الخطايا السبعة المميتة المتعلقة بأمان السحابة وكيف يمكن للشركات الصغيرة والمتوسطة القيام بالأشياء بشكل أفضل

أمن الأعمال

من خلال القضاء على هذه الأخطاء والنقاط العمياء، يمكن لمؤسستك اتخاذ خطوات هائلة نحو تحسين استخدامها للسحابة دون تعريض نفسها للمخاطر الإلكترونية

فيل مونكاستر

يناير 16 2024  •  , 5 دقيقة. اقرأ

تعد الحوسبة السحابية عنصرًا أساسيًا في المشهد الرقمي اليوم. من المرجح أن يتم تقديم البنية التحتية والمنصات والبرمجيات لتكنولوجيا المعلومات اليوم كخدمة (ومن هنا جاءت الاختصارات IaaS وPaaS وSaaS، على التوالي) مقارنة بالتكوين التقليدي داخل مقر العمل. وهذا يجذب الشركات الصغيرة والمتوسطة الحجم أكثر من غيرها.

توفر السحابة فرصة لتحقيق تكافؤ الفرص مع المنافسين الأكبر، مما يتيح قدرًا أكبر من مرونة الأعمال والتوسع السريع دون كسر البنك. قد يكون هذا هو السبب وراء أن 53% من الشركات الصغيرة والمتوسطة العالمية التي شملها الاستطلاع في أ تقرير حديث لنفترض أنهم ينفقون أكثر من 1.2 مليون دولار سنويًا على السحابة؛ ارتفاعا من 38% العام الماضي.

ولكن مع التحول الرقمي تأتي المخاطر أيضًا. يعد الأمان (72%) والامتثال (71%) ثاني وثالث أكثر تحديات السحابة شيوعًا بالنسبة لأولئك المشاركين في الاستطلاع من الشركات الصغيرة والمتوسطة. الخطوة الأولى لمواجهة هذه التحديات هي فهم الأخطاء الرئيسية التي ترتكبها الشركات الصغيرة عند نشرها للسحابة.

أهم سبعة أخطاء أمنية سحابية ترتكبها الشركات الصغيرة والمتوسطة

لنكن واضحين، ما يلي ليس مجرد أخطاء ترتكبها الشركات الصغيرة والمتوسطة في السحابة. حتى أكبر المؤسسات وأفضلها مواردًا تكون مذنبة أحيانًا بنسيان الأساسيات. ولكن من خلال القضاء على هذه النقاط العمياء، يمكن لمؤسستك أن تخطو خطوات هائلة نحو تحسين استخدامها للسحابة، دون تعريض نفسها لمخاطر مالية أو مخاطر تتعلق بالسمعة.

1. لا توجد مصادقة متعددة العوامل (MFA)

كلمات المرور الثابتة غير آمنة بطبيعتها ولا تلتزم كل الشركات بها سياسة إنشاء كلمة المرور السليمة. يمكن أن تكون كلمات المرور مسروقة بطرق مختلفة، مثل التصيد الاحتيالي أو أساليب القوة الغاشمة أو مجرد التخمين. لهذا السبب، فإن حاجتك إلى إضافة طبقة إضافية من المصادقة على MFA ستجعل من الصعب على المهاجمين الوصول إلى تطبيقات حسابات SaaS أو IaaS أو PaaS الخاصة بالمستخدمين، وبالتالي التخفيف من مخاطر برامج الفدية وسرقة البيانات والنتائج المحتملة الأخرى. هناك خيار آخر يتضمن التبديل، حيثما أمكن، إلى طرق بديلة للمصادقة مثل مصادقة بدون كلمة مرور.

2. وضع الكثير من الثقة في موفر السحابة (CSP)

يعتقد العديد من قادة تكنولوجيا المعلومات أن الاستثمار في السحابة يعني بشكل فعال الاستعانة بمصادر خارجية لكل شيء لطرف ثالث موثوق به. وهذا صحيح جزئيا فقط. في الواقع، هناك نموذج المسؤولية المشتركة لتأمين السحابة، مقسمة بين CSP والعميل. يعتمد ما تحتاج إلى الاهتمام به على نوع الخدمة السحابية (SaaS أو IaaS أو PaaS) ومزود خدمة السحابة (CSP). حتى عندما تقع معظم المسؤولية على عاتق الموفر (على سبيل المثال، في SaaS)، فقد يدفع مقابل الاستثمار في ضوابط إضافية تابعة لجهة خارجية.

3. فشل في النسخ الاحتياطي

وفقًا لما ورد أعلاه، لا تفترض أبدًا أن مزود الخدمة السحابية الخاص بك (على سبيل المثال، خدمات مشاركة الملفات/التخزين) يدعمك. من المفيد دائمًا التخطيط للسيناريو الأسوأ، والذي من المرجح أن يكون فشل النظام أو الهجوم الإلكتروني. لن تؤثر البيانات المفقودة على مؤسستك فحسب، بل ستؤثر أيضًا على أوقات التوقف عن العمل والإنتاجية التي قد تتبع وقوع حادث.

