Бесплатный фрагмент - Цифровая системная архитектура

ЦИФРОВАЯ СИСТЕМНАЯ АРХИТЕКТУРА

— Прогнозирование тенденций кибербезопасности на 2026 год: вызовы искусственного интеллекта, квантовых угроз и эволюция модели угроз для критической инфраструктуры

Глава посвящена анализу и систематизации ключевых тенденций в области кибербезопасности, прогнозируемых экспертами на 2026 год. На основе синтеза более чем 140 экспертных прогнозов от ведущих мировых специалистов выделены пять доминирующих макротрендов: (1) формирование новой атакующей поверхности на базе агентного ИИ и МСР (Model Context Protocol); (2) рост угроз, связанных с «теневым» и неуправляемым ИИ (shadow AI); (3) переход киберпреступности к атакам на цепочки поставок услуг и SaaS-экосистему; (4) ускорение «квантового перехода» в криптографии и необходимость гибридных PQC-стратегий; (5) эскалация рисков в сегменте операционных технологий (OT/ICS) и критической инфраструктуры под влиянием гибридных конфликтов. Особое внимание уделено специфическим аспектам для российского сегмента: слабой зрелости OT-безопасности, дефициту квалифицированных кадров, регуляторным пробелам в области ИИ и дисбалансу IT/OT-политик. Представлены рекомендации по построению устойчивой архитектуры безопасности в условиях гиперавтоматизации.

Введение

Современная информационная безопасность находится в условиях беспрецедентного технологического сдвига, обусловленного широкомасштабной интеграцией генеративного и агентного искусственного интеллекта (ИИ), ускоренной цифровизацией критической инфраструктуры и приближением квантовой угрозы к практической реализации. По оценкам Gartner, к концу 2026 года до 40% корпоративных приложений будут содержать встроенные ИИ-агенты, способные принимать автономные решения в рамках предопределённых сценариев [1]. Одновременно NIST прогнозирует, что к 2026 году количество новых уязвимостей в программном обеспечении превысит 50 000 ежегодно, что делает традиционные методы приоритизации рисков несостоятельными [2].

В российском контексте данные тенденции усугубляются спецификой нормативного регулирования (ФЗ-152, ФЗ-187, ГОСТ Р ИСО/МЭК 27001—2022), недостаточной зрелостью систем защиты промышленных систем управления технологическими процессами (АСУ ТП) и растущей зависимостью ключевых отраслей (энергетика, транспорт, ЖКХ) от иностранных облачных и SaaS-решений. В этих условиях необходима системная научная оценка прогнозируемых угроз и векторов развития защитных мер.

Целью настоящей работы является обобщение и критический анализ прогнозов ведущих мировых экспертов по кибербезопасности на 2026 год с акцентом на их применимость в условиях российской критической инфраструктуры.

1. Агентный ИИ как новая атакующая поверхность

1.1. Протоколы типа MCP и расширение attack surface

Одной из наиболее консенсусных тенденций является формирование новой атакующей поверхности на стыке ИИ и API-инфраструктуры. По мнению М. Аджейи (Illumio) и П. Салливана (Akamai), ключевую роль будет играть Model Context Protocol (MCP) и иные протоколы, обеспечивающие взаимодействие ИИ-агентов с корпоративными системами [3, 4]. В отличие от традиционных REST/gRPC-API, MCP оптимизирован для динамического связывания агентов и часто развёртывается без базовых механизмов аутентификации и контроля доступа. Уже в 2025 году зафиксированы случаи утечек данных через неавторизованные подключения к векторным базам и административным API [5].

Прогноз на 2026 г.: первая крупномасштабная утечка, инициированная компрометацией MCP-канала (S. Man, Backslash Security) [6].

1.2. «Теневой ИИ» и эрозия контроля

«Shadow AI» — несанкционированное использование сотрудниками облачных LLM (например, Copilot, Claude, Gemini) — признан серьёзной внутренней угрозой рядом экспертов (L. Belkind, R. Degges, M. Hillary) [3, 7, 8]. В отличие от классического «теневого ИТ», ИИ-агенты обладают автономностью и могут создавать и исполнять код, обрабатывать PII и корпоративные секреты без логирования. В РФ данная угроза усугубляется отсутствием в ФЗ-152 чётких требований к обработке данных в LLM и отсутствием отечественных аналогов, соответствующих уровню безопасности ГИС класса К1–К2.

