Σύμφωνα με ειδικούς σε θέματα ασφάλειας, μια σειρά από βέλτιστες πρακτικές ασφαλείας έχουν προκύψει με την άνοδο των περιβαλλόντων multicloud και υπάρχουν ορισμένα σημαντικά βήματα που πρέπει να κάνουν όλοι οι οργανισμοί καθώς αναπτύσσουν τις στρατηγικές τους.
Μια παραβίαση δεδομένων ή μια ειδοποίηση εισβολέα θα κάνει τις ομάδες ασφαλείας να είναι πιο προληπτικές στον περιορισμό της ζημιάς και στον εντοπισμό της αιτίας.
Αυτή η εργασία είναι πάντα προκλητική, ακόμη και όταν ένα πραγματικό άτομο πληροφορικής εκτελεί όλες τις λειτουργίες στη δική του υποδομή. Αυτή η εργασία γίνεται ολοένα και πιο περίπλοκη καθώς οι οργανισμοί έχουν μεταφέρει περισσότερο από τον φόρτο εργασίας τους στο cloud και στη συνέχεια σε πολλούς παρόχους cloud.
Η αναφορά 2018 Cloud Operations από την RightScale, έναν πάροχο υπηρεσιών cloud, διαπίστωσε ότι το 77% των επαγγελματιών της τεχνολογίας (που ισοδυναμεί με 997 ερωτηθέντες) είπε ότι η ασφάλεια στο cloud είναι μια πρόκληση και το 29% από αυτούς είπε ότι ήταν μια πολύ μεγάλη πρόκληση.
Οι ειδικοί σε θέματα ασφάλειας λένε ότι δεν εκπλήσσονται, ειδικά δεδομένου ότι το 81% των ερωτηθέντων στην έρευνα του RightScale χρησιμοποιεί μια στρατηγική multicloud.
«Τα περιβάλλοντα πολλαπλών νέφους θα κάνουν πιο περίπλοκο τον τρόπο με τον οποίο εφαρμόζετε και διαχειρίζεστε τους ελέγχους ασφαλείας», δήλωσε ο Ρον Λέφερτς, διευθύνων σύμβουλος και επικεφαλής συμβούλων τεχνολογίας στην εταιρεία συμβούλων διαχείρισης. Protiviti theory.
Ο ίδιος και άλλοι ηγέτες ασφαλείας λένε ότι οι οργανισμοί είναι επιθετικοί όσον αφορά τη διατήρηση υψηλής ασφάλειας καθώς μεταφέρουν περισσότερους φόρτους εργασίας στο cloud.
Κορυφαίες προκλήσεις ασφάλειας multicloud
Αλλά θα πρέπει επίσης να αναγνωρίσουν ότι τα περιβάλλοντα multicloud συνοδεύονται από πρόσθετες προκλήσεις που πρέπει να αντιμετωπιστούν. Αυτό είναι μέρος μιας ολοκληρωμένης στρατηγικής ασφάλειας.
«Σε αυτόν τον κόσμο με πολλά σύννεφα, ο συντονισμός είναι απαραίτητη προϋπόθεση», λέει ο Χρήστος Κ. Δημητριάδης, διευθυντής και πρώην πρόεδρος του διοικητικού συμβουλίου της ISACA, μιας επαγγελματικής ένωσης που εστιάζει στη διακυβέρνηση πληροφορικής μεταξύ τεχνολογίας και ανθρώπινης νοημοσύνης. Τώρα, εάν συμβεί ένα περιστατικό, πρέπει να διασφαλίσετε ότι όλες οι οντότητες συντονίζονται για τον εντοπισμό παραβιάσεων, την ανάλυση τους και την ανάπτυξη σχεδίων βελτίωσης για πιο αποτελεσματικό έλεγχο».
Ακολουθούν τρία στοιχεία που οι ειδικοί λένε ότι αποτελούν περίπλοκες στρατηγικές ασφάλειας για περιβάλλοντα πολλαπλών νέφους.
