces, maar dit grotere doel komt ook voor de gebruiker - die niets meer is dan een potentieel omzetdoel. 

Dit veranderen betekent meer dan het implementeren van robuustere authenticatieprotocollen en encryptie standaarden. Deze zijn nodig, maar ze doen weinig om kwetsbaarheden te verminderen die geworteld zijn in het aanpassingsproces van de gebruiker. Als er iets is, zorgen ze ervoor dat gebruikers zich moeten aanpassen aan nog meer verschillende implementaties. Het verbeteren van de veerkracht in cloudplatforms vereist een gezamenlijke inspanning van cloudserviceproviders. 

Verschillende cloudservices integreren

Hier kunnen branchegroepen zoals de Cloud Security Alliance helpen door verschillende cloudproviders samen te brengen en een holistische blik te werpen op hoe gebruikers zich aanpassen aan verschillende cloudgebruiksomgevingen en de risico's daarop inschatten. 

Een groot deel van dit streven zal betrekking hebben op het bereiken van de wortel van de Cyber Risk Beliefs (CRB) van gebruikers: hun mentale aannames over de risico's van hun online acties.  We weten uit mijn onderzoek dat veel van deze risicoovertuigingen onnauwkeurig zijn. Veel gebruikers interpreteren het HTTPS-symbool bijvoorbeeld ten onrechte als een website die authentiek is, of dat een PDF-document veiliger is omdat ze het niet kunnen bewerken dan een Word-document.  

We moeten begrijpen hoe CRB zich manifesteert in cloudomgevingen. Het gaat dan om antwoorden op vragen als of gebruikers vinden dat bepaalde clouddiensten veiliger zijn dan andere? En of ze denken dat dergelijke diensten het delen van documenten of het delen van bepaalde soorten documenten via hen veiliger maken? 

Antwoorden op dergelijke vragen zullen onthullen hoe gebruikers zich mentaal oriënteren op verschillende cloudservices, wat ze erop opslaan en hoe ze reageren op bestanden die via hen worden gedeeld. Als gebruikers bijvoorbeeld geloven dat een specifieke portal documenten veilig maakt, zijn ze mogelijk meer bereid om bestanden te openen die naar verluidt afkomstig zijn van dergelijke portals in een spear-phishing-e-mail. Overtuigingen zoals deze kunnen ook van invloed zijn op hoe gebruikers verschillende apps inschakelen op cloudportals, wat ze online opslaan en hoe voorzichtig ze zijn met hun opgeslagen data. Omdat CRB het adaptieve gebruik van verschillende cloudservices beïnvloedt, kan het begrijpen ervan helpen bij het ontwerpen van een veiligere cloudgebruikerservaring. 

Het verbeteren van de informatiebeveiliging op cloudplatforms vereist ook de ontwikkeling van nieuwe technische beperkingen. Omdat veel social engineering-aanvallen malware in hyperlinks verbergen, moeten cloudportals samenwerken en een gevirtualiseerde ruimte ontwikkelen waarin alle gedeelde links worden gegenereerd en geïmplementeerd. Op deze manier is het vervalsen van hyperlinks of het leiden van gebruikers naar watering hole-sites veel moeilijker omdat de domeinen waaruit de links worden gegenereerd uniformer en herkenbaarder zouden zijn voor gebruikers.

Gebruikersinterfaces van cloudservices

Nog een andere focus moet liggen op het verbeteren van het ontwerp van de gebruikersinterface (UI). Voorlopig geeft de gebruikersinterface van programma's voor het delen van bestanden prioriteit aan gemak in plaats van veiligheid. Dit is een vooroordeel dat de developer communtiy doordringt, en de meest opvallende manifestatie is in mobiele apps waar het voor gebruikers moeilijk is om de waarheidsgetrouwheid van e-mails en ingesloten hyperlinks voor het delen van de cloud te beoordelen. 

Om dit te veranderen, moet de gebruikersinterface meer personalisatie van de gedeelde bestanden bevorderen. Gebruikers mogen geen links delen zonder berichten of onderwerpregels en moeten worden gevraagd een handtekening in het bericht op te nemen. Het ontwerp moet ook de nadruk leggen op de acties die gebruikers moeten ondernemen en de nadruk leggen op beoordeling, vooral op mobiele apparaten. Dit kan worden bereikt door het gepersonaliseerde bericht van de gebruiker te markeren, door de volledige URL weer te geven in plaats van deze in te korten, en door het gebruik van wachtwoorden voor het openen van gedeelde documenten noodzakelijk te maken. 

Het UI-ontwerp kan zich ook richten op het integreren van portals voor het delen van bestanden met e-mailservices, zodat koppelingen niet rechtstreeks vanuit de portal worden gegenereerd, maar worden gemaakt vanuit e-mailaccounts waarmee mensen bekend zijn. Op deze manier worden e-mails niet verzonden vanuit onbekende virtuele in-boxen en wordt personalisatie eenvoudiger.

De cloud is slachtoffer van zijn eigen succes

Ten slotte staat onze bestaande gebruikerstraining over e-mailbeveiliging op gespannen voet met het gedrag van eindgebruikers op het gebied van het delen van bestanden in de cloud. Het gebruik van de cloud vandaag de dag betekent het schenden van de op kennis training, wat na verloop van tijd de perceptie van gebruikers van de geldigheid van training verandert. We moeten de training bijwerken om de veiligheid bij het delen en ontvangen van cloudbestanden te benadrukken. Dit betekent nieuwere normen en best practices bevorderen, zoals het gebruik van wachtwoorden en gepersonaliseerde berichten tijdens het delen. Het omvat ook het leren van gebruikers hoe ze kunnen meten of een gedeelde hyperlink een spoof is en de benaderingen voor het implementeren van dergelijke koppelingen in gevirtualiseerde omgevingen, om mogelijke schade te beperken. 

De cloud wordt slachtoffer van zijn eigen succes. Met veel meer spelers die de markt betreden, wordt de gebruikerservaring steeds meer gefragmenteerd en worden kwetsbaarheden vergroot vanwege de verschillende manieren waarop ze elk platform implementeren. Tegenwoordig zijn er honderden providers die verschillende clouddiensten aanbieden, en er komen er nog veel meer online.

De industrie is van plan om nog meer te groeien, omdat we de totale potentiële markt nauwelijks hebben aangeboord - met ergens tussen de 30 en 90 procent van alle organisaties in de VS, Europa en Azië, die het nog moeten adopteren. De gebruikersproblemen zullen dus waarschijnlijk alleen maar toenemen naarmate meer providers en gebruikers de ruimte betreden. 

Dit corrigeren is nu belangrijker dan ooit. Omdat een enkele grote hack het vertrouwen van gebruikers in de hele cloudervaring kan aantasten en het cloudgebruikslandschap voor altijd kan veranderen.

Gerelateerde blogs


Comments
Comments are disabled in preview mode.