A 7 halálos felhőbiztonsági bűn és az, hogy a kis- és középvállalkozások miként tehetik jobban a dolgokat

A 7 halálos felhőbiztonsági bűn és az, hogy a kis- és középvállalkozások miként tehetik jobban a dolgokat

Időbélyeg: 16. január 2024. 5:30

Üzleti biztonság

E hibák és vakfoltok kiküszöbölésével szervezete hatalmas lépéseket tehet a felhőhasználat optimalizálása felé anélkül, hogy kiberkockázatnak tenné ki magát.

Phil Muncaster

Phil Muncaster

16 2024 Jan  •  , 5 perc olvas

A 7 halálos felhőbiztonsági bűn és az, hogy a kis- és középvállalkozások miként tehetik jobban a dolgokat

A felhőalapú számítástechnika napjaink digitális világának alapvető eleme. Az IT-infrastruktúrát, -platformokat és -szoftvert ma nagyobb valószínűséggel szállítják szolgáltatásként (innen ered az IaaS, PaaS és SaaS mozaikszavak), mint hagyományos helyszíni konfigurációban. És ez a kis- és középvállalkozások (kkv-k) számára jobban tetszik, mint a legtöbb.

A Cloud lehetőséget biztosít a versenyfeltételek kiegyenlítésére a nagyobb riválisokkal szemben, ami nagyobb üzleti agilitást és gyors léptéket tesz lehetővé anélkül, hogy a bank megtörné. Ez lehet az oka annak, hogy a globális KKV-k 53%-a megkérdezett a legutóbbi jelentés mondjuk évente több mint 1.2 millió dollárt költenek a felhőre; a tavalyi 38%-hoz képest.

A digitális átalakulás azonban kockázattal is jár. A biztonság (72%) és a megfelelőség (71%) a második és a harmadik leggyakrabban említett felhőalapú kihívás a kis- és középvállalkozások számára. A kihívások leküzdésének első lépése az, hogy megértsük azokat a fő hibákat, amelyeket a kisebb vállalkozások követnek el a felhőbe történő bevezetésük során.

A KKV-k által elkövetett hét leggyakoribb felhőbiztonsági hiba

Tisztázzuk, a következők nem csak olyan hibák, amelyeket a KKV-k követnek el a felhőben. Még a legnagyobb és legjobb forrásokkal rendelkező vállalkozások is néha vétkesek abban, hogy elfelejtik az alapokat. De ezeknek a vakfoltoknak a megszüntetésével szervezete hatalmas lépéseket tehet a felhőhasználat optimalizálása felé anélkül, hogy potenciálisan komoly pénzügyi vagy hírnévkockázatnak tenné ki magát.

1. Nincs többtényezős hitelesítés (MFA)

A statikus jelszavak eredendően nem biztonságosak, és nem minden vállalkozás tartja be a megbízható jelszó létrehozási szabályzat. A jelszavak lehetnek különféle módokon ellopták, például adathalászattal, brute force módszerekkel vagy egyszerűen kitalálva. Ezért kell hozzáadnia egy további hitelesítési réteget a felső MFA-hoz, amely megnehezíti a támadók számára a felhasználók SaaS-, IaaS- vagy PaaS-fiókalkalmazásainak elérését, csökkentve ezzel a zsarolóvírusok, adatlopások és egyéb lehetséges következmények kockázatát. Egy másik lehetőség, ha lehetséges, alternatív hitelesítési módszerekre vált, mint pl jelszó nélküli hitelesítés.

2. Túl nagy bizalom a felhőszolgáltatóban (CSP)

Sok informatikai vezető úgy véli, hogy a felhőbe való befektetés hatékonyan azt jelenti, hogy mindent egy megbízható harmadik félhez kell kiszervezni. Ez csak részben igaz. Valójában van egy megosztott felelősségi modell a felhő biztosításához megosztva a CSP és az ügyfél között. Hogy mire kell ügyelnie, az a felhőszolgáltatás típusától (SaaS, IaaS vagy PaaS) és a CSP-től függ. Még akkor is, ha a felelősség nagy része a szolgáltatót terheli (pl. SaaS esetén), érdemes lehet további, harmadik féltől származó vezérlőkbe fektetni.

3. A biztonsági mentés sikertelen

A fentiek szerint soha ne feltételezze, hogy felhőszolgáltatója (pl. fájlmegosztó/tárolási szolgáltatások esetén) az Ön háta mögött áll. Mindig megéri a legrosszabb forgatókönyvre tervezni, ami nagy valószínűséggel rendszerhiba vagy kibertámadás lehet. Nemcsak az elveszett adatok lesznek hatással a szervezetére, hanem az incidenst követő leállások és termelékenységi csapások is.