1.3. «Наивный ИИ» и возврат старых уязвимостей

Термин vibe coding (кодирование по ощущениям) описывает практику, при которой пользователи формулируют задачи для ИИ без понимания безопасности (Y. Gurt, Reflectiz) [9]. Как следствие, ИИ-генерируемый код часто содержит уязвимости, устранённые в индустрии ещё в 2010-х гг. (например, SQL-инъекции, XSS в динамически формируемых шаблонах) [9]. Особенно актуально это для промышленных предприятий, где код разрабатывается силами инженеров-не-программистов.

2. Эволюция цепочек поставок и SaaS как основной вектор атаки

Эксперты единодушны: в 2026 г. основной фокус атакующих сместится с программного обеспечения на услуги и SaaS-интеграции (M. Adjei, J. Bee, M. Britton) [3, 10, 11]. Причины:

— высокая степень доверия к SaaS-провайдерам (OAuth, SSO);

— широкие полномочия при интеграции (например, full_access к почте и CRM);

— отсутствие базового уровня безопасности (MFA, аудит логов) у многих провайдеров в сегменте SMB.

В условиях российского рынка, где доминируют иностранные SaaS-решения (Microsoft 365, Salesforce, Zoom), данная угроза приобретает характер системной уязвимости национальной ИК-инфраструктуры, особенно в свете требований ФЗ-187 о локализации КИИ.

Прогноз на 2026 г.: первая атака уровня «SolarWinds для SaaS», где компрометация одного провайдера затронет тысячи организаций (M. Britton) [11].

3. Квантовые угрозы: переход от теории — к практическим действиям

Хотя криптографически релевантные квантовые компьютеры (CRQC) в 2026 г. маловероятны, угроза Harvest Now, Decrypt Later уже реализуется (M. Carroll, A. Schulze Dias) [12, 13]. Согласно отчётам Mandiant, в 2024–2025 гг. зафиксированы кампании с целевой кражей зашифрованных данных, срок жизни которых превышает 10 лет (патенты, ДСП, ГТП), — именно такие данные станут приоритетной целью для расшифровки в постквантовую эпоху.

В РФ разработаны национальные стандарты постквантовой криптографии (ГОСТ Р 34.10–2023, ГОСТ Р 34.12–2023), однако их внедрение в промышленные системы (SCADA, АСУ ТП) остаётся на уровне пилотных проектов. Критически важным становится:

— создание криптографического инвентаря (как предписывает NIST SP 1800—38) [14];

— переход к гибридным схемам (классические алгоритмы + PQC);

— использование QKD (квантовое распределение ключей) в сегментах, требующих максимальной защиты (ядерная энергетика, ВПК).

4. OT/ICS-безопасность: от теоретической угрозы — к физическим последствиям

Эволюция угроз для операционных технологий признана ключевым трендом 2026 года (S. Boyer, Bitsight; F. Dankaart, NCC Group) [2, 15]. Отмечается переход от классического шифрования данных к операционному саботажу:

— атаки на ICS-контроллеры (PLC, RTU);

— нарушение работы систем безопасности (SIS);

— целенаправленное создание аварийных ситуаций (например, отключение систем охлаждения, повышение давления в трубопроводах).

Российские АСУ ТП особенно уязвимы ввиду:

— значительной доли устаревшего оборудования без поддержки современных протоколов шифрования (Modbus/TCP без TLS, DNP3 без аутентификации);

— слабой зрелости практик мониторинга и сегментации сети (microsegmentation);

— отсутствия сертифицированных специалистов по OT-безопасности (в 2025 г. вакансий «инженер по безопасности АСУ ТП» в РФ — менее 20, при сотнях КИИ).

Прогноз на 2026 г.: первые подтверждённые инциденты с локальными физическими последствиями (отключение электроснабжения района, авария на производственной линии) [2].

