7 smrtonosnih varnostnih grehov v oblaku in kako lahko mala in srednja podjetja naredijo stvari bolje

Poslovna varnost

Z odpravo teh napak in slepih točk lahko vaša organizacija močno napreduje v smeri optimizacije uporabe oblaka, ne da bi se izpostavila kibernetskemu tveganju.

Phil Muncaster

Januar 16 2024  •  , 5 min. prebrati

Računalništvo v oblaku je bistvena sestavina današnje digitalne krajine. IT infrastruktura, platforme in programska oprema bodo danes bolj verjetno dobavljene kot storitev (od tod tudi kratice IaaS, PaaS in SaaS) kot v tradicionalni konfiguraciji na mestu uporabe. In to je bolj všeč malim in srednjim podjetjem (MSP) kot večini.

Oblak ponuja priložnost za izenačenje konkurenčnih pogojev z večjimi tekmeci, kar omogoča večjo poslovno agilnost in hiter obseg, ne da bi pri tem izgubili denar. To je morda razlog, zakaj je 53 % globalnih malih in srednje velikih podjetij, vključenih v raziskavo v a nedavno poročilo pravijo, da porabijo več kot 1.2 milijona dolarjev letno za oblak; z 38 % lani.

Vendar z digitalno preobrazbo prihaja tudi tveganje. Varnost (72 %) in skladnost (71 %) sta drugi in tretji najpogosteje naveden izziv v oblaku za ta anketirana MSP. Prvi korak pri spopadanju s temi izzivi je razumevanje glavnih napak, ki jih delajo manjša podjetja s svojimi uvedbami v oblaku.

Sedem največjih varnostnih napak v oblaku, ki jih delajo mala in srednje velika podjetja

Bodimo jasni, naslednje niso samo napake, ki jih delajo mala in srednje velika podjetja v oblaku. Celo največja podjetja z najboljšimi viri so včasih kriva, ker pozabijo na osnove. Toda z odpravo teh slepih točk lahko vaša organizacija močno napreduje v smeri optimizacije uporabe oblaka, ne da bi se izpostavila potencialno resnemu finančnemu tveganju ali tveganju ugleda.

1. Brez večfaktorske avtentikacije (MFA)

Statična gesla so sama po sebi nevarna in ne držijo se v vsakem podjetju pravilna politika ustvarjanja gesel. Gesla so lahko ukraden na različne načine, na primer z lažnim predstavljanjem, metodami surove sile ali preprosto uganjanjem. Zato morate na vrhu dodati dodatno plast preverjanja pristnosti. MFA bo napadalcem veliko otežila dostop do aplikacij računov SaaS, IaaS ali PaaS vaših uporabnikov, s čimer se bo zmanjšalo tveganje izsiljevalske programske opreme, kraje podatkov in drugih možnih rezultatov. Druga možnost vključuje prehod, kjer je to mogoče, na alternativne metode avtentikacije, kot je npr overjanje brez gesla.

2. Preveč zaupanja v ponudnika oblakov (CSP)

Številni voditelji IT menijo, da vlaganje v oblak dejansko pomeni zunanje izvajanje vsega zaupanja vredni tretji osebi. To je le delno res. Pravzaprav obstaja model deljene odgovornosti za varovanje oblaka, razdeljeno med CSP in stranko. Za kaj morate poskrbeti, bo odvisno od vrste storitve v oblaku (SaaS, IaaS ali PaaS) in CSP. Tudi če večino odgovornosti nosi ponudnik (npr. v SaaS), se morda splača investirati v dodatne kontrole tretjih oseb.

3. Varnostno kopiranje ni uspelo

Kot je navedeno zgoraj, nikoli ne domnevajte, da vas vaš ponudnik oblaka (npr. za storitve skupne rabe/shranjevanja datotek) varuje. Vedno se izplača načrtovati najslabši možni scenarij, ki bo najverjetneje okvara sistema ali kibernetski napad. Na vašo organizacijo ne bodo vplivali le izgubljeni podatki, ampak tudi izpadi in produktivnost, ki bi lahko sledila incidentu.