"Έχετε επεκτάσεις κέντρων δεδομένων σε πολλά μέρη σε όλο τον κόσμο", δήλωσε ο Juan Perez-Etchegoyen, ερευνητής και συμπρόεδρος της Ομάδας Εργασίας ERP Security στον μη κερδοσκοπικό εμπορικό οργανισμό Cloud Security Alliance (CSA). Στη συνέχεια, πρέπει να συμμορφωθείτε με τους κανονισμούς όλων των χωρών ή περιοχών όπου βρίσκετε το κέντρο δεδομένων. Ο αριθμός των κανονισμών είναι μεγάλος και αυξάνεται. Αυτοί οι κανονισμοί προωθούν τους ελέγχους και τους μηχανισμούς που πρέπει να εφαρμόσουν οι εταιρείες. Όλα αυτά προσθέτουν πολυπλοκότητα στον τρόπο με τον οποίο προστατεύουμε τα δεδομένα».
«Προσπαθούμε λοιπόν να προστατεύσουμε τα δεδομένα, τις υπηρεσίες και την ίδια την επιχείρηση χωρίς να χρειάζεται να έχουμε ξεκάθαρη κατανόηση για το πού βρίσκονται τα δεδομένα», είπε ο κ. Δημητριάδης.
"Δημιουργούμε κάτι νέο όπου δεν γνωρίζουμε ακόμη για όλα τα τρωτά σημεία. Αλλά μπορούμε να ανακαλύψουμε αυτά τα τρωτά σημεία καθώς προχωράμε", είπε.
Σύμφωνα με ειδικούς σε θέματα ασφάλειας, μια σειρά από βέλτιστες πρακτικές ασφάλειας έχουν προκύψει με την άνοδο των περιβαλλόντων multicloud και υπάρχουν ορισμένα σημαντικά βήματα που πρέπει να κάνουν όλοι οι οργανισμοί καθώς αναπτύσσουν τις στρατηγικές τους.
Το πρώτο πράγμα που πρέπει να κάνετε είναι να προσδιορίσετε όλα τα σύννεφα όπου «βρίσκονται» τα δεδομένα και να διασφαλίσετε ότι ο οργανισμός διαθέτει ένα ισχυρό πρόγραμμα διακυβέρνησης δεδομένων – «μια πλήρη εικόνα των δεδομένων και των υπηρεσιών του, καθώς και των στοιχείων πληροφορικής που σχετίζονται με όλους τους τύπους πληροφοριών» ( σύμφωνα με τον κ. Δημητριάδη).
Ο κ. Δημητριάδης είναι επίσης επικεφαλής ασφάλειας πληροφοριών, συμμόρφωσης πληροφοριών και προστασίας πνευματικής ιδιοκτησίας στον Όμιλο INTRALOT, τον χειριστή παιχνιδιών και τον πάροχο λύσεων, αναγνώρισε ότι αυτές οι προτάσεις ασφάλειας δεν αφορούν μόνο περιβάλλοντα multicloud.
Ωστόσο, λέει ότι η εφαρμογή αυτών των βασικών μέτρων γίνεται πιο σημαντική από ποτέ, καθώς τα δεδομένα μετακινούνται στο cloud και εκτείνονται σε πολλές πλατφόρμες cloud.
Τα στατιστικά δείχνουν γιατί είναι τόσο σημαντικό να έχετε μια ισχυρή βάση ασφαλείας. Η έκθεση της KPMG και της Oracle για το 2018 Cloud Threats, στην οποία συμμετείχαν 450 επαγγελματίες ασφάλειας και πληροφορικής, ανέφερε ότι το 90% των επιχειρήσεων ταξινομεί τα μισά από τα δεδομένα τους ως βασισμένα στο cloud. Είναι ευαίσθητες.
Η έκθεση διαπίστωσε επίσης ότι το 82% των ερωτηθέντων ανησυχεί ότι οι εργαζόμενοι δεν ακολουθούν τις πολιτικές ασφάλειας στο cloud και το 38% αντιμετωπίζει προβλήματα στον εντοπισμό και την απόκριση σε συμβάντα ασφάλειας στο cloud.
Για την καταπολέμηση τέτοιων καταστάσεων, οι επιχειρήσεις θα πρέπει να ταξινομούν τις πληροφορίες για να δημιουργήσουν πολλαπλά επίπεδα ασφάλειας, δήλωσε ο Ramsés Gallego, ηγέτης της ISACA και ευαγγελιστής στο γραφείο CTO στη Symantec. Αυτό μας λέει ότι δεν απαιτούν όλα τα δεδομένα το ίδιο επίπεδο εμπιστοσύνης και επαλήθευσης για πρόσβαση ή κλείδωμα.
