Безпека бізнесу
Усунувши ці помилки та сліпі зони, ваша організація може зробити значні кроки в напрямку оптимізації використання хмари, не наражаючись на кіберризик
Січень 16 2024 • , 5 хв. читати
Хмарні обчислення є важливою складовою сучасного цифрового ландшафту. ІТ-інфраструктура, платформи та програмне забезпечення, швидше за все, надаються сьогодні як сервіс (звідси акроніми IaaS, PaaS і SaaS відповідно), ніж у традиційній локальній конфігурації. І це більше подобається малому та середньому бізнесу (SMBs).
Хмара надає можливість вирівняти умови гри з більшими конкурентами, забезпечуючи більшу гнучкість бізнесу та швидке масштабування, не розбиваючи банк. Можливо, тому 53% глобальних малих і середніх підприємств, опитаних у a недавній звіт кажуть, що щорічно витрачають понад 1.2 мільйона доларів на хмару; порівняно з 38% минулого року.
Однак цифрова трансформація також пов’язана з ризиком. Безпека (72%) і відповідність вимогам (71%) є другою та третьою найбільш часто згадуваними хмарними проблемами для респондентів малого та середнього бізнесу. Першим кроком до вирішення цих проблем є розуміння основних помилок, які допускають невеликі підприємства, впроваджуючи хмарні технології.
Сім найпоширеніших помилок у хмарній безпеці, які роблять SMB
Давайте прояснимо: наведене нижче – це не просто помилки, які малого та середнього бізнесу роблять у хмарі. Навіть найбільші та найкраще забезпечені підприємства інколи забувають про основи. Але, усунувши ці сліпі зони, ваша організація може зробити значні кроки в напрямку оптимізації використання хмари, не наражаючись на потенційно серйозний фінансовий або репутаційний ризик.
1. Немає багатофакторної автентифікації (MFA)
Статичні паролі за своєю суттю є небезпечними, і не кожна компанія їх дотримується політика створення надійного пароля. Паролі можуть бути викрадені різними способами, наприклад, за допомогою фішингу, методів грубої сили або просто вгаданих. Ось чому вам потрібно додати додатковий рівень автентифікації поверх MFA. Це значно ускладнить доступ зловмисників до програм облікових записів SaaS, IaaS або PaaS ваших користувачів, таким чином зменшуючи ризик програм-вимагачів, крадіжки даних та інших можливих результатів. Інший варіант передбачає перехід, де це можливо, на альтернативні методи автентифікації, наприклад аутентифікація без пароля.
2. Надто велика довіра до хмарного постачальника (CSP)
Багато ІТ-лідерів вважають, що інвестиції в хмару фактично означають передачу всього на аутсорсинг надійній третій стороні. Це правда лише частково. Фактично, є модель спільної відповідальності для забезпечення безпеки хмари, розділеної між CSP і клієнтом. Те, про що вам потрібно подбати, залежатиме від типу хмарної служби (SaaS, IaaS або PaaS) і CSP. Навіть якщо більша частина відповідальності лежить на постачальнику (наприклад, у SaaS), можливо, варто інвестувати в додаткові засоби контролю третьої сторони.
3. Не вдалося створити резервну копію
Відповідно до наведеного вище, ніколи не припускайте, що ваш хмарний постачальник (наприклад, для обміну файлами/служб зберігання) вас підтримує. Завжди варто планувати найгірший сценарій, який, швидше за все, буде системним збоєм або кібератакою. Це не лише втрата даних, яка вплине на вашу організацію, але й тривалість простою та продуктивність, які можуть виникнути після інциденту.
4. Неможливість регулярно виправляти
Якщо не вдасться виправити, ви наражаєте свої хмарні системи на використання вразливостей. Це, у свою чергу, може призвести до зараження шкідливим програмним забезпеченням, витоку даних тощо. Керування виправленнями — це основна найкраща практика безпеки, яка актуальна як у хмарі, так і локально.
5. Неправильна конфігурація хмари
CSP – це інноваційна група. Але величезний обсяг нових функцій і можливостей, які вони запускають у відповідь на відгуки клієнтів, може призвести до створення неймовірно складного хмарного середовища для багатьох малих і середніх підприємств. Це значно ускладнює визначення того, яка конфігурація є найбільш безпечною. Поширені помилки включають налаштування хмарного сховища так що будь-яка третя сторона може отримати до нього доступ, і не в змозі заблокувати відкриті порти.
