Ποιες είναι οι εξαιρέσεις σας;

Υπάρχει πάντα ένα νέο γυαλιστερό αντικείμενο για να κυνηγήσετε στην ασφάλεια του κυβερνοχώρου: μηδενική εμπιστοσύνη, AI, έλεγχος ταυτότητας χωρίς κωδικό πρόσβασης, κβαντικοί υπολογιστές. Αυτά είναι μόνο μερικά από τα πιο πρόσφατα καυτά θέματα και οι οργανισμοί αισθάνονται πίεση να τα υιοθετήσουν για να παραμείνουν μπροστά από τις τρέχουσες απειλές.

Αν και αυτές οι νέες τεχνολογίες είναι σίγουρα σχετικές, μπορεί να μην είναι τόσο σημαντικές όσο η σωστή χρήση των «βασικών στοιχείων στον κυβερνοχώρο». Η αγορά νέων εργαλείων αιχμής ή ο σχεδιασμός μιας εντελώς νέας αρχιτεκτονικής δεν θα αντικαταστήσει την υπεροχή σε εκείνα τα θεμελιώδη, δομικά θεμέλια που δημιουργούν ένα επιτυχημένο πρόγραμμα ασφάλειας. Ένα παράδειγμα αυτών των θεμελιωδών εκτιμήσεων είναι η περιοχή των «εξαιρέσεις». 

Είναι απλώς δεδομένο σε κάθε επιχείρηση ότι θα υπάρχουν εξαιρέσεις από τις πολιτικές και τις διαδικασίες κυβερνοασφάλειας. Αυτά κυμαίνονται από εξαιρέσεις ενημέρωσης κώδικα έως εξαιρέσεις ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA) έως εξαιρέσεις πρόσβασης και τείχους προστασίας. Ο τρόπος με τον οποίο ένας οργανισμός επεξεργάζεται και παρακολουθεί αιτήματα εξαιρέσεων και αξιολογεί τους κινδύνους που σχετίζονται με εξαιρέσεις, μπορεί να έχει σημαντικό αντίκτυπο στο πόσο εύκολο ή δύσκολο είναι για τον οργανισμό να παρακολουθεί, να ανιχνεύει και να ανταποκρίνεται σε κυβερνοεπιθέσεις.

Δικαιολογούνται οι εξαιρέσεις για την ασφάλεια στον κυβερνοχώρο; 

Οι εισβολείς θα αξιοποιήσουν τις εξαιρέσεις επειδή παρέχουν μια ευκολότερη διαδρομή στο περιβάλλον ενός οργανισμού. Για παράδειγμα, υποστήριξα ένα στρατιωτικό συμβόλαιο και η εντολή παρουσίαζε τη λίστα επιτρεπόμενων εφαρμογών. Οι βοηθοί των ανώτερων αξιωματικών ζήτησαν εξαιρέσεις για αυτούς τους ανώτερους, επειδή ανησυχούσαν ότι η τεχνολογία θα μπορούσε να «παρέμβει» στο έργο των ανώτερων αξιωματικών. Ωστόσο, οι ανώτεροι αξιωματικοί ήταν η ομάδα που χρειαζόταν πρόσθετη προστασία ασφαλείας. 

Ήμασταν σε θέση να συναντηθούμε και να εξηγήσουμε στους βοηθούς πώς η τεχνολογία θα προστατεύει καλύτερα αυτούς τους VIP και θα συντονιστούμε με τα γραφεία τους για να επιλύσουμε γρήγορα τυχόν προβλήματα με την τεχνολογία. Παρά κάποιες αμφιβολίες, οι VIP τελικά προστατεύτηκαν καλύτερα και τα αιτήματα εξαίρεσης απορρίφθηκαν. Το μόνο που χρειάστηκε ήταν να καθίσετε και να συζητήσετε τις ανησυχίες των χρηστών και να εξηγήσετε υπομονετικά πώς να απαλύνετε αυτές τις ανησυχίες. 

Οι εξαιρέσεις υποδεικνύουν τελικά πόσο καλή θα μπορούσε να είναι η ασφάλειά σας — αν υπήρχαν λιγότερες εξαιρέσεις (ή καθόλου). Εδώ είναι μερικά πράγματα που πρέπει να έχετε κατά νου:

• Βεβαιωθείτε ότι έχετε μια σαφή και συνοπτική διαδικασία για το αίτημα και την έγκριση εξαιρέσεων. (Υπόδειξη: Η ευκολία δεν είναι καλή βάση για την παραχώρηση εξαιρέσεων!) Αυτή η διαδικασία θα πρέπει να ευθυγραμμίζεται με άλλες πολιτικές ασφαλείας, όπως η πολιτική αποδεκτής χρήσης του οργανισμού.
• Η διαδικασία θα πρέπει να περιλαμβάνει αξιολόγηση κινδύνου για να προσδιοριστεί ο αντίκτυπος της εξαίρεσης.
• Παρακολουθήστε όλες τις εξαιρέσεις για να βεβαιωθείτε ότι δεν γίνεται κατάχρηση.
• Εάν έχετε πάρα πολλά αιτήματα εξαίρεσης, μπορεί να χρειαστεί να τροποποιήσετε την πολιτική σας, ώστε οι εργαζόμενοι να μπορούν να κάνουν την εργασία τους με ασφάλεια.
• Οι εξαιρέσεις θα πρέπει να λήξουν. Εάν είναι απαραίτητο, μπορούν να επανεξεταστούν για να διαπιστωθεί εάν εξακολουθούν να ισχύουν.

Εάν υπολείπεστε σε βασικά στοιχεία της κυβερνοασφάλειας, όπως μια διαδικασία εξαίρεσης, θα αντιμετωπίσετε ζητήματα ασφάλειας ανεξάρτητα από τον χρόνο και τα χρήματα που επενδύετε σε νέες τεχνολογίες. Ο αυτοματισμός και άλλες λύσεις μπορούν να βοηθήσουν, αλλά δεν διαγράφουν κάθε πρόβλημα, συμπεριλαμβανομένων εκείνων που απαιτούν νέες ανθρώπινες συμπεριφορές και διαδικασίες. Ακριβώς όπως ο Αχιλλέας από την ελληνική μυθολογία, είναι εύκολο να ξεχάσεις ένα αδύνατο σημείο αν το έχεις ζήσει για πολύ καιρό. Και όπως ο Αχιλλέας, μια τέτοια λήθη μπορεί να έχει σοβαρές συνέπειες.

Διάβασε περισσότερα Προοπτικές συνεργατών από το Google Cloud

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
• PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
• PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
• πηγή: https://www.darkreading.com/google-cloud-security/what-are-your-exception-expectations