Οι ειδικοί σε θέματα ασφάλειας συμβουλεύουν επίσης τις επιχειρήσεις να εφαρμόσουν άλλα μέτρα ασφαλείας κοινής λογικής στα βασικά επίπεδα που είναι απαραίτητα για την προστασία των περιβαλλόντων multicloud. Εκτός από τις πολιτικές ταξινόμησης δεδομένων, η Gallego συνιστά τη χρήση λύσεων κρυπτογράφησης, ταυτότητας και διαχείρισης πρόσβασης (IAM), όπως ο έλεγχος ταυτότητας δύο παραγόντων .
Οι επιχειρήσεις πρέπει να τυποποιήσουν τις πολιτικές και τις δομές για να εξασφαλίσουν συνεπή εφαρμογή και να αυτοματοποιήσουν όσο το δυνατόν περισσότερο, ώστε να συμβάλουν στον περιορισμό των αποκλίσεων από αυτά τα πρότυπα ασφαλείας.
«Το επίπεδο προσπάθειας που καταβάλλει μια εταιρεία θα εξαρτηθεί από τον κίνδυνο και την ευαισθησία των δεδομένων. Επομένως, εάν χρησιμοποιείτε το cloud για την αποθήκευση ή την επεξεργασία μη εμπιστευτικών δεδομένων, δεν χρειάζεστε την ίδια προσέγγιση ασφαλείας όπως για ένα cloud που περιέχει σημαντικές πληροφορίες», είπε ο κ. Gadia.
Σημείωσε επίσης ότι η τυποποίηση και η αυτοματοποίηση είναι πολύ αποτελεσματικές. Αυτά τα μέτρα όχι μόνο μειώνουν το συνολικό κόστος, αλλά επιτρέπουν επίσης στους ηγέτες ασφαλείας να κατευθύνουν περισσότερους πόρους σε εργασίες υψηλότερης αξίας.
Σύμφωνα με τους ειδικούς, τέτοια θεμελιώδη στοιχεία θα πρέπει να αποτελούν μέρος μιας ευρύτερης, πιο συνεκτικής στρατηγικής. Σημειώστε ότι οι επιχειρήσεις θα τα πάνε καλά όταν υιοθετήσουν ένα πλαίσιο για τη διαχείριση εργασιών που σχετίζονται με την ασφάλεια. Τα κοινά πλαίσια περιλαμβάνουν το NIST του Εθνικού Ινστιτούτου Προτύπων και Τεχνολογίας. Στόχοι ελέγχου ISACA για την τεχνολογία πληροφοριών (COBIT). Σειρά ISO 27000; και το Cloud Security Alliance Cloud Control Matrix (CCM).
Σύμφωνα με τον κ. Δημητριάδη, το πλαίσιο που επιλέχθηκε δεν καθοδηγεί μόνο τις επιχειρήσεις αλλά και τους προμηθευτές.
«Αυτό που πρέπει να κάνουμε είναι να συνδυάσουμε αυτά τα πλαίσια με παρόχους υπηρεσιών cloud. Στη συνέχεια, θα μπορείτε να δημιουργήσετε ελέγχους γύρω από τα δεδομένα και τις υπηρεσίες που προσπαθείτε να προστατεύσετε», διευκρίνισε.
Οι ειδικοί σε θέματα ασφάλειας λένε ότι οι διαπραγματεύσεις με τους παρόχους cloud και οι επακόλουθες συμφωνίες υπηρεσιών θα αντιμετωπίσουν την απομόνωση δεδομένων και τον τρόπο αποθήκευσής τους. Θα συνεργαστούν και θα συντονιστούν με άλλους παρόχους cloud και στη συνέχεια θα παρέχουν υπηρεσίες σε επιχειρήσεις.
Είναι σημαντικό να έχετε ξεκάθαρη κατανόηση των υπηρεσιών που λαμβάνετε από κάθε πάροχο και εάν έχει την ικανότητα να διαχειρίζεται και να λειτουργεί αυτήν την υπηρεσία.
«Να είστε συγκεκριμένοι σχετικά με το τι περιμένετε και πώς να φτάσετε εκεί», προσθέτει ο κ. Spivey. «Πρέπει να υπάρχει σαφής κατανόηση του ποιες υπηρεσίες λαμβάνετε από κάθε πάροχο και εάν έχει την ικανότητα να τον διαχειριστεί και να τον λειτουργήσει».