6. Не відстежує хмарний трафік
Одним із поширених рефренів є те, що сьогодні йдеться не про «якщо», а про «коли» ваше хмарне (IaaS/PaaS) середовище зламано. Це робить швидке виявлення та реагування критично важливим, якщо ви хочете виявити ознаки на ранній стадії, щоб стримати атаку, перш ніж вона матиме шанс вплинути на організацію. Це робить постійний моніторинг обов'язковим.
7. Не вдалося зашифрувати корпоративні коштовності
Жодне середовище не є 100% стійким до злому. Отже, що станеться, якщо зловмиснику вдасться отримати доступ до ваших найбільш конфіденційних внутрішніх даних або строго регламентованої особистої інформації співробітників/клієнтів? Зашифрувавши його в стані спокою та під час передавання, ви гарантуєте, що його не можна буде використовувати, навіть якщо його буде отримано.
Правильний захист у хмарі
Першим кроком у боротьбі з цими ризиками хмарної безпеки є розуміння ваших обов’язків і якими сферами займатиметься CSP. Потім потрібно вирішити, чи довіряєте ви власним хмарним засобам безпеки CSP чи бажаєте покращити їх за допомогою додаткових продуктів сторонніх розробників. Зверніть увагу на наступне:
- Інвестуйте в сторонні рішення безпеки щоб підвищити безпеку вашої хмари та захист вашої електронної пошти, програм для зберігання та спільної роботи на додаток до функцій безпеки, вбудованих у хмарні служби, які пропонують провідні світові постачальники хмарних технологій
- Додайте інструменти розширеного або керованого виявлення та реагування (XDR/MDR) для швидкого реагування на інциденти та стримування/усунення порушень
- Розробіть і розгорніть безперервну програму виправлення на основі оцінки ризиків, засновану на надійному управлінні активами (тобто знайте, які хмарні ресурси у вас є, а потім переконайтеся, що вони завжди актуальні)
- Шифруйте дані в стані спокою (на рівні бази даних) і під час передавання, щоб гарантувати їх захист, навіть якщо зловмисники заволодіють ними. Це також вимагатиме ефективного та постійного виявлення та класифікації даних
- Визначте чітку політику контролю доступу; обов'язкові надійні паролі, MFA, принципи найменших привілеїв та обмеження на основі IP/дозвіл для певних IP-адрес
- Розгляньте можливість прийняття a Підхід нульової довіри, який включатиме багато вищезазначених елементів (MFA, XDR, шифрування), а також сегментацію мережі та інші елементи керування
Багато з наведених вище заходів є тими самими передовими методами, які можна очікувати від локального розгортання. І вони на високому рівні, хоча деталі будуть іншими. Найважливіше пам’ятайте, що безпека хмари – це не лише відповідальність постачальника. Візьміть під контроль сьогодні, щоб краще керувати кіберризиками.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://www.welivesecurity.com/en/business-security/7-deadly-cloud-security-sins-smb/
- : має
- :є
- : ні
- :де
- $UP
- 35%
- 7
- a
- МЕНЮ
- вище
- доступ
- Рахунки
- додавати
- Додатковий
- Прийняття
- пліч-о-пліч
- Також
- альтернатива
- хоча
- завжди
- an
- та
- Щорічно
- Інший
- будь-який
- Звернення
- застосування
- додатка
- ЕСТЬ
- області
- AS
- активи
- управління активами
- Активи
- припустити
- At
- атака
- Authentication
- назад
- поганий
- Банк
- Основи
- BE
- перед тим
- Вірити
- КРАЩЕ
- передового досвіду
- Краще
- між
- більший
- найбільший
- Блокувати
- порушення
- порушення
- Розрив
- побудований
- гроно
- бізнес
- підприємства
- але
- by
- call
- CAN
- можливості
- який
- випадок
- Категорія
- проблеми
- шанс
- цитується
