Новости

Безопасность в облаке слишком важна, чтобы оставлять ее поставщикам

11 облачных уязвимостей, которые держат клиентов ночью.

Джо МакКендрик для сервис-ориентированных | 17 августа 2019 года 12:00 по Гринвичу (05:00 по тихоокеанскому времени) | Тема: Облачные приоритеты

По мере того, как облачность расширяется, чтобы охватить все больше корпоративных приложений, данных и процессов, конечные пользователи также могут передавать свою безопасность поставщикам.

Фото: Джо МакКендрик

Согласно отраслевому обзору, необходимость взять под контроль безопасность и не передавать конечную ответственность поставщикам облачных услуг становится все более популярной. Альянс Cloud Security, который опубликовал опрос 241 отраслевого эксперта, выявил проблемы облачной безопасности «Egregious 11».

Смотрите так же

Лучшая домашняя безопасность 2019 года Профессиона... Да, покупка лучшей системы домашней безопасности может быть головной болью. К счастью, мы проделали большую часть работы для вас. Технология повсюду в наших домах и в нашей жизни. И это привело к несомненному буму в вашей домашней безопасности и возможности мониторинга. Наряду с профессиональными системами мониторинга, которые существуют уже неско...
Huawei запретит полную шкалу времени, так как Micr... Вот расстройство того, как сага спорного китайского телекоммуникационного гиганта и производителя телефонов разворачивалась. Huawei является крупнейшим в мире поставщиком телекоммуникационных услуг и производителем телефонов № 2, но в таких странах, как США, это изгой, так что, по сообщениям, ФБР установило жало на CES 2019. В течение 2019 года...
Корпоративные поставщики все больше доминируют на ... Корпоративные поставщики все больше доминируют на рынке программного обеспечения с открытым исходным кодом. Революция с открытым исходным кодом, которая продолжается уже два десятилетия, все еще продолжается, и в настоящее время это огромная отрасль, во главе которой стоят крупные поставщики, не имеющие открытого кода. Джо МакКендрик для Сервис О...

Авторы опроса отмечают, что многие из наиболее острых проблем этого года возлагают ответственность за безопасность на компании конечных пользователей, а не на поставщиков услуг. «Мы заметили снижение рейтинга традиционных проблем облачной безопасности, за которые отвечают поставщики облачных услуг. Такие проблемы, как отказ в обслуживании, общие уязвимости в технологиях, потеря данных CSP и системные уязвимости, которые все были в предыдущей« Предательской 12 », были теперь оценены настолько низко, что они были исключены в этом отчете. Эти упущения позволяют предположить, что традиционные проблемы безопасности, находящиеся в ведении CSP, кажутся менее серьезными. Вместо этого мы видим большую потребность в решении проблем безопасности, которые находятся выше до технологического стека, которые являются результатом решений высшего руководства ".

Это согласуется с другим недавним опросом Forbes Insights и VMware, согласно которому проактивные компании сопротивляются искушению передать безопасность своим облачным провайдерам, только 31% лидеров сообщают о передаче многих мер безопасности облачным провайдерам. (Я помогал в разработке и составлении отчета об опросе.) Тем не менее, 94% используют облачные сервисы для некоторых аспектов безопасности.

В последнем отчете CSA подчеркиваются основные проблемы этого года:

1. Нарушения данных. «Данные становятся основной целью кибератак», — отмечают авторы доклада. «Определение ценности данных для бизнеса и последствий их потери крайне важно для организаций, которые владеют или обрабатывают данные». Кроме того, «защита данных превращается в вопрос о том, кто имеет к ним доступ», добавляют они. «Методы шифрования могут помочь защитить данные, но негативно влияют на производительность системы, делая приложения менее удобными для пользователей».

2. Неправильная настройка и неадекватный контроль изменений. «Облачные ресурсы очень сложны и динамичны, что затрудняет их настройку. Традиционные средства управления и подходы к управлению изменениями не эффективны в облаке». Авторы заявляют, что «компании должны использовать автоматизацию и использовать технологии, которые постоянно сканируют неправильно сконфигурированные ресурсы и устраняют проблемы в режиме реального времени».

3. Отсутствие архитектуры и стратегии облачной безопасности. «Убедитесь, что архитектура безопасности соответствует бизнес-целям и задачам. Разработайте и внедрите структуру архитектуры безопасности».

4. Недостаточная идентификация, учетные данные, доступ и управление ключами. «Защищенные учетные записи, включая двухфакторную аутентификацию и ограниченное использование корневых учетных записей. Применяйте самые строгие учетные данные и контроль доступа для облачных пользователей и идентификационных данных».

