مع قيام المؤسسات بنقل بياناتها وأحمال عملها بشكل متزايد إلى السحابة، أصبح تأمين الهويات السحابية أمرًا بالغ الأهمية. الهويات هي مفاتيح الوصول إلى الموارد السحابية، وفي حالة اختراقها، فإنها تمكن المهاجمين من الوصول إلى البيانات والأنظمة الحساسة.
معظم الهجمات التي نشهدها اليوم هي هجمات من جانب العميل، حيث يقوم المهاجمون باختراق حساب شخص ما واستخدام امتيازاتهم للتحرك بشكل جانبي والوصول إلى البيانات والموارد الحساسة. ولمنع حدوث ذلك، تحتاج إلى رؤية البنية التحتية لهوية السحابة الخاصة بك. ما لم تكن تعرف هوية جميع الأشخاص والكائنات التي تصل إلى الأنظمة وأذوناتهم وعلاقاتهم، فلن يكون لديك السياق اللازم لتقييم المخاطر بشكل فعال واتخاذ التدابير الوقائية.
يوضح عدد من الهجمات البارزة هذه المشكلة. أتاحت الهوية السحابية المخترقة للمهاجمين إمكانية الوصول إليها برنامج أوريون SolarWinds، حيث قاموا بنشر تعليمات برمجية ضارة لآلاف من عملائهم، بما في ذلك الوكالات الحكومية وشركات Fortune 500. مثال آخر هو هجوم مايكروسوفت إكستشينج، حيث استغل المهاجمون ثغرة أمنية في Exchange للوصول إلى حسابات البريد الإلكتروني. ومن هناك، قاموا بسرقة بيانات حساسة وأرسلوا رسائل بريد إلكتروني تصيدية في محاولة لاختراق الحسابات الأخرى.
لتأمين السحابة، أنصح بتنفيذ نهج يعرف باسم المخاطر التطبيقية، والذي يسمح لممارسي الأمن باتخاذ قرارات بشأن الإجراءات الوقائية بناءً على البيانات السياقية حول العلاقة بين الهويات وما هي التأثيرات النهائية للتهديدات في بيئاتهم المحددة. فيما يلي بعض النصائح العملية لاعتماد المخاطر التطبيقية.
التعامل مع الحماية السحابية كمشروع أمني، وليس كممارسة للامتثال
بالنسبة للمبتدئين، قم بتغيير طريقة تفكيرك. لقد ولت الأيام البسيطة لحوسبة خادم العميل. البيئة السحابية عبارة عن نظام معقد من البيانات والمستخدمين والأنظمة والتفاعلات بينهم جميعًا.
لن يؤدي تحديد سلسلة من المربعات إلى تحقيق قدر أكبر من الأمان إذا كنت لا تفهم كيفية عمل كل شيء معًا. تتبع معظم الفرق نهجًا غير موجه للأمن الوقائي، وتضع إيمانًا أعمى في استراتيجية تحديد الأولويات والمعالجة التي تم وضعها منذ سنوات. ومع ذلك، يتطلب الأمن نهجًا مخصصًا مصممًا لكل فريق أمني استنادًا إلى مدى تعرض المؤسسة للمخاطر الأوسع. ليس كل التنبيه "الحرج" الذي يصدره أحد موردي الأمان يمثل بالضرورة أكبر خطر على تلك البيئة المحددة.
لتحديد أولويات العلاج بدقة وتقليل المخاطر، يجب عليك مراعاة سطح الهجوم بالكامل. يساعدك فهم العلاقات بين التعرضات والأصول والمستخدمين على تحديد المشكلات التي تشكل أكبر خطر. عندما تأخذ في الاعتبار السياق الإضافي، قد لا تكون النتيجة "الحاسمة" هي المشكلة الأكبر.
احصل على رؤية واضحة للبنية الأساسية للهوية السحابية لديك
بعد ذلك، الرؤية هي المفتاح. لتحديد المخاطر المطبقة بشكل موثوق، يجب عليك إجراء تدقيق شامل لجميع الهويات ونقاط التحكم في الوصول في البنية الأساسية للهوية السحابية لديك. أنت بحاجة إلى معرفة الموارد المتوفرة لديك في بيئتك، سواء كانت موجودة في السحابة أو محلية، وكيفية توفيرها وتكوينها، والمتغيرات الأخرى.