Ωστόσο, σύμφωνα με τον κ. Gallego, μην αφήνετε τα θέματα ασφάλειας στους παρόχους υπηρεσιών υπολογιστικού νέφους .
Οι πάροχοι υπηρεσιών cloud συχνά πωλούν τις υπηρεσίες τους δίνοντας έμφαση στο τι μπορούν να κάνουν για λογαριασμό των εταιρικών πελατών και συχνά περιλαμβάνουν υπηρεσίες ασφαλείας. Αλλά αυτό δεν είναι αρκετό. Να θυμάστε ότι αυτές οι εταιρείες δραστηριοποιούνται στον τομέα των υπηρεσιών υπολογιστικού νέφους, χωρίς να ειδικεύονται στον τομέα της ασφάλειας.
Ως εκ τούτου, υποστηρίζει ότι οι ηγέτες ασφάλειας επιχειρήσεων πρέπει να χτίσουν τα σχέδιά τους για την ασφάλεια σε αναλυτικό επίπεδο, όπως ποιος έχει πρόσβαση σε τι, πότε και πώς. Στη συνέχεια, δώστε το σε κάθε πάροχο cloud για να βοηθήσει στην εκτέλεση αυτών των σχεδίων.
Πρόσθεσε επίσης: «Οι πάροχοι υπηρεσιών Cloud πρέπει να κερδίσουν την εμπιστοσύνη των πελατών».
Οι πολιτικές, η διακυβέρνηση, ακόμη και τα μέτρα ασφαλείας κοινής λογικής, όπως ο έλεγχος ταυτότητας δύο παραγόντων, είναι απαραίτητα, αλλά όχι αρκετά για να χειριστούν τις πολυπλοκότητες που προκύπτουν κατά τη διανομή φόρτου εργασίας σε πολλαπλά σύννεφα.
Οι επιχειρήσεις πρέπει να υιοθετήσουν αναδυόμενες τεχνολογίες που έχουν σχεδιαστεί για να επιτρέπουν στις ομάδες ασφάλειας των επιχειρήσεων να διαχειρίζονται και να εκτελούν καλύτερα τις στρατηγικές ασφάλειας multicloud.
Ο κ. Gallego και άλλοι ερευνητές επισημαίνουν λύσεις όπως το Cloud Access Security Brokers (CASB), ένα εργαλείο λογισμικού ή υπηρεσία που βρίσκεται μεταξύ της εσωτερικής υποδομής ενός οργανισμού και της υποδομής του παρόχου cloud. χαρτογράφηση διαπιστευτηρίων, διατήρηση πληροφοριών συσκευής, κρυπτογράφηση και ανίχνευση κακόβουλου λογισμικού .
Το εργαλείο παραθέτει επίσης τεχνολογίες τεχνητής νοημοσύνης και στη συνέχεια αναλύει την κυκλοφορία του δικτύου για να ανιχνεύσει με ακρίβεια ανώμαλα φαινόμενα που απαιτούν ανθρώπινη προσοχή, περιορίζοντας έτσι τον αριθμό των περιστατικών που πρέπει να επαληθευτούν ή να αντικατασταθούν. και στη συνέχεια να ανακατευθύνει αυτούς τους πόρους σε συμβάντα που ενδέχεται να έχουν σοβαρές συνέπειες .
Και οι ειδικοί αναφέρουν τη συνεχή χρήση του αυτοματισμού ως βασικής τεχνολογίας για τη βελτιστοποίηση της ασφάλειας σε περιβάλλον πολλαπλών νέφους. Όπως σημείωσε επίσης ο κ. Spivey: «Επιτυχημένοι οργανισμοί είναι αυτοί που αυτοματοποιούν πολλά μέρη και επικεντρώνονται στη διακυβέρνηση και τη διαχείριση».
Επιπλέον, ο Spivey και άλλοι ερευνητές λένε ότι ενώ οι ακριβείς τεχνολογίες που χρησιμοποιούνται για την ασφάλεια δεδομένων μέσω πολλών υπηρεσιών cloud, όπως το CASB, μπορεί να είναι μοναδικές για το περιβάλλον, το multicloud. Οι ειδικοί τονίζουν ότι η γενική αρχή της ασφάλειας ακολουθεί τον στόχο μιας μακροπρόθεσμης προσέγγισης τόσο των ανθρώπων όσο και της τεχνολογίας για τη δημιουργία της καλύτερης στρατηγικής.
