7 חטאי אבטחת הענן הקטלניים וכיצד עסקים קטנים ובינוניים יכולים לעשות דברים טוב יותר

7 חטאי אבטחת הענן הקטלניים וכיצד עסקים קטנים ובינוניים יכולים לעשות דברים טוב יותר

חותמת זמן: 16 בינואר 2024 5:30

אבטחה עסקית

על ידי ביטול הטעויות והנקודות העיוורות הללו, הארגון שלך יכול לעשות צעדים מסיביים לקראת אופטימיזציה של השימוש בענן מבלי לחשוף את עצמו לסיכוני סייבר

פיל מונקסטר

פיל מונקסטר

ינואר 16 2024  •  , 5 דקות לקרוא

7 חטאי אבטחת הענן הקטלניים וכיצד עסקים קטנים ובינוניים יכולים לעשות דברים טוב יותר

מחשוב ענן הוא מרכיב חיוני בנוף הדיגיטלי של ימינו. יש סיכוי גבוה יותר שתשתיות IT, פלטפורמות ותוכנה יסופקו כיום כשירות (ומכאן ראשי התיבות IaaS, PaaS ו-SaaS, בהתאמה) מאשר בתצורה מקומית מסורתית. וזה פונה לעסקים קטנים ובינוניים (SMBs) יותר מרובם.

Cloud מספק הזדמנות ליישר את מגרש המשחקים עם יריבים גדולים יותר, מה שמאפשר זריזות עסקית רבה יותר וקנה מידה מהיר מבלי לשבור את הכיס. זו אולי הסיבה ש-53% מהחברות הקטנות והבינוניות העולמיות שנסקרו ב-a הדו"ח האחרון אומרים שהם מוציאים יותר מ-1.2 מיליון דולר בשנה על הענן; עלייה מ-38% בשנה שעברה.

אבל עם הטרנספורמציה הדיגיטלית מגיע גם סיכון. אבטחה (72%) ותאימות (71%) הם אתגרי הענן המובילים השני והשלישי שצוינו בדרך כלל עבור אותם משיבים SMB. הצעד הראשון להתמודדות עם אתגרים אלו הוא להבין את הטעויות העיקריות שעושים עסקים קטנים יותר בפריסות הענן שלהם.

שבע טעויות האבטחה המובילות בענן שעושים חברות SMB

בואו נהיה ברורים, הבאות הן לא רק טעויות שחברות SMB עושות בענן. אפילו הארגונים הגדולים ביותר ובעלי המשאבים הטובים ביותר אשמים לפעמים בשכחת היסודות. אבל על ידי ביטול הנקודות העיוורות האלה, הארגון שלך יכול לעשות צעדים מסיביים לקראת אופטימיזציה של השימוש בענן, מבלי לחשוף את עצמו לסיכון פיננסי או מוניטין רציני שעלול להיות רציני.

1. אין אימות רב-גורמי (MFA)

סיסמאות סטטיות אינן מאובטחות מטבען ולא כל עסק נצמד ל-a מדיניות יצירת סיסמה קולית. סיסמאות יכולות להיות נגנב בדרכים שונות, כגון באמצעות דיוג, שיטות כוח גס או פשוט מנחש. זו הסיבה שאתה צריך להוסיף שכבה נוספת של אימות על גבי MFA תקשה הרבה יותר על התוקפים לגשת לאפליקציות SaaS, IaaS או PaaS של המשתמשים שלך, ובכך להפחית את הסיכון של תוכנות כופר, גניבת נתונים ותוצאות אפשריות אחרות. אפשרות נוספת כוללת מעבר, במידת האפשר, לשיטות אימות חלופיות כגון אימות ללא סיסמה.

2. לתת אמון רב מדי בספק הענן (CSP)

מנהיגי IT רבים מאמינים שהשקעה בענן פירושה למעשה מיקור חוץ של הכל לצד שלישי מהימן. זה נכון רק בחלקו. למעשה, יש א מודל אחריות משותפת לאבטחת הענן, פיצול בין CSP ללקוח. מה שאתה צריך לטפל בו יהיה תלוי בסוג שירות הענן (SaaS, IaaS או PaaS) וה-CSP. גם כאשר רוב האחריות מוטלת על הספק (למשל, ב-SaaS), עשוי להשתלם להשקיע בבקרות נוספות של צד שלישי.

