McAfee опублікувала рекомендації у сфері хмарної безпеки

McAfee представила передові практики у сфері хмарної безпеки.

Хмарні обчислення комерційно доступні вже близько 20 років і застосовуються практично повсюдно: близько 95% компаній зазначають, що вони мають хмарну стратегію. Хоча постачальники хмарних послуг значно вдосконалили свої системи безпеки, користування такими сервісами досі пов'язані з ризиками. На щастя, ці ризики можна знизити до мінімуму за допомогою наведених нижче передових практик:

Захистіть дані у хмарі:

• Визначте, яка інформація є найбільш вразливою. Хоча повсюдне впровадження захисту найвищого рівня, звичайно, буде зайвим, компанії мають убезпечити свої конфіденційні дані — інакше вони наражаються на ризик втрати інтелектуальної власності та накладення нормативних штрафів. Тому перш за все необхідно визначити, яка саме інформація підлягає захисту. Для виявлення та класифікації даних зазвичай використовують спеціальний механізм. Встановіть комплексне рішення, яке зможе виявити та захистити конфіденційну інформацію у вашій мережі, на кінцевих пристроях та у хмарі, і забезпечить необхідний рівень гнучкості та мобільності для вашої організації.
• Як здійснюється доступ до даних та їх зберігання? Незважаючи на те, що конфіденційні дані можна зберігати у хмарі, така можливість не є чимось очевидним. За даними звіту McAfee за 2019 р. «Про впровадження хмари та ризики» (Cloud Adoption and Risk Report), 21% всіх файлів у хмарі містять конфіденційну інформацію. Експерти відзначають різке зростання цього показника порівняно з минулим роком1. Хоча більша частина цієї інформації зберігається в корпоративних хмарних сервісах типу Box, Salesforce і Office365, що добре зарекомендували себе, важливо розуміти, що жодне з цих рішень не гарантує 100% безпеки. Зважаючи на це, важливо вивчити дозволи та контекст доступу до даних у вашому хмарному середовищі та внести необхідні коригування. У деяких випадках доведеться видалити конфіденційні дані, які вже розміщені в хмарі, або помістити їх у карантин.
• Хто може ділитися даними та яким чином? Порівняно з попереднім роком обсяги обміну конфіденційними даними збільшилися більш ніж на 50%.1 Якою б продуманою не була ваша стратегія зниження загроз, не можна тільки реагувати на інциденти: ризики такого підходу надто великі. Необхідно розробити політику контролю доступу та забезпечити її застосування ще до потрапляння даних у хмару. Можливість редагувати документи має бути лише у невеликої кількості співробітників, більшості буде достатньо їх перегляду. Аналогічно, не всім користувачам, які мають доступ до певних даних, слід дати дозвіл на обмін ними. Необхідно створити групи та налаштувати права, щоб пересилати таку інформацію могло лише вузьке коло осіб із відповідними повноваженнями. Це суттєво обмежить поширення конфіденційних даних.
• Не покладайтеся на шифрування хмарного сервісу. Комплексне шифрування на рівні файлів має бути основою всіх заходів для забезпечення безпеки у хмарі. Хоча шифрування даних силами постачальників хмарних послуг захищає їх від третіх сторін, у провайдерів при цьому з'являється доступ до ключів шифрування. Для максимального захисту компаніям необхідно впровадити сучасні криптографічні рішення з власними ключами та застосовувати їх до завантаження даних у хмару.