عند تأمين السحابة، لا يمكنك فقط النظر في كيفية تكوين الموارد الخاصة بالسحابة - بل يجب عليك تدقيق جانب الهوية: الأجهزة الافتراضية (VMs)، والوظائف بدون خادم، ومجموعات Kubernetes، والحاويات، على سبيل المثال. قد يكون لدى أحد المسؤولين حساب مرتبط بـ AWS، أو حساب Active Directory له دور مختلف لتسجيل الدخول إلى أنظمته المحلية، أو حساب على GitHub، أو حساب Salesforce، وما إلى ذلك. يتعين عليك أيضًا مراعاة أشياء مثل نظافة الأجهزة التي يستخدمها المطورون و DevOps وفرق تكنولوجيا المعلومات. يمكن أن يكون لهجوم التصيد الاحتيالي الناجح على مهندس DevOps تأثير هائل على الوضع الأمني للبيئات السحابية الخاصة بك.
ومن هنا، يجب عليك رسم خريطة للعلاقات بين الهويات والأنظمة التي تصل إليها. هذا جزء مهم من فهم سطح الهجوم الخاص بك. منصات حماية التطبيقات السحابية الأصلية (CNAPPs) مصممة للمساعدة في هذا. إن وجود منصة CNAPP قوية يمنح فريق الأمان القدرة على اكتشاف السلوك غير الطبيعي حول هوية معينة واكتشاف متى تبدأ التكوينات في الانحراف.
قم بمحاذاة فرقك المختلفة
بمجرد تحديد الهويات والعلاقات، ستحتاج إلى ربطها بنقاط الضعف والتكوينات الخاطئة لتحديد المكان الأكثر عرضة للخطر والبدء في تحديد المخاطر المطبقة. لا يمكنك إنشاء استراتيجية علاجية فعالة بدون ذلك.
لكن البيانات والاستراتيجية لن تأخذك إلا حتى الآن. تميل الفرق إلى العمل في صوامع، ويتبع كل منها إجراءات تحديد الأولويات بناءً على البرامج المحددة التي يستخدمونها، دون التواصل مع الفرق الأخرى أو التوافق مع رؤية شاملة لتقليل المخاطر. نظرًا لأن سطح الهجوم ليس متماثلًا، فأنت بحاجة إلى هيكلة المنظمة بحيث تتمكن مجموعات المهارات المختلفة من اتخاذ إجراءات تخفيفية بناءً على المتغيرات الخاصة ببيئتها.
عندما تقترن الفرق بشكل وثيق، تنخفض المخاطر التنظيمية. لنفترض أن لديك ثغرة في البرمجة النصية عبر المواقع في أحد تطبيقات الويب الخاصة بك. أليس من المنطقي إعطاء الأولوية لأي مشكلة تتعلق بالأمان أو التكوين مرتبطة بالبنية التحتية التي تقوم بتشغيل هذا التطبيق؟ والعكس صحيح أيضا. أليس من المنطقي معالجة الثغرة الأمنية التي تعمل في الإنتاج أو الموجودة على الإنترنت مقابل الثغرة الأمنية التي تعمل في بيئة تطوير دون أي فرصة للاستغلال؟
جزء كبير من السبب تعمل فرق الأمن في هذه الصوامع يرجع ذلك إلى أن طبيعة البائع قد أجبرتهم على العمل بهذه الطريقة. حتى وقت قريب، لم تكن هناك طريقة للقيام بالأشياء التي أقترحها هنا - على الأقل ليس لأي شخص سوى 1% من المؤسسات التي لديها ميزانيات أمنية ضخمة وأدوات وفرق عمل داخلية.
خلاصة القول، تتطلب حماية الهويات - السحابية وغيرها - اعتماد تحول في العقلية من الامتثال إلى الأمن الشامل، ونهج المخاطر المطبق الذي يتضمن اكتساب الرؤية في البنية التحتية السحابية الخاصة بك باستخدام CNAPP ومواءمة الفرق المختلفة بشأن تحديد أولويات العلاج.
