Безопасность бизнеса
Устранив эти ошибки и слепые зоны, ваша организация сможет добиться огромных успехов в оптимизации использования облака, не подвергая себя киберриску.
Январь 16 2024 • , 5 минута. читать
Облачные вычисления являются важным компонентом современного цифрового ландшафта. ИТ-инфраструктура, платформы и программное обеспечение сегодня с большей вероятностью будут предоставляться как услуга (отсюда и аббревиатуры IaaS, PaaS и SaaS соответственно), чем в традиционной локальной конфигурации. И это больше всего привлекает малый и средний бизнес (SMB).
Облако дает возможность выровнять правила игры с более крупными конкурентами, обеспечивая большую гибкость бизнеса и быстрое масштабирование без больших затрат. Возможно, именно поэтому 53% глобальных компаний малого и среднего бизнеса, опрошенных в ходе Недавний доклад говорят, что они тратят более 1.2 миллиона долларов в год на облако; по сравнению с 38% в прошлом году.
Однако цифровая трансформация сопряжена и с риском. Безопасность (72%) и соответствие требованиям (71%) являются вторыми и третьими наиболее часто упоминаемыми проблемами облачных технологий для респондентов из малого и среднего бизнеса. Первым шагом к решению этих проблем является понимание основных ошибок, которые допускают малые предприятия при развертывании облачных технологий.
Семь главных ошибок облачной безопасности, которые допускают предприятия малого и среднего бизнеса
Давайте проясним: нижеперечисленное — это не просто ошибки, которые малые и средние предприятия допускают в облаке. Даже самые крупные и обеспеченные ресурсами предприятия иногда грешат тем, что забывают основы. Но, устранив эти «слепые зоны», ваша организация сможет добиться огромных успехов в оптимизации использования облака, не подвергая себя потенциально серьезному финансовому или репутационному риску.
1. Нет многофакторной аутентификации (MFA).
Статические пароли по своей сути небезопасны, и не каждая компания придерживается их. разумная политика создания паролей. Пароли могут быть украдено разными способами, например, с помощью фишинга, методов грубой силы или просто угадывания. Вот почему вам необходимо добавить дополнительный уровень аутентификации поверх MFA, чтобы злоумышленникам было намного сложнее получить доступ к приложениям учетных записей SaaS, IaaS или PaaS ваших пользователей, тем самым снижая риск программ-вымогателей, кражи данных и других возможных последствий. Другой вариант предполагает переключение, где это возможно, на альтернативные методы аутентификации, такие как аутентификация без пароля.
2. Слишком большое доверие к поставщику облачных услуг (CSP)
Многие ИТ-руководители считают, что инвестиции в облако фактически означают передачу всего доверенной третьей стороне. Это правда лишь отчасти. На самом деле, есть модель совместной ответственности для обеспечения безопасности облака разделены между CSP и клиентом. То, о чем вам нужно позаботиться, будет зависеть от типа облачного сервиса (SaaS, IaaS или PaaS) и CSP. Даже если большая часть ответственности лежит на поставщике (например, в SaaS), возможно, стоит инвестировать в дополнительные средства стороннего контроля.
3. Не удалось выполнить резервное копирование
Как указано выше, никогда не предполагайте, что ваш облачный провайдер (например, службы обмена файлами/хранения) вас поддержит. Всегда стоит планировать наихудший сценарий, которым, скорее всего, будет сбой системы или кибератака. На вашу организацию повлияет не только потеря данных, но и простои и снижение производительности, которые могут возникнуть в результате инцидента.
4. Не получается регулярно обновлять
Если вы не установите исправление, вы подвергнете свои облачные системы риску использования уязвимостей. Это, в свою очередь, может привести к заражению вредоносным ПО, утечке данных и многому другому. Управление исправлениями — это основная передовая практика обеспечения безопасности, которая так же актуальна как в облаке, так и локально.
5. Неправильная конфигурация облака
CSP — это инновационная группа. Но огромный объем новых функций и возможностей, которые они запускают в ответ на отзывы клиентов, может в конечном итоге создать невероятно сложную облачную среду для многих предприятий малого и среднего бизнеса. Гораздо сложнее определить, какая конфигурация является наиболее безопасной. Распространенные ошибки включают в себя настройка облачного хранилища поэтому любая третья сторона может получить к нему доступ и не может заблокировать открытые порты.