Усуніть внутрішні загрози хмарній безпеці

• Використання хмари працівниками має бути прозорим. Навіть якщо у вашій організації діє корпоративна стратегія хмарної безпеки, ваші співробітники можуть користуватися хмарою на власний розсуд. Більшість людей заводять облікові записи в Dropbox або користуються онлайн-сервісами для конвертації файлів без попередньої консультації з фахівцями ІТ. Щоб оцінити потенційні ризики роботи співробітників з хмарою, перевірте журнали проксі-сервера, брандмауера та системи управління інформацією про безпеку та події безпеки (SIEM). Це дозволить отримати повне уявлення про те, які хмарні сервіси використовуються, та визначити їхню цінність для співробітників/організації в порівнянні з ризиками повного або часткового розгортання систем у хмарі. Також слід пам'ятати, що тіньове використання — це не тільки доступ до нових або недозволених сервісів з кінцевих кінцевих пристроїв. Компаніям також потрібна стратегія боротьби з переміщенням даних із довірених хмарних рішень на неконтрольовані ними смартфони, планшети та ноутбуки. Оскільки в хмарний сервіс можна зайти з будь-якого підключеного до Інтернету пристрою, неконтрольована особиста техніка створює пробіл у будь-якій безпеці. Щоб обмежити завантаження файлів на несанкціоновані пристрої, можна зробити перевірку безпеки обов'язковою попередньою умовою такого завантаження.
• • Визначте, які типи можна розміщувати у хмарі.
  • Складіть список безпечних хмарних програм, якими можуть користуватися співробітники
  • Поінформуйте співробітників про передові практики у сфері хмарної безпеки, запобіжні заходи та інструменти, які необхідні для безпечної роботи з цими додатками.Складіть список безпечних сервісів. Хоча більшість співробітників використовують хмарні сервіси в робочих цілях та із законними намірами, деякі з них неминуче знайдуть і встановлять сумнівні рішення. З 1935 хмарних сервісів, які доступні для середньої організації, 173 відносяться до додатків з високим ризиком. Знання того, які рішення використовуються у вашій компанії, дозволить розробити відповідні безпекові політики.
• Пам'ятайте про важливу роль кінцевих пристроїв. Більшість користувачів застосовують для доступу до хмари веб-браузер, тому компаніям необхідно впровадити ефективні інструменти для захисту клієнтської сторони і забезпечити своєчасне оновлення браузерів, щоб запобігти експлуатації їх вразливостей. Це є ключовими компонентами хмарної безпеки. Для повноцінного захисту пристроїв кінцевих користувачів встановіть сучасні спеціалізовані рішення, наприклад брандмауери, особливо якщо ваша компанія працює за моделлю IaaS або PaaS.
• Дивіться у майбутнє. Нові хмарні послуги з'являються в інтернеті досить часто, а пов'язані з ними ризики постійно збільшуються, що ускладнює розробку та оновлення відповідних політик вручну. Хоча спрогнозувати, до яких хмарних програм будуть звертатися співробітники, занадто важко, ви можете автоматично оновлювати політики веб-доступу за допомогою інформації щодо профілю ризику того чи іншого сервісу. Це дозволить заблокувати доступ до такої хмари або вивести на екран попередження для користувача. Ремедіацію замкнутого циклу (застосування політик на основі загальної категорії ризику хмарного сервісу або його окремих характеристик) необхідно інтегрувати із захищеним веб-шлюзом або брандмауером. Система буде автоматично оновлювати та застосовувати політики без порушення роботи існуючого технологічного середовища.
• Забезпечте захист від необережних користувачів та зловмисників. Серед загроз безпеці, з якими компанії стикаються щомісяця, з вини персоналу трапляються в середньому 14,8 інцидентів. У 94,3% організацій внутрішньосистемні небезпеки з'являються як мінімум раз на місяць. Вони неминучі: питання лише тому, коли ця проблема торкнеться вас. Загрози такого роду включають як ненавмисне розкриття (тобто, скажімо, випадкове пересилання документа з конфіденційними відомостями), так і власне шкідливу активність — наприклад, коли менеджер з продажу скачує повну версію клієнтської бази перед відходом до конкурентів. І необережні співробітники, і зломщики можуть чинити дії, що вказують на зловмисне використання хмарних даних. Для відстеження аномальних явищ та запобігання внутрішнім та зовнішнім витокам даних використовуйте рішення з технологіями машинного навчання і аналізу поведінки користувачів.
• Довіряйте. Але перевіряйте. Користувачі, які намагаються отримати доступ до конфіденційних даних у хмарі з нового пристрою, повинні проходити додаткову перевірку. Можливе рішення — автоматична вимога двофакторної аутентифікації во всіх сценаріях хмарного доступу із високим ризиком. Спеціалізовані рішення щодо хмарної безпеки можуть запросити у користувача додатковий ідентифікуючий атрибут у режимі реального часу; вони працюють з наявними постачальниками ідентифікаторів та факторами автентифікації (апаратними токенами, мобільними програмними токенами або текстовими повідомленнями), які знайомі кінцевим користувачам.

