Според експерти по сигурността, редица най-добри практики за сигурност са се появили с възхода на многооблачните среди и има някои важни стъпки, които всички организации трябва да предприемат, докато развиват своите стратегии.
Нарушение на данните или предупреждение за нарушител ще накара екипите по сигурността да бъдат по-проактивни при ограничаване на щетите и идентифициране на причината.
Тази задача винаги е предизвикателство, дори когато истински ИТ човек управлява всички операции на своята собствена инфраструктура. Тази задача става все по-сложна, тъй като организациите преместиха повече от своите работни натоварвания в облака и впоследствие към множество доставчици на облак.
Докладът за облачните операции за 2018 г. от RightScale, доставчик на облачни услуги, установи, че 77% от технологичните професионалисти (еквивалентно на 997 респонденти) казват, че облачната сигурност е предизвикателство, а 29% от тях казват, че е много голямо предизвикателство.
Експертите по сигурността казват, че не са изненадани, особено като се има предвид, че 81% от анкетираните в проучването на RightScale използват мултиоблачна стратегия.
„Многооблачните среди ще направят начина, по който внедрявате и управлявате контролите за сигурност, по-сложен“, каза Рон Лефъртс, управляващ директор и ръководител на технологичното консултиране в консултантската фирма за управление.Теория на Protiviti.
Той и други лидери по сигурността казват, че организациите са агресивни по отношение на поддържането на висока степен на сигурност, докато преместват повече работни натоварвания в облака.
Топ предизвикателства за многооблачна сигурност
Но те също трябва да признаят, че многооблачните среди идват с допълнителни предизвикателства, които трябва да бъдат адресирани. Това е част от цялостна стратегия за сигурност.
„В този многооблачен свят координацията е предпоставка“, казва Христос К. Димитриадис, директор и бивш председател на борда на ISACA, професионална асоциация, фокусирана върху управлението на ИТ, между технологията и човешкия интелект. Сега, ако възникне инцидент, трябва да гарантирате, че всички субекти са координирани, за да идентифицират нарушенията, да ги анализират и да разработят планове за подобрение за по-ефективен контрол."
По-долу са дадени три елемента, които според експертите са сложни стратегии за сигурност за многооблачни среди.
„Имате разширения на центрове за данни на много места по света“, каза Хуан Перес-Етчегойен, изследовател и съпредседател на работната група за сигурност на ERP към търговската организация с нестопанска цел Cloud Security Alliance (CSA). След това трябва да спазвате разпоредбите на всички държави или региони, където намирате центъра за данни. Броят на регулациите е голям и нараства. Тези разпоредби насърчават контрола и механизмите, които компаниите трябва да прилагат. Всичко това добавя сложност към начина, по който защитаваме данните.“
„Така че ние се опитваме да защитим данните, услугите и самия бизнес, без да е необходимо да имаме ясно разбиране къде са данните“, каза г-н Димитриадис.
„Създаваме нещо ново, където все още не знаем за всички уязвимости. Но можем да открием тези уязвимости, докато вървим напред.“, каза той.
Според експерти по сигурността, редица най-добри практики за сигурност са се появили с възхода на многооблачните среди и има някои важни стъпки, които всички организации трябва да предприемат, докато развиват своите стратегии.
Първото нещо, което трябва да направите, е да идентифицирате всички облаци, където „пребивават“ данните, и да гарантирате, че организацията има силна програма за управление на данните – „пълна картина на данните и техните услуги, както и ИТ активи, свързани с всички видове информация“ ( според г-н Димитриадис).
Г-н Димитриадис също е ръководител на информационната сигурност, съответствието на информацията и защитата на интелектуалната собственост в INTRALOT Group, операторът на игри и доставчикът на решения, призна, че тези предложения за сигурност не само предоставят мултиоблачни среди.
Той обаче казва, че наличието на тези основни мерки става по-важно от всякога, тъй като данните се преместват в облака и обхващат множество облачни платформи.