6. Не отслеживать облачный трафик
Распространенным рефреном является то, что сегодня речь идет не о том, «если», а о том, «когда» ваша облачная среда (IaaS/PaaS) будет взломана. Это делает быстрое обнаружение и реагирование критически важными, если вы хотите обнаружить признаки на ранней стадии и сдержать атаку до того, как она сможет повлиять на организацию. Это делает постоянный мониторинг обязательным.
7. Не удалось зашифровать корпоративные драгоценности
Ни одна среда не является на 100% защищенной от взлома. Так что же произойдет, если злоумышленнику удастся получить доступ к вашим наиболее конфиденциальным внутренним данным или строго регулируемой личной информации сотрудников/клиентов? Зашифровав его при хранении и передаче, вы гарантируете, что его невозможно будет использовать, даже если он будет получен.
Правильное обеспечение облачной безопасности
Первым шагом к устранению этих рисков облачной безопасности является понимание того, в чем заключаются ваши обязанности и какие области будет обрабатывать CSP. Затем речь идет о принятии решения о том, доверяете ли вы собственным облачным средствам управления безопасностью CSP или хотите улучшить их с помощью дополнительных сторонних продуктов. Учтите следующее:
- Вкладывать в сторонние решения безопасности для повышения облачной безопасности и защиты вашей электронной почты, приложений хранения и совместной работы в дополнение к функциям безопасности, встроенным в облачные сервисы, предлагаемые ведущими мировыми поставщиками облачных услуг.
- Добавьте расширенные или управляемые инструменты обнаружения и реагирования (XDR/MDR) для быстрого реагирования на инциденты и сдерживания/устранения нарушений.
- Разработайте и разверните непрерывную программу исправлений с учетом рисков, основанную на надежном управлении активами (т. е. знайте, какие облачные ресурсы у вас есть, а затем обеспечивайте их постоянное обновление).
- Шифруйте данные в состоянии покоя (на уровне базы данных) и при передаче, чтобы гарантировать их защиту, даже если злоумышленники завладеют ими. Это также потребует эффективного и непрерывного обнаружения и классификации данных.
- Определить четкую политику контроля доступа; требование использования надежных паролей, MFA, принципов наименьших привилегий и ограничений/внесения в список разрешенных IP-адресов для определенных IP-адресов.
- Рассмотреть возможность принятия Подход нулевого доверия, который будет включать в себя многие из вышеперечисленных элементов (MFA, XDR, шифрование), а также сегментацию сети и другие элементы управления.
Многие из вышеперечисленных мер представляют собой те же самые передовые методы, которые можно было бы ожидать от развертывания локально. И на высоком уровне они есть, хотя детали будут другие. Самое главное, помните, что облачная безопасность — это не только ответственность провайдера. Возьмите под свой контроль сегодня, чтобы лучше управлять киберрисками.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.welivesecurity.com/en/business-security/7-deadly-cloud-security-sins-smb/
- :имеет
- :является
- :нет
- :куда
- $UP
- 35%
- 7
- a
- О нас
- выше
- доступ
- Учетные записи
- Добавить
- дополнительный
- Принятие
- рядом
- причислены
- альтернатива
- Несмотря на то, что
- всегда
- an
- и
- Ежегодно
- Другой
- любой
- апелляции
- Приложения
- Программы
- МЫ
- области
- AS
- активы
- управление активами
- Активы
- предполагать
- At
- атаковать
- Аутентификация
- назад
- Плохой
- Банка
- Основы
- BE
- до
- верить
- ЛУЧШЕЕ
- лучшие практики
- Лучшая
- между
- больший
- Крупнейшая
- Заблокировать
- нарушение
- нарушения
- Разрыв
- построенный
- Группа
- бизнес
- бизнес
- но
- by
- призывают
- CAN
- возможности
- заботится
- случаев
- Категории