Побудуйте міцні партнерські відносини з надійними постачальниками хмарних послуг

• Дотримання нормативних вимог — як і раніше, обов'язкова умова. Компанія може перенести в хмару більшу частину ключових бізнес-функцій, але відповідальність за нормативно-правову відповідність завжди лежатиме на ній, а не на сторонніх організаціях. Незалежно від того, яким нормативним документом керується ваше підприємство — Каліфорнійським законом про захист прав споживачів, стандартом безпеки даних PCI DSS, регламентом GDPR, актом HIPAA або іншим, необхідно вибрати таку хмарну платформу, яка дозволить вам виконувати вимоги будь-яких стандартів і правил, що діють у галузі. Потім слід з'ясувати, за які аспекти нормативної відповідності відповідає ваш провайдер, а які залишаються у вашій компетенції. Хоча багато постачальників хмарних послуг пройшли сертифікацію в багатьох галузевих та урядових регуляторах, розгортання у хмарі додатків та сервісів, що відповідають вимогам нормативів, та підтримка цієї відповідності в майбутньому входить у вашу зону відповідальності. Потрібно зазначити, що колишні контрактні зобов'язання та правові бар'єри можуть перешкоджати використанню хмарних послуг: переміщення даних у хмару трактується як передача контролю за цими даними.
• Дотримання вимог бренду також є важливим. Перехід у хмару не обов'язково відбувається на шкоду стратегії просування бренду. Розробте комплексний план з управління ідентифікацією та авторизацією у хмарних сервісах. Програмні програми, що відповідають вимогам стандартів SAML, Open ID та інших, підтримують застосування елементів корпоративного стилю у хмарі.
• Знайдіть надійних постачальників послуг. Постачальники хмарних послуг, які орієнтовані на підзвітність, прозорість та дотримання загальноприйнятих стандартів, зазвичай мають сертифікати SAS 70 Type II або ISO 27001. Постачальники хмарних послуг повинні бути готові надати всю необхідну документацію та звіти в готовому вигляді – наприклад, результати аудитів разом із необхідною інформацією про процес оцінки. всі аудити повинні проводитись незалежними експертами на основі існуючих стандартів. Постачальник хмарних послуг відповідає за актуальність отриманих сертифікатів та повідомлення клієнтів про будь-які зміни у їхньому статусі. Обов'язок клієнта при цьому вивчити обсяг застосування кожного стандарту: наприклад, деякі поширені нормативні документи не дають оцінки ефективності систем безпеки; надійність аудиторських фірм та аудиторів також може бути різною.
• Як вони забезпечують ваш захист? Ні один постачальник хмарних послуг не гарантує 100% безпеку. За останні кілька років багато ключових провайдерів зазнали нападів хакерів, у тому числі AWS, Azure, Google Drive, Apple iCloud, Dropbox та інші. Важливо ознайомитися зі стратегіями забезпечення безпеки даних хмарного сервісу та особливостями його багатоорендної архітектури. При несанкціонованому доступі до апаратних засобів або операційної системи постачальника послуг вся розміщена у нього інформація автоматично наражається на ризик. З цієї причини необхідно впровадити захисні заходи та вивчити дані попередніх аудитів, щоб виявити потенційні слабкі місця у системі безпеки. Якщо у цій сфері постачальник користується послугами сторонніх компаній, слід також ознайомитися з даними сертифікацій та аудитів. Після цього ви зможете визначити, які проблеми безпеки потрібно вирішити з вашого боку. Наприклад, менш ніж 10% провайдерів застосовують шифрування даних при зберіганні. Ще менше сервісів підтримують використання криптографічних ключів замовників1. Для надійної та безпечної роботи у хмарі необхідно знайти таких постачальників послуг, які, з одного боку, забезпечують комплексний захист, а також інший, дають користувачам можливість закривати будь-які проломи в ній.
