W dzisiejszej erze cyfrowej i dostępności na żądanie wiele organizacji w dużym stopniu polega na wiele usług w chmurze do codziennego prowadzenia ich operacji. Jednak charakter tej funkcjonalności jako strony trzeciej wprowadza dodatkowe zagrożenia bezpieczeństwa, a ponieważ źli aktorzy są zawsze obecni i wykorzystują nieszczelne obwody sieci, specjaliści ds. cyberbezpieczeństwa muszą zadbać o to, aby rygorystycznie chronić przedsiębiorstwo.
Poniżej przedstawiono najważniejsze punkty kontrolne dotyczące najlepszych praktyk w zakresie zabezpieczania aplikacji w chmurze.
Zarządzanie aktywami i przepływ danych
Zrozumienie jak zarządzane są aktywa i gdzie przepływa dane w organizacji jest krytyczny. Ta wiedza umożliwia identyfikację luk w postawie cyberbezpieczeństwa i dzięki temu zlokalizowanie wektorów ataków. Organizacje mogą szukać informacji u dostawców, aby zidentyfikować takie luki w swoich systemach i używać narzędzi (takich jak CrowdStrike), aby podjąć działania przeciwko pojawiającym się lukom. Aby zapewnić jasne zrozumienie, gdzie znajdują się rzeczy, praca ta obejmuje identyfikację każdego zasobu obecnego w organizacji, a także mapowanie zarówno ustrukturyzowanych, jak i nieustrukturyzowanych danych.
Zasady i procedury bezpieczeństwa
Wystarczy jedno słabe ogniwo, aby organizacja stała się podatna na ataki. Wymaga to solidnych zasady bezpieczeństwa w całym przedsiębiorstwie i procedur, przy czym środki te są stosowane spójnie w całej infrastrukturze informatycznej, obejmującej chmury publiczne, chmury prywatne i technologie lokalne.
Konfiguracja serwera w chmurze
Nieprawidłowo skonfigurowane serwery w chmurze mogą bezpośrednio udostępniać dane w publicznym Internecie, co może prowadzić do naruszeń przepisów i naruszeń bezpieczeństwa. Prawidłowa konfiguracja wymaga wkładu ekspertów specjalizujących się w chmurze oraz ścisłej współpracy z dostawcą usług chmurowych.
Po ustaleniu i spełnieniu bezpiecznej konfiguracji bazowej dla każdej aplikacji w chmurze, ciągły monitoring w czasie rzeczywistym z wykorzystaniem zautomatyzowanych narzędzi może pomóc w wykrywaniu i korygowaniu błędnych konfiguracji zanim doprowadzą one do incydentów bezpieczeństwa; regularne audyty zapewniają również bezpieczeństwo tych konfiguracji oraz ich zgodność ze standardami i zasadami bezpieczeństwa.
Zarządzanie dostępem
Zapewnienie, iż dostęp do poufnych danych mają tylko osoby, które ich potrzebują, jest kluczowym elementem postawy bezpieczeństwa każdej organizacji. Użytkownicy nie powinni mieć więcej niż minimalny poziom dostępu, jakiego potrzebują do wykonywania swojej funkcji zawodowej, co jest wspierane przez kontrola dostępu oparta na rolach (RBAC), co zmniejsza ryzyko nadmiernych praw dostępu. Wiarygodność użytkowników, urządzeń i aplikacji powinna być również stale weryfikowana przed udzieleniem dostępu.
Krajobraz bezpieczeństwa chmury stale poprawia swoją pozycję w zakresie bezpieczeństwa dzięki zarządzanie dostępem do tożsamości (IAM), w którym stosowane są środki bezpieczeństwa, takie jak uwierzytelnianie wieloskładnikowe (MFA), a dzienniki audytu są regularnie sprawdzane w celu identyfikacji nieudanych prób dostępu i wykrywania włamań.
Szyfrowanie danych
Szyfrowanie danych przy użyciu silnych protokołów sprawia, iż wszelkie dane stają się nieczytelne w przypadku ich kradzieży lub wycieku w wyniku naruszenia bezpieczeństwa chmury. Szyfrowanie jest zatem kluczowym narzędziem do ochrony danych (szczególnie danych wrażliwych), niezależnie od tego, czy są przesyłane, czy przechowywane. Szyfrowanie nie jest niczym nowym, ale wciąż ewoluuje; w miarę jak ataki stają się bardziej złożone, opracowywanie zaawansowanych algorytmów szyfrowania może odgrywać istotną rolę w zarządzaniu ryzykiem cybernetycznym.