4. Nezmožnost rednega popravka

Ne uspete popraviti in izpostavljate svoje sisteme v oblaku izkoriščanju ranljivosti. To bi lahko povzročilo okužbo z zlonamerno programsko opremo, kršitve podatkov in drugo. Upravljanje popravkov je temeljna najboljša varnostna praksa, ki je enako pomembna v oblaku kot na mestu uporabe.

5. Napačna konfiguracija oblaka

CSP-ji so inovativen kup. Toda sama količina novih funkcij in zmogljivosti, ki jih uvedejo kot odgovor na povratne informacije strank, lahko na koncu ustvari neverjetno zapleteno okolje v oblaku za mnoga mala in srednje velika podjetja. Zaradi tega je veliko težje vedeti, katera konfiguracija je najbolj varna. Pogoste napake vključujejo konfiguriranje shrambe v oblaku tako da lahko katera koli tretja oseba dostopa do njega, in če ne blokira odprtih vrat.

6. Ne spremlja prometa v oblaku

Eden pogostih refrenov je, da danes ne gre za "če", ampak za "ko" pride do vdora v vaše okolje v oblaku (IaaS/PaaS). Zaradi tega sta hitro odkrivanje in odziv ključnega pomena, če želite zgodaj opaziti znake in preprečiti napad, preden lahko vpliva na organizacijo. Zaradi tega je stalno spremljanje obvezno.

7. Neuspešno šifriranje kronskih draguljev podjetja

Nobeno okolje ni 100-odstotno zaščiteno pred kršitvami. Kaj se torej zgodi, če zlonamerna oseba uspe priti do vaših najbolj občutljivih notranjih podatkov ali strogo reguliranih osebnih podatkov zaposlenih/strank? Če ga šifrirate med mirovanjem in med prenosom, boste zagotovili, da ga ni mogoče uporabiti, tudi če je pridobljen.

Pravilna varnost v oblaku

Prvi korak pri reševanju teh varnostnih tveganj v oblaku je razumevanje, kje so vaše odgovornosti in katera področja bo obravnaval CSP. Nato je treba presoditi, ali zaupate izvornim varnostnim kontrolam v oblaku CSP ali jih želite izboljšati z dodatnimi izdelki tretjih oseb. Upoštevajte naslednje:

• Vložite v varnostne rešitve tretjih oseb izboljšati vašo varnost v oblaku in zaščito za vašo e-pošto, aplikacije za shranjevanje in sodelovanje poleg varnostnih funkcij, vgrajenih v storitve v oblaku, ki jih ponujajo vodilni svetovni ponudniki v oblaku
• Dodajte razširjena ali upravljana orodja za odkrivanje in odziv (XDR/MDR) za spodbujanje hitrega odziva na incidente in zadrževanje/odpravljanje kršitev
• Razvijte in uvedite stalen program popravkov, ki temelji na tveganju in temelji na močnem upravljanju sredstev (tj. vedite, katera sredstva v oblaku imate in nato zagotovite, da so vedno posodobljena)
• Šifrirajte podatke v mirovanju (na ravni baze podatkov) in med prenosom, da zagotovite zaščito, tudi če se jih dokopajo negativci. To bo zahtevalo tudi učinkovito in stalno odkrivanje in razvrščanje podatkov
• Določite jasno politiko nadzora dostopa; uvedba močnih gesel, MFA, načel najmanjših privilegijev in omejitev/dovolilnih seznamov na podlagi IP-jev za določene IP-je
• Razmislite o sprejetju a Pristop ničelnega zaupanja, ki bo poleg segmentacije omrežja in drugih kontrol vključeval številne zgornje elemente (MFA, XDR, šifriranje).

Veliko zgornjih ukrepov je enakih najboljših praks, ki bi jih pričakovali za uvedbo na mestu uporabe. In na visoki ravni so, čeprav bodo podrobnosti drugačne. Najpomembneje je, da ne pozabite, da varnost v oblaku ni samo odgovornost ponudnika. Prevzemite nadzor še danes in bolje obvladujte kibernetska tveganja.