Pandemin har fått många företag att börja använda molnbaserade applikationer. Anledningen är att allt fler medarbetare jobbar på distans. I en undersökning som Menlo Security har gjort bland 200 it-chefer svarade 40 procent av de tillfrågade att de utsätts för fler angrepp på grund av denna trend. 

Det finns bra sätt och dåliga sätt att migrera till molnet. Många av de dåliga sätten är inte precis nya. På en Gartnerkonferens 2019 var det till exempel två it-chefer som berättade att deras driftsättning av Office 365 hade gått i stå – de behövde först uppgradera föråldrad utrustning. Vad som har förändrats nu är hur vi använder – och delar med oss av – våra hemmadatorer. Persondatorn är inte längre personlig. Samma dator kan vara ungarnas virtuella klassrum och dessutom köra partnerns applikationer. Sommaren 2020 gjorde Cyberark en enkät som visade att mer än hälften av de tillfrågade sparade sina lösenord i webbläsarna på deras jobbdatorer. Sådant bådar inte gott för it-säkerheten.

Här är de viktigaste sju misstagen som hotar it-säkerheten och tips om hur du undviker dem.

1. Använda vpn för distansuppkoppling

Med tanke på alla som jobbar på distans är en vpn-tjänst kanske inte bästa sättet att ansluta till företagsnätverket på distans. Se bara vad som hände i december 2020 – Fireeye-hacket. Hackarna tycks ha använt ett komprometterat vpn-konto för att komma in i nätverket. Förr var vpn kanske rätta sättet att ansluta medarbetare på distans. Men nu är det bättre att ersätta vpn med nolltillitsnätverk, där identiteten är kontrollplanet och tillhandahåller accessdetaljerna. Man bör också förvissa sig om att det finns en aktuell policy för it-säkerhet för distansarbete. Den bör ha utarbetats efter att pandemin bröt ut och ta med i beräkningen sådant som hemmadatorn som används av familjemedlemmar.

2. Att sätta ihop fel molnportfölj

Med detta menar jag att man måste beakta flera faktorer. Behöver du privata moln för att hålla verksamhetskritiska data åtskilda från resten av universum? Har du rätt utföranden av operativsystem för att kunna köra appar som förutsätter bestämda varianter av Windows och Linux? Har du rätt kopplingar och autentiseringsskydd för samverkan med appar som körs från lokalerna och med utrustning som inte migrerats? Om du har en äldre stordatorapp så vill du nog först köra den i ett privat moln och först därefter försöka hitta något som är tillräckligt likt stordatorupplägget.

3. Din säkerhetshållning är inte rätt för molnet

Bland vanliga misstag inom molnsäkerhet finns oskyddade lagringscontainers, bristfälligt inställda accessrättigheter och autentiseringsparametrar samt otaliga öppna portar. Du bör ha en konsekvent säkerhetshållning oavsett om det gäller företagets lokaler eller någon som ansluter från Timbuktu. Du bör bygga in it-säkerhet från första början innan du migrerar en enda app till molnet. Det var vad Johnson & Johnson gjorde för flera år sedan när företaget migrerade huvuddelen av lasterna till molnet och centraliserade säkerhetsmodellen. Det finns hjälp: Netflix har just släppt ett verktyg med öppen källkod, Consoleme, som kan hantera flera samtidiga sessioner i Amazon Web Services (AWS) i ett enda browserfönster.

4. Ingen testning av återställningsplaner

När testade du senast företagets plan för katastrofberedskap? Troligen var det ett bra tag sedan – särskilt om du har haft fullt upp med det dagliga slitet med att stötta alla som jobbar hemma. Men bara för att era appar finns i molnet får man inte tro att de fungerar oberoende av webbservrar, databasservrar och annan infrastruktur. I en bra plan för katastrofberedskap ingår dokumentation av sådana kopplingar och en handbok för hantering av de viktigaste arbetsflödena.

En annan viktig del av katastrofberedskap är återkommande testning för partiella molnproblem. Risken finns att det blir en del driftsavbrott. Till och med Amazon, Google och Microsoft råkar ut för sådana då och då. Netflix var bland de första som gjorde kaoshantering känt med verktyget Chaos Monkey. Det var utformat för att testa Netflix infrastruktur, som körs i AWS, genom att hela tiden, rent slumpmässigt, stänga av servrar i produktionen.

Använd dessa lärdomar och verktyg för att utveckla egen kaotiserad feltestning, särskilt sådana tester som kan avslöja brister i din molnkonfigurering. Nyckeln är att göra detta automatiskt och löpande för att upptäcka flaskhalsar och brister i infrastrukturen. Förutom verktygen i öppen källkod från Netflix så finns det kommersiella produkter som Verodin/Mandiants Security Validation, SafeBreachs Breach and Attack Simulation, Cymulates simulation tools och AttackIQ:s Security Optimization Platform.

5. Ingen optimering av autentiseringen för molndominerade portföljer

Du kanske har verktyg för identitets- och åtkomsthantering i olika former, anskaffade på den tiden då hela systemet kördes i företagets datorhall. Det är i så fall inte lika bra för autentisering när det mesta körs i molnet av användare på distans. Därför bör du granska dina existerande verktyg extra noga för att se om de verkligen klarar en molnmiljö och en molnbaserad applikationsportfölj. Tänk på att en CASB (cloud access security broker – säkerhetssystem för molntjänster) kan vara utmärkta när det gäller hantering av access till molnet, men du kan också behöva något som fungerar med egenutvecklade program och skyddar mot mer sofistikerade och sammansatta hot.

6. En inaktuell Active Directory

”Identitet är det nya skalskyddet och data flödar överallt”, sa David Mahdi och Steve Riley från Gartner i ett föredrag i höstas:

– Du måste ge rätt personer rätt access till rätt resurser vid rätt tidpunkt av rätt skäl.

Det är mycket att tänka på. Och det kan betyda att din Active Directory (AD) inte svarar mot verkligheten. Varken när det gäller nuvarande, auktoriserade användare eller nuvarande, auktoriserade appar och servrar. Dags att ta fram trädgårdssaxen. Migreringen till molnet går bäst om du migrerar aktuell och tillförlitlig information.

7. Att inte be om hjälp

Många företag som erbjuder it-säkerhet som funktionstjänst (managed security services providers, MSSP) är specialister på denna typ av migreringar, och du ska inte dra dig för att be dem om hjälp.Du själv är kanske för upptagen för att ägna full uppmärksamhet åt migreringen, så du kanske missar något viktigt. Eller du kanske har så brått att flytta allt till molnet att du lämnar några bakdörrar öppna eller skapar sårbarheter.