"Μιλάμε για διαφορετικές τεχνολογίες και σενάρια, περισσότερο εστιασμένα στα δεδομένα, αλλά είναι οι ίδιες έννοιες που πρέπει να εφαρμόσετε", δήλωσε ο Perez-Etchegoyen, επίσης CTO της Onapsis. know. «Η τεχνική προσέγγιση θα είναι διαφορετική για κάθε περιβάλλον multicloud, αλλά η συνολική στρατηγική θα είναι η ίδια».
Δείτε περισσότερα:
Το Scareware είναι ένα κακόβουλο πρόγραμμα υπολογιστή που έχει σχεδιαστεί για να ξεγελάσει τους χρήστες ώστε να πιστεύουν ότι είναι μια νόμιμη εφαρμογή και σας ζητά να ξοδέψετε χρήματα σε κάτι που δεν κάνει τίποτα.
Το cFosSpeed είναι λογισμικό που αυξάνει την ταχύτητα σύνδεσης στο Διαδίκτυο, μειώνει τον λανθάνοντα χρόνο μετάδοσης και αυξάνει την ισχύ της σύνδεσης έως και περίπου 3 φορές. Ειδικά για όσους παίζουν διαδικτυακά παιχνίδια, το cFosSpeed θα υποστηρίζει ώστε να μπορείτε να ζήσετε το παιχνίδι χωρίς προβλήματα δικτύου.
Το τείχος προστασίας των Windows με προηγμένη ασφάλεια είναι ένα τείχος προστασίας που εκτελείται στον Windows Server 2012 και είναι ενεργοποιημένο από προεπιλογή. Η διαχείριση των ρυθμίσεων του τείχους προστασίας στον Windows Server 2012 γίνεται στο Τείχος προστασίας των Windows Microsoft Management Console.
Κατά την αλλαγή του κωδικού πρόσβασης της σελίδας διαχείρισης σύνδεσης Vigor Draytek Modem και Router, οι χρήστες θα περιορίσουν τη μη εξουσιοδοτημένη πρόσβαση για την αλλαγή του κωδικού πρόσβασης του μόντεμ, διασφαλίζοντας σημαντικές πληροφορίες δικτύου.
Ευτυχώς, οι χρήστες υπολογιστών με Windows που διαθέτουν επεξεργαστές AMD Ryzen μπορούν να χρησιμοποιήσουν το Ryzen Master για να υπερχρονίσουν εύκολα τη μνήμη RAM χωρίς να αγγίξουν το BIOS.
Η θύρα USB-C έχει γίνει το πρότυπο για μεταφορά δεδομένων, έξοδο βίντεο και φόρτιση σε σύγχρονους φορητούς υπολογιστές με Windows. Αν και αυτό είναι βολικό, μπορεί να είναι απογοητευτικό όταν συνδέετε τον φορητό υπολογιστή σας σε φορτιστή USB-C και δεν φορτίζει.
Το σφάλμα Cannot Create Service στο Ultraviewer παρουσιάζεται όταν εγκαθιστούμε το λογισμικό με κωδικό σφάλματος 1072.
Το σφάλμα της μη εμφάνισης αναγνωριστικού στο Ultraviewer θα επηρεάσει την απομακρυσμένη σύνδεση του υπολογιστή.
Το Ultraviewer ελέγχει τον υπολογιστή από απόσταση και διαθέτει λειτουργία αποστολής και λήψης αρχείων.
Κανονικά, κατά τη διαγραφή ενός αρχείου στα Windows, το αρχείο δεν θα διαγραφεί αμέσως αλλά θα αποθηκευτεί στον Κάδο Ανακύκλωσης. Μετά από αυτό, θα πρέπει να κάνετε ένα ακόμη βήμα: να αδειάσετε τα σκουπίδια. Αλλά αν δεν θέλετε να χρειαστεί να κάνετε αυτό το δεύτερο βήμα, θα σας δείξουμε πώς να διαγράψετε οριστικά ένα αρχείο στο παρακάτω άρθρο.