5. Угон аккаунта. Это угроза, к которой нужно относиться серьезно. «Глубокая защита и средства управления IAM являются ключевыми в предотвращении взлома аккаунтов».

Смотрите так же

Huawei запретит полную шкалу времени, так как Micr... Вот расстройство того, как сага спорного китайского телекоммуникационного гиганта и производителя телефонов разворачивалась. Huawei является крупнейшим в мире поставщиком телекоммуникационных услуг и производителем телефонов № 2, но в таких странах, как США, это изгой, так что, по сообщениям, ФБР установило жало на CES 2019. В течение 2019 года...
Корпоративные поставщики все больше доминируют на ... Корпоративные поставщики все больше доминируют на рынке программного обеспечения с открытым исходным кодом. Революция с открытым исходным кодом, которая продолжается уже два десятилетия, все еще продолжается, и в настоящее время это огромная отрасль, во главе которой стоят крупные поставщики, не имеющие открытого кода. Джо МакКендрик для Сервис О...
Лучшая домашняя безопасность 2019 года Профессиона... Да, покупка системы домашней безопасности может быть головной болью. К счастью, мы проделали большую часть работы для вас. После десятилетия или около того переворота с поддержкой приложений, категория домашней безопасности находится на подъеме. Наряду с профессиональными системами мониторинга, которые существуют уже несколько десятилетий, есть не...

6. Инсайдерская угроза. «Принятие мер, направленных на минимизацию небрежности со стороны инсайдеров, может помочь смягчить последствия угроз со стороны инсайдеров. Проведите обучение сотрудников службы безопасности по правильной установке, настройке и мониторингу ваших компьютерных систем, сетей, мобильных устройств и устройств резервного копирования». Авторы CSA также призывают «информировать сотрудников о регулярном обучении сотрудников. Обучите своих постоянных сотрудников информировать их о том, как справляться с рисками безопасности, такими как фишинг и защита корпоративных данных, которые они несут за пределами компании на ноутбуках и мобильных устройствах».

7. Небезопасные интерфейсы и API. «Соблюдайте правила гигиены API. Надлежащая практика включает в себя тщательный надзор за такими предметами, как инвентарь, тестирование, аудит и защита от ненормальной активности». Также «подумайте об использовании стандартных и открытых структур API (например, Open Cloud Computing Interface (OCCI) и Cloud Management Infrastructure Interface (CIMI))».

8. Слабое управление самолетом. «Заказчик облака должен провести надлежащую проверку и определить, обладает ли облачный сервис, который он намеревается использовать, адекватной плоскостью управления».

9. Метаструктура и апплетструктура сбоев. «Поставщики облачных услуг должны предлагать прозрачность и предлагать меры по смягчению, чтобы противодействовать отсутствию прозрачности в облаке для арендаторов. Все CSP должны проводить тестирование на проникновение и предоставлять результаты клиентам».

10. Ограниченная видимость использования облака. «Снижение рисков начинается с разработки полной видимости облачных вычислений сверху вниз. Обязательно проводите общекорпоративное обучение по принятым политикам использования облаков и их применению. Все неутвержденные облачные сервисы должны быть рассмотрены и утверждены архитектором облачной безопасности или сторонней организацией управление рисками."

11. Злоупотребление и гнусное использование облачных сервисов. «Предприятия должны следить за своими сотрудниками в облаке, поскольку традиционные механизмы не могут снизить риски, связанные с использованием облачных сервисов».

Смотрите так же

Глобальные расходы на безопасность превысят 103 ми... Крупные предприятия потратят больше всего, а управляемым службам безопасности будет уделено много внимания. Ларри Диньян для «Между строк» ​​| 20 марта 2019. 13:27 GMT (06:27 PDT) | Тема: Безопасность особая функция Сегодняшние угрозы безопасности расширились по своим масштабам и серьезности. Теперь, когда информационная безопасность не обрабат...
Huawei запретит полную шкалу времени, так как Micr... Вот расстройство того, как сага спорного китайского телекоммуникационного гиганта и производителя телефонов разворачивалась. Huawei является крупнейшим в мире поставщиком телекоммуникационных услуг и производителем телефонов № 2, но в таких странах, как США, это изгой, так что, по сообщениям, ФБР установило жало на CES 2019. В течение 2019 года...
Лучшая домашняя безопасность 2019 года Профессиона... Да, покупка лучшей системы домашней безопасности может быть головной болью. К счастью, мы проделали большую часть работы для вас. Технология повсюду в наших домах и в нашей жизни. И это привело к несомненному буму в вашей домашней безопасности и возможности мониторинга. Наряду с профессиональными системами мониторинга, которые существуют уже неско...