Статистиката показва защо наличието на силна база за сигурност е толкова важно. Докладът за заплахите в облака за 2018 г. на KPMG и Oracle, който анкетира 450 специалисти по сигурността и ИТ, съобщава, че 90% от фирмите класифицират половината от своите данни като базирани на облак.те са чувствителни.
Докладът също така установи, че 82% от респондентите са загрижени, че служителите не следват политиките за сигурност в облака, а 38% имат проблеми с откриването и реагирането на инциденти със сигурността в облака.
За да се борят с подобни ситуации, бизнесът трябва да класифицира информацията, за да създаде множество нива на сигурност, каза Рамзес Галего, лидер в ISACA и евангелист в офиса на CTO в Symantec. Това ни казва, че не всички данни изискват същото ниво на доверие и проверка за достъп или заключване.
Експертите по сигурността също така съветват бизнеса да прилага други разумни мерки за сигурност в основните слоеве, необходими за защита на многооблачни среди. В допълнение към политиките за класифициране на данни, Gallego препоръчва използването на решения за криптиране, самоличност и управление на достъпа (IAM), като двуфакторно удостоверяване .
Предприятията трябва да стандартизират политики и структури, за да осигурят последователно приложение и да автоматизират възможно най-много, за да помогнат за ограничаване на отклоненията от тези стандарти за сигурност.
„Нивото на усилията, които една компания полага, ще зависи от риска и чувствителността на данните. Така че, ако използвате облака, за да съхранявате или обработвате неповерителни данни, нямате нужда от същия подход за сигурност като за облак, който съдържа важна информация,” каза г-н Gadia.
Той също така отбеляза, че стандартизацията и автоматизацията са много ефективни. Тези мерки не само намаляват общите разходи, но също така позволяват на лидерите по сигурността да насочат повече ресурси към задачи с по-висока стойност.
Според експерти такива основополагащи елементи трябва да бъдат част от по-голяма, по-сплотена стратегия. Имайте предвид, че фирмите ще се справят добре, когато приемат рамка за управление на задачи, свързани със сигурността. Общите рамки включват NIST на Националния институт за стандарти и технологии; Контролни цели на ISACA за информационни технологии (COBIT); Серия ISO 27000; и матрицата за контрол на облака (CCM) на Алианса за сигурност в облака.
Според г-н Димитриадис избраната рамка ръководи не само бизнеса, но и доставчиците.
„Това, което трябва да направим, е да комбинираме тези рамки с доставчици на облачни услуги. След това ще можете да изградите контроли около данните и услугите, които се опитвате да защитите“, уточни той.
Експерти по сигурността казват, че преговорите с облачните доставчици и последващите споразумения за услуги ще се отнасят до изолирането на данните и как те се съхраняват. Те ще си сътрудничат и ще се координират с други облачни доставчици, след което ще предоставят услуги на бизнеса.
Важно е да имате ясно разбиране какви услуги получавате от всеки доставчик и дали те имат капацитета да управляват и управляват тази услуга.
„Бъдете конкретни относно това, което очаквате и как да стигнете до там“, добавя г-н Спайви. „Трябва да има ясно разбиране какви услуги получавате от всеки доставчик и дали те имат капацитета да го управляват и управляват.“
Но според г-н Галего, не оставяйте проблемите със сигурността на доставчиците на облачни услуги .
Доставчиците на облачни услуги често продават своите услуги, като наблягат на това, което могат да направят от името на корпоративните клиенти, и често включват услуги за сигурност. Но това не е достатъчно. Не забравяйте, че тези компании са в бизнеса с облачни услуги, а не са специализирани в областта на сигурността.
Поради това той твърди, че лидерите по сигурността на предприятията трябва да изградят своите планове за сигурност на детайлно ниво, като например кой има достъп до какво, кога и как. След това го дайте на всеки доставчик на облак, за да помогне за изпълнението на тези планове.