4. الفشل في التصحيح بانتظام

فشل التصحيح وأنت تعرض أنظمتك السحابية لاستغلال الثغرات الأمنية. وهذا بدوره يمكن أن يؤدي إلى الإصابة بالبرامج الضارة وانتهاكات البيانات وغير ذلك الكثير. تعد إدارة التصحيح من أفضل ممارسات الأمان الأساسية والتي تكون ذات صلة بالسحابة كما هي في مكان العمل.

5. التكوين الخاطئ للسحابة

مقدمو الخدمات السحابية هم مجموعة مبتكرة. لكن الحجم الهائل من الميزات والإمكانيات الجديدة التي يطلقونها استجابة لتعليقات العملاء يمكن أن يؤدي في نهاية المطاف إلى إنشاء بيئة سحابية معقدة بشكل لا يصدق للعديد من الشركات الصغيرة والمتوسطة. يجعل الأمر أكثر صعوبة في معرفة التكوين الأكثر أمانًا. وتشمل الأخطاء الشائعة تكوين التخزين السحابي حتى يتمكن أي طرف ثالث من الوصول إليه، والفشل في حظر المنافذ المفتوحة.

6. عدم مراقبة حركة المرور السحابية

من بين الأمور الشائعة اليوم أن الأمر لا يتعلق بـ "إذا" بل "متى" يتم اختراق بيئة السحابة (IaaS/PaaS). وهذا يجعل الكشف السريع والاستجابة أمرًا بالغ الأهمية إذا كنت تريد اكتشاف العلامات في وقت مبكر، لاحتواء الهجوم قبل أن تتاح له فرصة التأثير على المنظمة. وهذا يجعل المراقبة المستمرة أمرا لا بد منه.

7. فشل في تشفير جواهر التاج الخاصة بالشركة

لا توجد بيئة مقاومة للاختراق بنسبة 100%. فماذا يحدث إذا تمكن طرف ضار من الوصول إلى بياناتك الداخلية الأكثر حساسية أو المعلومات الشخصية للموظفين/العميل الخاضعة للتنظيم العالي؟ ومن خلال تشفيره أثناء عدم النشاط وأثناء النقل، ستضمن عدم إمكانية استخدامه، حتى لو تم الحصول عليه.

الحصول على الأمان السحابي بشكل صحيح

الخطوة الأولى لمعالجة هذه المخاطر الأمنية السحابية هي فهم أين تقع مسؤولياتك، وما هي المجالات التي سيتم التعامل معها بواسطة CSP. ثم يتعلق الأمر باتخاذ قرار بشأن ما إذا كنت تثق في عناصر التحكم الأمنية السحابية الأصلية الخاصة بـ CSP أو ترغب في تحسينها بمنتجات إضافية تابعة لجهات خارجية. خذ بعين الاعتبار ما يلي:

• الاستثمار في حلول أمان الطرف الثالث لتعزيز الأمان السحابي الخاص بك وحماية البريد الإلكتروني وتطبيقات التخزين والتعاون بالإضافة إلى ميزات الأمان المضمنة في الخدمات السحابية التي يقدمها مقدمو الخدمات السحابية الرائدون في العالم
• إضافة أدوات موسعة أو مُدارة للكشف والاستجابة (XDR/MDR) لدفع الاستجابة السريعة للحوادث واحتواء/معالجة الاختراقات
• تطوير ونشر برنامج تصحيح مستمر قائم على المخاطر مبني على إدارة قوية للأصول (على سبيل المثال، معرفة الأصول السحابية المتوفرة لديك ثم التأكد من تحديثها دائمًا)
• قم بتشفير البيانات أثناء الراحة (على مستوى قاعدة البيانات) وأثناء النقل لضمان حمايتها حتى لو استولى عليها الأشرار. وسيتطلب ذلك أيضًا اكتشاف وتصنيف البيانات بشكل فعال ومستمر
• تحديد سياسة واضحة للتحكم في الوصول؛ فرض كلمات مرور قوية، وMFA، ومبادئ الامتيازات الأقل، والقيود القائمة على IP/القائمة المسموح بها لعناوين IP محددة
• النظر في اعتماد أ نهج الثقة الصفرية، والذي سيتضمن العديد من العناصر المذكورة أعلاه (MFA، XDR، التشفير) إلى جانب تجزئة الشبكة وعناصر التحكم الأخرى

العديد من الإجراءات المذكورة أعلاه هي نفس أفضل الممارسات التي يتوقع المرء نشرها محليًا. وهم على مستوى عال، على الرغم من أن التفاصيل ستكون مختلفة. والأهم من ذلك، تذكر أن أمان السحابة لا يقع على عاتق الموفر فقط. تحكم اليوم لإدارة المخاطر السيبرانية بشكل أفضل.