4. Rendszeres foltozás elmulasztása

A javítás sikertelen, és felhőrendszereit a sebezhetőség kihasználásának teszi ki. Ez viszont rosszindulatú programfertőzést, adatszivárgást és sok mást eredményezhet. A javítások kezelése alapvető biztonsági bevált gyakorlat, amely éppoly releváns a felhőben, mint a helyszíni környezetben.

5. Felhő hibás konfigurációja

A CSP-k innovatív csoportot alkotnak. Az ügyfelek visszajelzéseire adott válaszként bevezetett új funkciók és képességek hatalmas mennyisége azonban hihetetlenül összetett felhőkörnyezetet hozhat létre sok kis- és középvállalkozás számára. Ez sokkal nehezebbé teszi annak megállapítását, hogy melyik konfiguráció a legbiztonságosabb. A gyakori hibák közé tartozik felhőtárhely konfigurálása így bármely harmadik fél hozzáférhet, és nem blokkolja a nyitott portokat.

6. Nem figyeli a felhőforgalmat

Az egyik gyakori refrén az, hogy ma nem az „if”, hanem a „ha” a felhő (IaaS/PaaS) környezet megsértése. Ez kritikussá teszi a gyors észlelést és a reagálást, ha korán észleli a jeleket, és meg akarja akadályozni a támadást, mielőtt annak esélye lenne a szervezetre. Ez elengedhetetlenné teszi a folyamatos ellenőrzést.

7. Nem sikerült titkosítani a vállalati koronaékszereket

Egyetlen környezet sem 100%-ban biztonságos a jogsértésre. Mi történik tehát, ha egy rosszindulatú félnek sikerül elérnie az Ön legérzékenyebb belső adatait vagy szigorúan szabályozott alkalmazottai/ügyfelei személyes adatait? Nyugalomban és szállítás közben titkosítja azt, hogy ne lehessen használni, még akkor sem, ha megszerezte.

A felhőbiztonság megfelelő beállítása

A felhőalapú biztonsági kockázatok leküzdésének első lépése annak megértése, hogy hol van az Ön felelőssége, és mely területeket kezeli a CSP. Ezután arról kell dönteni, hogy megbízik-e a CSP felhő natív biztonsági vezérlőiben, vagy további, harmadik féltől származó termékekkel szeretné továbbfejleszteni azokat. Tekintsük a következő:

  • Befektet harmadik féltől származó biztonsági megoldások a felhőalapú biztonság és az e-mail, tároló és együttműködési alkalmazásai védelmének fokozása a világ vezető felhőszolgáltatói által kínált felhőszolgáltatásokba épített biztonsági funkciókon felül.
  • Kibővített vagy felügyelt észlelési és válaszadási (XDR/MDR) eszközök hozzáadása az incidensek gyors reagálásához és az incidens elleni védekezéshez/helyreállításhoz
  • Folyamatos kockázatalapú javítóprogram fejlesztése és üzembe helyezése, amely erős vagyonkezelésre épül (azaz tudja, milyen felhőalapú eszközökkel rendelkezik, majd gondoskodjon arról, hogy azok mindig naprakészek legyenek)
  • Titkosítsa az adatokat nyugalmi állapotban (adatbázis szintjén) és átvitel közben, hogy biztosítsa azok védelmét akkor is, ha a rosszfiúk kézre kerítik őket. Ehhez hatékony és folyamatos adatfeltárásra és osztályozásra is szükség lesz
  • Határozzon meg egy világos hozzáférés-szabályozási szabályzatot; erős jelszavak, MFA, a legkevesebb jogosultság elvei és IP-alapú korlátozások/engedélyezési listák előírása meghatározott IP-címekhez
  • Fontolja meg az örökbefogadást a Zero Trust megközelítés, amely magában foglalja a fenti elemek közül sok (MFA, XDR, titkosítás) a hálózati szegmentálás és egyéb vezérlők mellett

A fenti intézkedések közül sok ugyanaz a bevált gyakorlat, amelyet a helyszíni telepítéstől elvárnánk. És magas szinten vannak, bár a részletek mások lesznek. A legfontosabb, hogy ne feledje, hogy a felhőalapú biztonság nem csak a szolgáltató felelőssége. Vegye át az irányítást még ma a kiberkockázatok jobb kezelése érdekében.

Időbélyeg:

Még több Biztonságban élünk