‫ شکست امنیت فضای ابری کسب‌و کارها نگران کننده است

سازمان‌های کافی برای اطمینان از ایمن بودن محیط‌های ابری، ممیزی منظم انجام نمی‌دهند.

فقط کمتر از 45 درصد از سازمان‌ها برای اطمینان از ایمن بودن محیط ابری خود، ممیزی و ارزیابی‌های منظمی را انجام می‌دهند، که از آنجایی که برنامه‌ها و بارهای کاری بیشتر به پلتفرم‌های چند ابری منتقل می‌شوند، «نگران‌کننده» است.

در پاسخ به این سوال که چگونه ریسک را در زیرساخت ابری خود رصد می‌کنند، 47.7 درصد از کسب‌و کارها به ابزارهای امنیتی خودکار اشاره کردند در حالی که 46.5 درصد به پیشنهادات امنیتی بومی ارائه دهندگان خود متکی بودند. بر اساس گزارشی از فروشنده امنیتیBitdefender، 44.7 درصد دیگر گفتند که ممیزی‌ها و ارزیابی‌های منظمی انجام داده‌اند.

در این مطالعه که بیش از 1200 متخصص فناوری اطلاعات و امنیت از جمله افسران ارشد امنیت اطلاعات در شش بازار سنگاپور، بریتانیا، فرانسه، آلمان، ایتالیا و ایالات متحده را مورد بررسی قرار دادند، 42.1 درصد با کارشناسان شخص ثالث کار کردند.

پل هاجی، معاون آسیا و اقیانوسیه و خدمات امنیت سایبریBitdefender در پاسخ به سؤالات گفت: «قطعاً نگران‌کننده» است که تنها 45 درصد از شرکت‌ها به طور مرتب محیط‌های ابری خود را ممیزی می‌کنند.

وی خاطرنشان کرد که اتکای بیش از حد به توانایی ارائه دهندگان ابر برای محافظت از سرویس‌های میزبانی شده یا داده‌ها همچنان ادامه دارد، حتی زمانی که کسب‌و کارها به انتقال برنامه‌ها و بارهای کاری به محیط‌های چند ابری ادامه می‌دهند.

پل هاجی گفت: «بیشتر اوقات، ارائه‌دهندگان ابر آن‌طور که فکر می‌کنید مسئولیت‌پذیر نیستند و در بیشتر موارد، داده‌هایی که در ابر ذخیره می‌شوند، بزرگ و اغلب حساس هستند».

"مسئولیت امنیت ابر، از جمله نحوه محافظت از داده‌ها در حالت استراحت یا در حال حرکت، هویت افراد، سرورها و نقاط پایانی که به منابع دسترسی دارند و رعایت آنها عمدتاً به عهده مشتری است. مهم است که ابتدا یک خط پایه ایجاد کنید. ریسک و آسیب پذیری فعلی در محیط های ابری خود را بر اساس مواردی مانند جغرافیا، صنعت و شرکای زنجیره تامین تعیین کنید."

در میان نگرانی‌های امنیتی مهم پاسخ‌دهندگان در مدیریت محیط‌های ابری شرکت خود، 38.7 درصد به مدیریت هویت و دسترسی اشاره کردند در حالی که 38 درصد به نیاز به حفظ انطباق ابر اشاره کردند. این مطالعه نشان داد که 35.9 درصد دیگر ازIT سایه به عنوان یک نگرانی و 32 درصد نگران خطای انسانی بودند.

با این حال، وقتی صحبت از تهدیدات مولد مرتبط با هوش مصنوعی می‌شود، به نظر می‌رسد پاسخ دهندگان به توانایی هم تیمی‌های خود در شناسایی حملات احتمالی اطمینان دارند. اکثر 74.1 درصد معتقد بودند که همکاران بخش خود می‌توانند یک حمله صوتی یا ویدیویی عمیق جعلی را تشخیص دهند، در حالی که پاسخ دهندگان آمریکایی بالاترین سطح اطمینان را با 85.5 درصد نشان دادند.

پل هاجی خاطرنشان کرد که این اطمینان حتی اگر 96.6 درصدGenAI را تهدیدی جزئی تا بسیار مهم می‌دانستند. او گفت که توضیحی در سطح پایه برای این موضوع این است که متخصصان فناوری اطلاعات و امنیت لزوماً به توانایی کاربران فراتر از تیم خود - و کسانی که در فناوری اطلاعات یا امنیت نیستند - برای شناسایی دیپ فیک اعتماد ندارند.