Той също така добави: „Доставчиците на облачни услуги трябва да спечелят доверието на клиентите.“
Политики, управление и дори разумни мерки за сигурност като двуфакторна автентификация са необходими, но не са достатъчни, за да се справят със сложността, която възниква при разпределяне на работните натоварвания в множество облаци.
Предприятията трябва да възприемат нововъзникващи технологии, предназначени да позволят на екипите за корпоративна сигурност да управляват и изпълняват по-добре своите стратегии за мултиоблачна сигурност.
Г-н Gallego и други изследователи посочват решения като Cloud Access Security Brokers (CASB), софтуерен инструмент или услуга, която се намира между локалната инфраструктура на организацията и инфраструктурата на доставчика на облак. облак за консолидиране и налагане на мерки за сигурност като удостоверяване, картографиране на идентификационни данни, запазване на информация за устройството, криптиране и откриване на зловреден софтуер .
Инструментът също изброява технологиите за изкуствен интелект и след това анализира мрежовия трафик, за да открие точно аномални явления, които изискват човешко внимание, като по този начин ограничава броя на инцидентите, които трябва да бъдат проверени или заменени, и след това пренасочва тези ресурси към инциденти, които имат потенциал да имат сериозни последствия .
И експертите цитират продължаващото използване на автоматизацията като ключова технология за оптимизиране на сигурността в многооблачна среда. Както г-н Спайви също отбеляза: „Успешните организации са тези, които автоматизират много части и се фокусират върху управлението и управлението.“
Освен това Спайви и други изследователи казват, че докато точните технологии, използвани за защита на данни чрез много облачни услуги, като CASB, може да са уникални за околната среда, multicloud. Експертите подчертават, че общият принцип на сигурност следва целта за дългосрочен подход както на хората, така и на технологиите за изграждане на най-добрата стратегия.
„Говорим за различни технологии и сценарии, по-фокусирани върху данните, но това са същите концепции, които трябва да внедрите“, каза Перес-Етчегойен, също главен технически директор на Onapsis. „Техническият подход ще бъде различен за всяка многооблачна среда, но цялостната стратегия ще бъде същата.“
Виж повече:
Scareware е злонамерена компютърна програма, предназначена да подмами потребителите да мислят, че е легитимно приложение и ви моли да харчите пари за нещо, което не прави нищо.
cFosSpeed е софтуер, който увеличава скоростта на интернет връзката, намалява латентността на предаване и увеличава силата на връзката до около 3 пъти. Специално за тези, които играят онлайн игри, cFosSpeed ще поддържа, за да можете да изпитате играта без проблеми с мрежата.
Защитната стена на Windows с разширена защита е защитна стена, която работи на Windows Server 2012 и е активирана по подразбиране. Настройките на защитната стена в Windows Server 2012 се управляват в конзолата за управление на защитната стена на Windows.
Когато променят паролата на администраторската страница за вход на Vigor Draytek Modem и Router, потребителите ще ограничат неоторизиран достъп за промяна на паролата на модема, осигурявайки важна мрежова информация.
За щастие, потребителите на компютри с Windows, работещи с процесори AMD Ryzen, могат да използват Ryzen Master за лесно овърклокване на RAM, без да докосват BIOS.
USB-C портът се превърна в стандарт за пренос на данни, видео изход и зареждане на модерни лаптопи с Windows. Въпреки че това е удобно, може да бъде разочароващо, когато включите лаптопа си в USB-C зарядно устройство и то не се зарежда.
Грешката Cannot Create Service на Ultraviewer възниква, когато инсталираме софтуера с код на грешка 1072.
Грешката да не се показва ID на Ultraviewer ще засегне връзката с отдалечен компютър.
Ultraviewer управлява компютъра дистанционно и има режим за изпращане и получаване на файлове.
Обикновено, когато изтривате файл в Windows, файлът няма да бъде изтрит веднага, а ще бъде записан в кошчето. След това ще трябва да направите още една стъпка: изпразнете кошчето. Но ако не искате да правите тази втора стъпка, ще ви покажем как да изтриете файл за постоянно в статията по-долу.