Podejście zerowego zaufania
Architektury zerowego zaufania przyjąć zasadę, iż żadnemu użytkownikowi, urządzeniu ani systemowi nie należy ufać w kwestii dostępu do aplikacji i danych w chmurze, dopóki nie zostaną zweryfikowane. Gwarantuje to, iż tylko upoważnione osoby i technologia mogą zobaczyć lub wykorzystać poufne dane, zmniejszając prawdopodobieństwo, iż wpadną w niepowołane ręce.
Edukacja w całym przedsiębiorstwie
Niezależnie od tego, czy są one związane z chmurą, wiele cyberataków ma miejsce z powodu ryzyka ludzkiego, które obejmuje takie działania, jak użytkownicy padający ofiarą ataku phishingowego, nieświadome instalowanie złośliwego oprogramowania, korzystanie z przestarzałych systemów i/lub podatnych urządzeń lub stosowanie złej higieny haseł. Zwalczanie tego wymaga ciągłego szkolenia w zakresie bezpieczeństwa w całym przedsiębiorstwie; oprócz omawiania najlepszych praktyk bezpieczeństwa chmury, powinno to obejmować regularne symulacje phishingu w celu edukacji użytkowników w zakresie rozpoznawania i unikania tych coraz bardziej wyrafinowanych ataków, a także ćwiczenia mające na celu uświadomienie, dlaczego ochrona danych jest tak ważna dla całej organizacji. Promowanie kultury bezpieczeństwa w przedsiębiorstwie dodaje również pewne warstwy bezpieczeństwa, czyniąc to odpowiedzialnością każdego.
Plany zapasowe
Nawet najbardziej skrupulatne procedury i przygotowania w zakresie bezpieczeństwa nie są niezawodne, co oznacza, iż organizacje muszą mieć wdrożone plany awaryjne. Dane powinny zostać utworzone w kopii zapasowej aby zapobiec jego utracie lub manipulacji. Ponadto plan failover zapewnia ciągłość działania firmy w przypadku awarii jednej usługi w chmurze. Zaletą instalacji wielochmurowych i hybrydowych jest to, iż oddzielne chmury mogą być używane jako kopie zapasowe, takie jak magazyn danych w chmurze dla lokalnej bazy danych.
CISO i praktycy ds. bezpieczeństwa są również wspomagani przez różne zestawy narzędzi do bezpiecznego wdrażania w chmurze. Narzędzia do zarządzania postawą bezpieczeństwa w chmurze (CSPM) mogą na przykład szyfrować poufne dane, używać kontroli geolokalizacji w celu przestrzegania przepisów o ochronie danych oraz przeprowadzać regularne audyty i testy penetracyjne. Narzędzia do zapobiegania utracie danych (DLP) monitorują i kontrolują ruch poufnych danych w środowiskach chmurowych; używane w połączeniu z odpowiednimi zasadami zapobiegają nieautoryzowanemu udostępnianiu lub wyciekowi poufnych informacji.
Jednocześnie AI – co nie jest zaskakujące – odgrywa coraz większą rolę w operacjach cyberbezpieczeństwa. Wykrywanie zagrożeń przez AI może znacznie usprawnić monitorowanie bezpieczeństwa i łagodzenie incydentów; może również przewidywać i powstrzymywać problemy bezpieczeństwa, zanim się pojawią.
Operacje oparte na chmurze przekształciły środowisko biznesowe, ale jak w przypadku większości zaawansowanych technologii, wprowadzają dodatkowe ryzyko. Wdrożenie tych aplikacji, aby przynosiły korzyści bez poszerzania powierzchni ataku dla złośliwych aktorów, wymaga wiedzy specjalistycznej i zaangażowania — łatwo dostępnych dla większości organizacji, które już praktykują dobrą higienę cyberbezpieczeństwa.
Kashil JagmohanSingh jest konsultantem ds. aplikacji i cyberbezpieczeństwa w Doradztwo pod kluczJego doświadczenie w zarządzaniu ryzykiem obejmuje działanie w ramach pakietu SAP Governance, Risk and Compliance (GRC) i ścisłą współpracę z klientami w celu zarządzania ryzykiem cybernetycznym globalnych organizacji. Ma również doświadczenie w ocenie podatności, wykonując takie czynności, jak skanowanie środowiska SAP i red teaming. To jego pierwszy wkład do Think Tank.
