Nog nooit eerder hebben gebruikers toegang tot zoveel verschillende applicaties als nu, en nog nooit zijn de mogelijkheden tot het delen van bestanden zo talrijk geweest. Dat gaat alleen maar meer worden, wat grote consequenties heeft voor de veiligheid van gegevens en applicaties. Tussen die applicaties zitten ook grote hoeveelheden waarvan de ICT-afdelingen geen of weinig weet hebben, zo waarschuwt Geert Bussé, Security Solutions Manager bij distributeur Westcon. Denk bijvoorbeeld aan het delen van vertrouwelijke informatie via een privé dropbox-account. “Daarmee vormen cloudapplicaties een risico voor datalekken”, zo zegt hij.
De reden dat deze ‘Shadow IT’ ontstaat, is volgens Bussé dat organisaties soms moeite hebben om applicaties snel beschikbaar te maken voor eindgebruikers. Dat terwijl de behoefte aan bepaalde functies bestaat. “Ze vragen zich dan af: als IT mij zo’n applicatie niet kan bieden, waarom zou ik dan niet zelf iets gaan gebruiken?”, stelt Bussé. Hij maakt een onderscheid tussen sanctioned apps en unsanctioned apps. “Die eerste groep zijn goedgekeurd door IT en mogen worden ingezet door de gebruikers”, zegt hij. “Dat betekent niet dat ze geen risico vormen. Uiteraard moeten die applicaties wel gemonitord en gecontroleerd worden, maar ze zijn tenminste doorgelicht.” Een ander verhaal is het met unsanctioned apps, de applicaties die niet zijn goedgekeurd omdat ze niet aan de security-eisen voldoen of omdat het gebruik ervan domweg niet bekend is bij de beheerder. Daarmee is het volgens Bussé zaak deze applicaties te ontwaren en te blokkeren, of alsnog te controleren en hun functionaliteit te beperken. Maar ook om vanuit de IT-afdeling met alternatieven te komen. De uitdaging zit in het aantal unsanctioned apps. “Het is als een ijsberg”, zegt hij. “De sanctioned apps staan boven water en zie je, maar het aantal unsanctioned apps is in veel gevallen een factor tien groter.” Door het gebruik van Shadow Apps kan Shadow Data ontstaan: vertrouwelijke gegevens die buiten het bedrijf belanden, omdat ze via een ongesanctioneerde app zijn gedeeld met derden. “De gebruiker, in plaats van de ICT-afdeling, krijgt opeens de controle met wie gegevens worden gedeeld.”
Westcon beveelt daarom enkele stappen aan om cloudsecurity te positioneren. “Om te beginnen is het zaak een audit uit te voeren om in kaart te brengen welke apps in gebruik zijn. Wij hebben in ons productgamma oplossingen en tools die dit mogelijk maken ”, vertelt Bussé. Het is op basis van zulke audits in het verleden dat de enorme hoeveelheid van unsanctioned apps duidelijk is geworden.
Daarna komt volgens Bussé de risicoanalyse, waarbij per app een risk matrix wordt opgesteld en enforced met behulp van Cloud Access Security Broker (CASB)-technologie. “De analyse bestaat uit enkele parameters”, legt Bussé uit. Hij pakt een document om de lijst van criteria te kunnen noemen. “Er wordt onder meer gekeken naar de access, beheerscomponenten, compliance van bepaalde applicaties, en of data-sharing wordt toegelaten”, somt hij op. “Ook of een applicatie kan integreren met single sign on of active directory wordt meegenomen.” CASB bevindt zich tussen de gebruiker en de applicatie, of wordt geïntegreerd met de cloudapplicaties. “Als de gebruiker naar een bepaalde app gaat, dan passeert hij een controlepunt, een gateway of proxy. Die bepaalt op basis van criteria of de transfer van de data mag en zorgt daarmee voor proactieve beveiliging”, zegt Bussé. “CASB heeft dus de intelligentie om een groot aantal applicaties te identificeren en te bepalen of de informatie naar de applicatie toegelaten is.”
Daarnaast wordt bij CASB ook een applet gebruikt die direct interacteert met de cloudapplicatie. Via een API met de SaaS-applicatie controleert die de data in de applicatie, evenals de toegangsrechten. “Het voordeel ten opzichte van de proxy is hierbij dat men ook beveiligingslekken kan opsporen en analyseren die plaatsgevonden hebben voordat de CASB zelf was geïmplementeerd”, legt Bussé uit.
Een ander beveiligingsrisico dat toeneemt met de implementatie van cloudapplicaties is de verspreiding van malware. “De verbinding met cloudapplicaties gaat via een SSL-beveiligde tunnel, dus als de security niet ingeregeld is dat die tunnels worden gedecrypteerd voor analyse, kan die malware ongehinderd zijn weg vinden naar de endpoints. Cloud Security-oplossingen kunnen dit probleem aanpakken door verdachte files in een virtuele omgeving in de cloud uit te voeren. Zo wordt malware die zich schuil houdt in bijvoorbeeld Office365, Dropbox of Google Drive geïdentificeerd en afgestopt.”
Meerdere vendoren in het Westconportfolio hebben ondertussen hun securityoplossingen aangevuld met cloudsecurity en zelfs CASB. Dat betekent ook dat Westcon investeert in de kennis onder partners over cloudsecurity. “Daarom hebben we in maart evenementen in Nederland en België georganiseerd over dit onderwerp”, zegt hij. Tijdens beide ‘How Big is you Shadow’- events, waarvan een plaatsvond in Den Haag in het Louwman Museum, zijn sessies afgeleverd door marktleiders op het gebied van cloudsecurity. “Beide events zijn goed ontvangen, met een honderdtal aanwezigen”, besluit Bussé.