3. נכשל בגיבוי

לפי האמור לעיל, לעולם אל תניח שספק הענן שלך (למשל, עבור שירותי שיתוף/אחסון קבצים) מקבל את הגב שלך. תמיד משתלם לתכנן את התרחיש הגרוע ביותר, שסביר להניח שהוא כשל מערכת או מתקפת סייבר. לא רק הנתונים האבודים ישפיעו על הארגון שלך, אלא גם הפגיעה בזמן ההשבתה והפרודוקטיביות שעלולה בעקבות תקרית.

4. לא מצליח לבצע תיקון באופן קבוע

נכשל בתיקון ואתה חושף את מערכות הענן שלך לניצול פגיעות. זה בתורו עלול לגרום להדבקה בתוכנה זדונית, פרצות נתונים ועוד. ניהול תיקונים הוא פרקטיקת אבטחה מומלצת, שרלוונטית בענן באותה מידה שהיא במקום המקומי.

5. תצורה שגויה של ענן

CSPs הם חבורה חדשנית. אבל הנפח העצום של תכונות ויכולות חדשות שהם משיקים בתגובה למשוב של לקוחות יכולים בסופו של דבר ליצור סביבת ענן מורכבת להפליא עבור חברות SMB רבות. זה מקשה הרבה יותר לדעת איזו תצורה היא המאובטחת ביותר. טעויות נפוצות כוללות הגדרת אחסון בענן כך שכל צד שלישי יכול לגשת אליו, ואי חסימת יציאות פתוחות.

6. לא עוקב אחר תעבורת ענן

פזמון נפוץ אחד הוא שכיום זה לא מקרה של "אם" אלא "כאשר" סביבת הענן שלך (IaaS/PaaS) נפרצה. זה הופך את הזיהוי והתגובה המהירים לקריטיים אם אתה רוצה לזהות את הסימנים בשלב מוקדם, כדי להכיל מתקפה לפני שיש לה סיכוי להשפיע על הארגון. זה הופך ניטור רציף לחובה.

7. נכשל בהצפנת תכשיטי הכתר הארגוניים

אף סביבה אינה הוכחה 100% פגיעה. אז מה קורה אם גורם זדוני מצליח להגיע לנתונים הפנימיים הרגישים ביותר שלך או למידע האישי של עובד/לקוח בפיקוח גבוה? על ידי הצפנתו בזמן מנוחה ובמעבר, תבטיחו שלא ניתן יהיה להשתמש בו, גם אם יתקבל.

ביצוע נכון של אבטחת ענן

הצעד הראשון להתמודדות עם סיכוני האבטחה הללו בענן הוא להבין היכן טמונה האחריות שלך, ואילו תחומים יטופלו על ידי ה-CSP. לאחר מכן, יש לשפוט האם אתה סומך על בקרות האבטחה המקוריות של ה-CSP או רוצה לשפר אותן עם מוצרים נוספים של צד שלישי. שקול את הדברים הבאים:

  • להשקיע ב פתרונות אבטחה של צד שלישי כדי לשפר את האבטחה וההגנה שלך בענן עבור יישומי הדואר האלקטרוני, האחסון ושיתוף הפעולה שלך, בנוסף לתכונות האבטחה המובנות בשירותי הענן המוצעים על ידי ספקי הענן המובילים בעולם
  • הוסף כלי זיהוי ותגובה מורחבים או מנוהלים (XDR/MDR) כדי להניע תגובה מהירה לאירועים והכלה/תיקון של הפרות
  • פתח ופריסה תוכנית תיקון רציפה מבוססת סיכונים הבנויה על ניהול נכסים חזק (כלומר, דע אילו נכסי ענן יש לך ואז ודא שהם תמיד מעודכנים)
  • הצפין נתונים במצב מנוחה (ברמת מסד הנתונים) ובמעבר כדי להבטיח שהם מוגנים גם אם הרעים יתפסו אותם. זה ידרוש גם גילוי וסיווג נתונים יעיל ומתמשך
  • הגדר מדיניות בקרת גישה ברורה; דרישת סיסמאות חזקות, MFA, עקרונות מינימום הרשאות והגבלות/רישום אישורים מבוססי IP עבור כתובות IP ספציפיות
  • שקול לאמץ א גישת אפס אמון, אשר ישלב רבים מהאלמנטים הנ"ל (MFA, XDR, הצפנה) לצד פילוח רשת ופקדים אחרים

רבים מהאמצעים הנ"ל הם אותם שיטות עבודה מומלצות שאפשר לצפות לפריסה במקום. וברמה גבוהה הם, אם כי הפרטים יהיו שונים. והכי חשוב, זכרו שאבטחת ענן היא לא רק באחריות הספק. קח שליטה היום כדי לנהל טוב יותר את סיכוני הסייבר.

בול זמן:

עוד מ אנחנו חיים אבטחה