• Добре вивчіть контракти та угоди про рівень послуг вибраного хмарного провайдера. Контракт на надання хмарних послуг — єдина гарантія обслуговування та головний документ, до якого ви апелюватимете при виникненні проблем. З цієї причини важливо ретельно вивчити всі договірні умови, у тому числі у додатках та додаткових угодах. Наприклад, контракт може прояснити, чи буде компанія-провайдер відповідати за ваші дані чи стане власником ваших даних. (Тільки 37,3% провайдерів вказують, що дані клієнтів є власністю клієнтів. Інші або не встановлюють власника даних безпосередньо, створюючи тим самим неясний з юридичної точки зору момент, або явно стверджують, що всі завантажені в хмару дані є їх власністю1). Чи забезпечує сервіс відкритий доступ до інформації про події безпеки та відгук на них? Чи надає провайдер інструменти моніторингу чи можливість підключення корпоративних засобів контролю? Чи отримуватимете ви щомісячні звіти про події безпеки та відгуки на них? Що станеться із вашими даними, якщо ви відмовитеся від використання сервісу? (Зверніть увагу на те, що лише 13,3% постачальників хмарних послуг видаляють дані користувача відразу після закриття облікового запису. Інші зберігають цю інформацію протягом року, а деякі провайдери особливо обмовляють своє право зберігати ці відомості безстроково.) Спірні умови контракту можна обговорити в ході переговорів, але якщо постачальник послуг назве їх такими, що не підлягають перегляду, вам доведеться вирішити, чи прийнятний ризик, пов'язаний з прийняттям цих умов, для вашого бізнесу. Якщо ні, необхідно знайти альтернативний спосіб управління цим ризиком — запровадити засоби криптографії чи моніторингу або звернутися до іншого провайдера.
• Що робити у разі нештатної ситуації? Оскільки у кожного постачальника хмарних послуг своя система безпеки і жоден з них не гарантує 100% захисту даних, дуже важливо мати план заходів щодо реагування на інциденти (IR- план). При складанні таких планів провайдер повинен виступати партнером і враховувати вашу думку. Визначте канали зв'язку, функції та обов'язки та заздалегідь продумайте можливі сценарії реагування на проблеми. У угодах про рівень обслуговування (SLA) повинні бути чітко прописані відомості, які постачальник послуг зобов'язаний надати у разі виникнення інциденту порядок роботи з даними для забезпечення їх доступності та гарантії підтримки, яка буде потрібна для ефективного виконання корпоративного IR-плану кожному етапі. Хоча найкращий спосіб своєчасного виявлення атак — це постійний моніторинг, необхідно виконувати повномасштабну перевірку систем щонайменше щороку, а також проводити додаткові тести при кожній значній зміні архітектури.
• Захистіть свої IaaS середовища. При роботі в середовищах IaaS, наприклад AWS та Azure, ви несете відповідальність за безпеку операційних систем, програм та мережевого трафіку. Щоб убезпечити інфраструктуру від шкідливих програм, необхідно розгорнути сучасні технології захисту на рівні ОС і віртуальної мережі. Списки дозволених програм та засоби запобігання несанкціонованому використанню пам'яті допоможуть захистити спеціалізовані робочі навантаження, а засоби безпеки на основі машинного навчання відмінно підійдуть для файлових. систем та додатків загального призначення.
• Нейтралізуйте та видаліть шкідливе програмне забезпечення з хмари. Зараження програм шкідливими програмами відбувається через спільні папки, які автоматично синхронізуються з папками в хмарному сховищі. Таким чином, небезпечний код переходить з одного зламаного користувача пристрою на інші. Щоб запобігти зараженню шкідливих програм та програм-вимагань, а також розкрадання даних, встановіть рішення для хмарної безпеки та виконуйте сканування файлів, які зберігаються у хмарі. При виявленні хакерського програмного забезпечення на хості або в хмарному додатку його можна помістити в карантин або видалити. Це дозволить убезпечити конфіденційні дані та уникнути їх пошкодження шкідливими програмами.
• Виконуйте регулярний аудит конфігурацій IaaS. Неправильне налаштування критично важливих параметрів середовищ IaaS (AWS або Azure) призводить до появи суттєвих уразливостей. У середньому в будь-який момент часу в будь-якій організації запущено щонайменше 14 інстансів IaaS з помилками конфігурації. Число пов'язаних з ними інцидентів безпеки сягає 2300 на місяць. Більше 5% всіх використовуваних бакетів AWS S3 з некоректними налаштуваннями відкриті для читання. Щоб уникнути таких потенційних витоків даних, необхідно перевіряти конфігурації щодо помилок у параметрах керування ідентифікацією та доступом, у параметрах роботи мережі та шифрування.

Інші новини