- ясно
- хмара
- Хмара безпеки
- хмарні сервіси
- співробітництво
- приходить
- загальний
- зазвичай
- комплекс
- дотримання
- компонент
- обчислення
- конфігурація
- Вважати
- містити
- безперервний
- контроль
- управління
- Core
- Корпоративний
- може
- створення
- створення
- критичний
- Корона
- CSP
- клієнт
- Кібератака
- дані
- Порушення даних
- Database
- Дата
- поставляється
- залежати
- розгортання
- розгортання
- деталі
- Виявлення
- різний
- цифровий
- цифрове перетворення
- відкриття
- do
- час простою
- управляти
- e
- Рано
- Ефективний
- фактично
- елементи
- усуваючи
- дозволяє
- шифрування
- кінець
- підвищувати
- забезпечувати
- підприємств
- Навколишнє середовище
- істотний
- Навіть
- Кожен
- все
- очікувати
- експлуатація
- розширений
- додатково
- факт
- відсутності
- Провал
- риси
- зворотний зв'язок
- поле
- фінансовий
- Перший
- стежити
- після
- для
- від
- отримати
- Глобальний
- великий
- здогадався
- винний
- відбувається
- важче
- Мати
- отже
- Високий
- дуже
- хіт
- тримати
- Як
- HTTPS
- i
- if
- Impact
- важливо
- in
- інцидент
- реагування на інциденти
- включати
- включати
- неймовірно
- інформація
- Інфраструктура
- за своєю суттю
- інноваційний
- небезпечно
- внутрішній
- в
- Invest
- інвестування
- IT
- ЙОГО
- сам
- січень
- JPG
- просто
- Знати
- ландшафт
- останній
- Минулого року
- запуск
- шар
- Лідери
- провідний
- найменш
- рівень
- брехня
- лежить
- Ймовірно
- втрачений
- головний
- зробити
- РОБОТИ
- Робить
- malicious
- шкідливих програм
- управляти
- вдалося
- управління
- управляє
- доручення
- багато
- масивний
- макс-ширина
- Може..
- засоби
- заходи
- методика
- МЗС
- хвилин
- помилки
- пом’якшення
- моніторинг
- більше
- найбільш
- багато
- повинен
- рідний
- NCSC
- Необхідність
- мережу
- ніколи
- Нові
- Нові можливості
- немає
- отриманий
- of
- запропонований
- on
- ONE
- тільки
- відкрити
- Можливість
- оптимізуючий
- варіант
- or
- організація
- Інше
- Результати
- Аутсорсинг
- над
- паас
- партія
- Пароль
- Паролі
- пластир
- Виправлення
- Платити
- країна
- для
- персонал
- ФІЛ
- phishing
- розміщення
- план
- Платформи
- plato
- Інформація про дані Платона
- PlatoData
- ігри
- політика
- Порти
- це можливо
- потенційно
- практика
- практики
- Принципи
- привілей
- продуктивність
- Продукти
- програма
- доказ
- захищений
- захист
- Постачальник
- забезпечує
- вимагачів
- швидко
- досягати
- регулюється
- доречний
- запам'ятати
- вимагати
- відповідно
- респонденти
- відповідь
- обов'язки
- відповідальність
- REST
- результат
- Risk
- ризики
- суперників
- SaaS
- то ж
- say
- шкала
- сценарій
- другий
- безпечний
- забезпечення
- безпеку
- ризики для безпеки
- сегментація
- чутливий
- серйозний
- серйозні фінансові
- обслуговування
- Послуги
- сім
- Ознаки
- просто
- невеликий
- менше
- SMB
- МСБ
- So
- Софтвер
- іноді
- конкретний
- Витрати
- розкол
- Spot
- плями
- Крок
- зберігання
- успіхів
- сильний
- такі
- опитаних
- система
- Systems
- вирішення проблем
- Приймати
- ніж
- Що
- Команда
- Основи
- крадіжка
- їх
- Їх
- потім
- Ці
- вони
- речі
- третій
- третя сторона
- це
- ті
- Таким чином
- до
- сьогодні
- сьогоднішній
- занадто
- інструменти
- топ
- до
- традиційний
- трафік
- Перетворення
- транзит
- правда
- Довіряйте
- Довірений
- ПЕРЕГЛЯД
- тип
- розуміти
- розуміння
- використання
- використовуваний
- різний
- через
- обсяг
- вразливість
- хотіти
- Що
- коли
- Чи
- який
- чому
- волі
- з
- без
- світі
- б
- XDR
- рік
- Ти
- вашу
- зефірнет