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://www.darkreading.com/edge/securing-cloud-identities-to-protect-assets-and-minimize-risk
- :لديها
- :يكون
- :ليس
- :أين
- $ UP
- 500
- a
- القدرة
- من نحن
- الوصول
- الوصول
- حسابي
- الحسابات
- بدقة
- اكشن
- الإجراءات
- نشط
- إضافي
- العنوان
- مشرف
- اعتماد
- تقديم المشورة لك
- وكالات
- منذ
- ملاحظه
- المحاذاة
- انحياز
- الكل
- يسمح
- أيضا
- an
- و
- آخر
- أي وقت
- أي شخص
- تطبيق
- التطبيقات
- تطبيقي
- نهج
- هي
- حول
- AS
- جانب
- تقييم
- ممتلكات
- أسوشيتد
- At
- مهاجمة
- الهجمات
- محاولة
- التدقيق
- AWS
- على أساس
- BE
- لان
- أصبح
- كان
- سلوك
- موصى عليه
- ما بين
- أكبر
- مربعات
- جلب
- أوسع
- الميزانيات
- بنيت
- لكن
- CAN
- فرصة
- عن كثب
- سحابة
- البنية التحتية السحابية
- الكود
- Communication
- الشركات
- الالتزام
- معقد
- شامل
- حل وسط
- تسوية
- الحوسبة
- الاعداد
- تكوين
- نظر
- حاويات
- سياق الكلام
- قريني
- مراقبة
- إلى جانب
- خلق
- حرج
- العملاء
- البيانات
- أيام
- القرارات
- نشر
- تصميم
- بكشف أو
- حدد
- ديف
- المطورين
- مختلف
- do
- هل
- دون
- قطرات
- كل
- الطُرق الفعّالة
- على نحو فعال
- البريد الإلكتروني
- رسائل البريد الإلكتروني
- تمكين
- مهندس
- كامل
- البيئة
- البيئات
- إلخ
- كل
- كل شىء
- مثال
- تبادل
- استغلال
- استغلال
- تعرض
- إيمان
- بعيدا
- العثور على
- متابعات
- في حالة
- Fortune
- تبدأ من
- وظائف
- ربح
- كسب
- أعطى
- GitHub جيثب:
- يعطي
- ذهب
- حكومة
- الوكالات الحكومية
- أكبر
- مزيد من الأمن
- أعظم
- يملك
- وجود
- مساعدة
- هنا
- رقيقة
- كلي
- كيفية
- HTTPS
- i
- تحديد
- المتطابقات
- هوية
- if
- توضيح
- التأثير
- الآثار
- تحقيق
- أهمية
- in
- بما فيه
- على نحو متزايد
- البنية التحتية
- مثل
- التفاعلات
- Internet
- إلى
- قضية
- مسائل
- IT
- JPG
- القفل
- مفاتيح
- نوع
- علم
- معروف
- المشهد
- كبير
- الأقل
- اسمحوا
- مثل
- محلي
- سجل
- بحث
- الآلات
- جعل
- رسم خريطة
- هائل
- مايو..
- الإجراءات
- عقلية
- التقليل
- الأكثر من ذلك
- أكثر
- خطوة
- يجب
- بالضرورة
- ضروري
- حاجة
- لا
- عدد
- الأجسام
- of
- on
- ONE
- فقط
- طريقة التوسع
- or
- منظمة
- التنظيمية
- المنظمات
- أخرى
- وإلا
- خارج
- أساسي
- جزء
- خاص
- مجتمع
- أذونات
- التصيد
- هجوم التصيد
- المكان
- المنصة
- بلاتفورم
- أفلاطون
- الذكاء افلاطون البيانات
- أفلاطون داتا
- نقاط
- تشكل
- عملية
- منع
- تحديد الأولويات
- أولويات
- ترتيب الاولويات
- الامتيازات
- المشكلة
- الإنتــاج
- تنفيذ المشاريع
- اقتراح
- حماية
- حماية
- الحماية
- وضع
- وضع
- RE
- سبب
- مؤخرا
- تخفيض
- صلة
- العلاقات
- يتطلب
- الموارد
- المخاطرة
- النوع
- تشغيل
- s
- SALESFORCE
- نفسه
- قول
- تأمين
- أمن
- انظر تعريف
- إحساس
- حساس
- أرسلت
- مسلسلات
- Serverless
- باكجات
- نقل
- ينبغي
- الصوامع
- الاشارات
- جلسة
- مهارة
- So
- حتى الآن
- تطبيقات الكمبيوتر
- بعض
- شخص ما
- محدد
- بداية
- نهب
- الإستراتيجيات
- قوي
- بناء
- ناجح
- المساحة
- نظام
- أنظمة
- تناسب
- أخذ
- فريق
- فريق
- أن
- •
- من مشاركة
- منهم
- هناك.
- تشبه
- هم
- الأشياء
- الآلاف
- التهديدات
- رابطة عنق
- مربوط
- نصائح
- إلى
- اليوم
- سويا
- أدوات
- صحيح
- فهم
- فهم
- حتى
- تستخدم
- المستخدمين
- استخدام
- كبير
- بائع
- مقابل
- افتراضي
- رؤية
- رؤيتنا
- نقاط الضعف
- الضعف
- الضعيفة
- طريق..
- we
- الويب
- تطبيقات الويب
- ابحث عن
- متى
- سواء
- التي
- سوف
- مع
- بدون
- وون
- للعمل
- أعمال
- ولدن
- سنوات
- حتى الآن
- أنت
- حل متجر العقارات الشامل الخاص بك في جورجيا
- زفيرنت