- проблемы
- шанс
- привел
- Очистить
- облако
- Cloud Security
- облачные сервисы
- сотрудничество
- выходит
- Общий
- обычно
- комплекс
- Соответствие закону
- компонент
- вычисление
- Конфигурация
- Рассматривать
- содержать
- (CIJ)
- контроль
- контрольная
- Основные
- Корпоративное
- может
- Создающий
- создание
- критической
- Корона
- CSP
- клиент
- Кибератака
- данным
- Нарушения данных
- База данных
- Время
- поставляется
- зависеть
- развертывание
- развертывания
- подробнее
- обнаружение
- различный
- Интернет
- цифровое преобразование
- открытие
- do
- время простоя
- управлять
- e
- Рано
- Эффективный
- фактически
- элементы
- уничтожение
- позволяет
- шифрование
- конец
- повышать
- обеспечивать
- предприятий
- Окружающая среда
- существенный
- Даже
- Каждая
- многое
- ожидать
- эксплуатация
- расширенная
- дополнительно
- факт
- отсутствии
- Ошибка
- Особенности
- Обратная связь
- поле
- финансовый
- Во-первых,
- следовать
- после
- Что касается
- от
- получить
- Глобальный
- большой
- догадывался
- виновный
- происходит
- Сильнее
- Есть
- следовательно
- High
- очень
- Удар
- держать
- Как
- HTTPS
- i
- if
- Влияние
- важно
- in
- инцидент
- реакция на инцидент
- включают
- включать
- невероятно
- информация
- Инфраструктура
- по существу
- инновационный
- небезопасный
- в нашей внутренней среде,
- в
- Грин- карта инвестору
- инвестирование
- IT
- ЕГО
- саму трезвость
- Января
- JPG
- всего
- Знать
- пейзаж
- Фамилия
- В прошлом году
- запуск
- слой
- Лидеры
- ведущий
- наименее
- уровень
- ложь
- лежит
- Вероятно
- потерянный
- Главная
- сделать
- ДЕЛАЕТ
- Создание
- злонамеренный
- вредоносных программ
- управлять
- управляемого
- управление
- управляет
- обязательное
- многих
- массивный
- макс-ширина
- Май..
- означает
- меры
- методы
- МИД
- мин
- ошибки
- смягчающим
- Мониторинг
- БОЛЕЕ
- самых
- много
- должен
- родной
- НККК
- Необходимость
- сеть
- никогда
- Новые
- Новые функции
- нет
- полученный
- of
- предложенный
- on
- ONE
- только
- открытый
- Возможность
- оптимизирующий
- Опция
- or
- организация
- Другое
- Результаты
- Аутсорсинг
- за
- паас
- вечеринка
- Пароль
- пароли
- Патчи
- Заделка
- ОПЛАТИТЬ
- страна
- для
- личного
- ФИЛ
- фишинг
- размещение
- план
- Платформы
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- игры
- политика
- порты
- возможное
- потенциально
- практика
- практиками
- Принципы
- привилегия
- производительность
- Продукция
- FitPartner™
- доказательство
- защищенный
- защиту
- Недвижимости
- приводит
- вымогателей
- быстро
- достигать
- регулируемых брокеров
- соответствующие
- помнить
- требовать
- соответственно
- респондентов
- ответ
- ответственности
- ответственность
- ОТДЫХ
- результат
- Снижение
- рисках,
- соперников
- SaaS
- то же
- сообщили
- Шкала
- сценарий
- Во-вторых
- безопасный
- обеспечение
- безопасность
- риски безопасности
- сегментация
- чувствительный
- серьезный
- серьезный финансовый
- обслуживание
- Услуги
- семь
- Признаки
- просто
- небольшой
- меньше
- SMB
- Малого и среднего бизнеса
- So
- Software
- иногда
- конкретный
- Расходы
- раскол
- Спотовая торговля
- пятна
- Шаг
- диск
- успехи
- сильный
- такие
- опрошенных
- система
- системы
- Tackling
- взять
- чем
- который
- Ассоциация
- Основы
- кража
- их
- Их
- тогда
- Эти
- они
- вещи
- В третьих
- сторонние
- этой
- те
- Таким образом
- в
- сегодня
- Сегодняшних
- слишком
- инструменты
- топ
- к
- традиционный
- трафик
- трансформация
- транзит
- правда
- Доверие
- надежных
- ОЧЕРЕДЬ
- напишите
- понимать
- понимание
- использование
- используемый
- различный
- с помощью
- объем
- уязвимость
- хотеть
- Что
- когда
- будь то
- который
- зачем
- будете
- без
- мире
- бы
- XDR
- год
- Ты
- ВАШЕ
- зефирнет