او افزود: «به همین دلیل است که ما معتقدیم فناوری و فرآیندهای پیاده‌سازی با هم بهترین راه برای کاهش این خطر هستند».

او در پاسخ به این سوال که ابزارهای موجود چقدر در تشخیص محتوای تولید شده با هوش مصنوعی مانند دیپ فیک موثر هستند، گفت که این به عوامل مختلفی بستگی دارد. او توضیح داد که اگر از طریق ایمیل فیشینگ تحویل داده شود یا در یک پیام متنی با یک پیوند مخرب جاسازی شود، دیپ فیک باید به سرعت توسط ابزارهای محافظت از نقطه پایانی، مانند ابزارهایXDR (تشخیص و پاسخ گسترده) شناسایی شود.

با این حال، او خاطرنشان کرد که عوامل تهدید به تمایلات طبیعی انسان برای باور آنچه می‌بینند و آنچه توسط افرادی که به آنها اعتماد دارند، مانند افراد مشهور و شخصیت‌های برجسته - که تصاویر آنها اغلب برای رساندن پیام دستکاری می‌شوند، تأیید می‌کنند، بستگی دارند.

و از آنجایی که فناوری‌های دیپ فیک به تکامل خود ادامه می‌دهند، او گفت که تشخیص چنین محتوایی به تنهایی از طریق بینایی یا صدا تقریباً غیرممکن است. او بر نیاز به فناوری و فرآیندهایی که می‌توانند دیپ‌فیک‌ها را شناسایی کنند، تاکید کرد.

اگرچه پاسخ دهندگان سنگاپور نسبت به توانایی هم تیمی‌های خود در شناسایی دیپ فیک‌ها بدبین بودند، اما او خاطرنشان کرد که 48.5 درصد عدد قابل توجهی است.

حاجی مجدداً بر اهمیت وجود فناوری و فرآیندها تاکید کرد: "دیپ‌فیک‌ها همچنان بهتر می‌شوند و شناسایی مؤثر آنها مستلزم تلاش‌های مستمری است که افراد، فناوری و فرآیندها را با هم ترکیب می‌کند. در امنیت سایبری، هیچ چیزی وجود ندارد. "گلوله نقره‌ای" - همیشه یک استراتژی چند لایه است که با پیشگیری قوی شروع می‌شود تا در را قبل از ورود تهدید ببندد."

آموزش همچنین به طور فزاینده‌ای حیاتی است زیرا کارمندان بیشتری در محیط های ترکیبی کار می‌کنند و خطرات بیشتری از خانه‌ها سرچشمه می‌گیرند. او گفت: «کسب‌و کارها باید گام‌های روشنی برای اعتبارسنجی دیپ‌فیک‌ها و محافظت در برابر کمپین‌هایspearphishing بسیار هدفمند داشته باشند. "فرآیندها برای سازمان‌ها کلیدی هستند تا اطمینان حاصل کنند که اقداماتی برای بررسی مضاعف وجود دارد، به‌ویژه در مواردی که انتقال مبالغ هنگفتی پول در میان باشد."

بر اساس مطالعهBitdefender، 36.1٪ فناوریGenAI را به عنوان یک تهدید بسیار مهم در رابطه با دستکاری یا ایجاد محتوای فریبنده، مانند دیپ‌فیک می‌دانند. 45.1 درصد دیگر این را یک تهدید متوسط ​​توصیف کردند در حالی که 15.4 درصد گفتند که یک تهدید جزئی است.

اکثریت بزرگ، با 94.3 درصد، به توانایی سازمان خود در پاسخگویی به تهدیدات امنیتی فعلی، مانند باج افزار، فیشینگ، و حملات روز صفر اطمینان داشتند.

با این حال، این مطالعه نشان داد که 57 درصد اعتراف کردند که در سال گذشته نقض یا نشت داده‌ها را تجربه کرده‌اند که 6 درصد نسبت به سال قبل افزایش داشته است. این رقم در سنگاپور با 33 درصد کمترین و در بریتانیا با 73.5 درصد بالاترین میزان بوده است.

فیشینگ و مهندسی اجتماعی با 38.5 درصد، باج افزار، تهدیدات داخلی و آسیب‌پذیری‌های نرم افزاری با 33.5 درصد در رتبه‌های بعدی قرار دارند.

منبع

زدنت