5. Регуляторная динамика: от compliance — к resilience

В 2026 г. ожидается переход от формального соответствия требованиям (compliance) к подтверждаемой устойчивости (resilience) (S. Boyer, S. Tufts) [2, 16]. Ключевые факторы:

— вступление в силу Цифрового акта операционной устойчивости (DORA) в ЕС с 2025 г. и его глобальное влияние;

— Киберустойчивостый акт ЕС (CRA), вступающий в силу в 2027 г., но требующий подготовки уже в 2026 г. (SBOM, управление уязвимостями «by design») [17];

— давление регуляторов на раскрытие информации об инцидентах в режиме реального времени (CIRCIA в США).

Для РФ актуальной задачей остаётся гармонизация требований ФСТЭК (Методические рекомендации по защите КИИ) и Банка России (Указание №5546-У) с международными стандартами (ISO/IEC 27001:2022, ISO/IEC 27005:2022), особенно в части управления поставщиками и third-party risk.

6. Эмпирические данные по эволюции угроз в 2025 г. и прогнозы на 2026 г.: результаты глобальных исследований Akamai и RSA Conference

6.1. Ключевые тенденции 2025 года: рост сложности атак при доминировании «базовых» векторов

Согласно ежегодному отчёту Akamai State of the Internet / Security (SOTI) за 2025 г., наблюдается парадоксальная дихотомия в современном киберландшафте: несмотря на рост сложности атакующих инструментов и широкое внедрение ИИ, наибольшее число инцидентов по-прежнему связано с фундаментальными уязвимостями — отсутствием многофакторной аутентификации (MFA), несвоевременным патчингом и социальной инженерией [1]. В частности, Akamai отмечает, что «…the more complex the threats are, the more important the basics are» [33, p. 3], что подтверждается статистикой: до 60% инцидентов в 2025 г. были возможны исключительно из-за пренебрежения базовыми мерами гигиены безопасности.

Одновременно с этим зафиксирован беспрецедентный рост Distributed Denial-of-Service (DDoS) -атак объёмом свыше 1 Тбит/с — такие атаки перешли из категории «теоретической угрозы» в разряд регулярных событий. При этом, как отмечают эксперты Akamai, современные инфраструктурные платформы (включая CDN-сети и облачные сервисы) способны оперативно нейтрализовать такие атаки при условии их централизованной обработки и поддержки квалифицированным персоналом [33]. Однако повышается доля гибридных атак, сочетающих DDoS с эксплуатацией уязвимостей прикладного уровня (L7), а также нацеленных на нарушение бизнес-процессов через обходные векторы, например — компрометацию служб поддержки клиентов для сброса учётных данных [33].

Критически важным наблюдением Akamai стало возрождение и эволюция ботнета Mirai, в том числе появление новых, более мощных его вариантов, способных использовать не только IoT-устройства, но и корпоративные серверы и edge-ноды [33]. Это указывает на расширение атакующей поверхности и подтверждает необходимость микросегментации и строгого контроля за «умными» устройствами в OT/ICS-сегментах.

6.2. ИИ как двойной меч: ускорение как атак, так и защиты

В 2025 г. произошёл качественный переход от экспериментального использования ИИ к его практической интеграции в циклы кибератак. В отчёте Akamai подчёркивается: «AI is powering successful attacks and posing challenges for conventional defenses… attacks are harder to detect, have more impact, and achieve their objectives faster» [33, p. 2]. Особенно тревожным является факт, что ИИ снижает барьеры входа для атакующих: «Threat actors no longer need to be skilled coders; they can use AI to verbally build and mount an attack» [33, p. 1]. Это ведёт к демократизации киберпреступности — в 2026 г., по прогнозам Akamai, ожидается полная «демократизация ransomware» за счёт комбинации RaaS и ИИ-ассистированного «vibe-hacking» [33, p. 3].

Однако ИИ активно используется и в защитных целях. Отмечается рост внедрения внутренних AI-ассистентов в SOC-команды для передачи экспертизы менее опытным сотрудникам, а также применения ИИ для выявления аномалий в поведенческих паттернах, незаметных для традиционных средств [33]. Важно, что победа в ИИ-гонке определяется не наличием модели, а уровнем грамотности в её применении — отсюда вытекает необходимость введения обязательной ИИ-грамотности в корпоративные стандарты обучения персонала по ИБ [33].

6.3. API и LLM как доминирующие векторы атак в 2026 г.

По прогнозу Akamai, в 2026 г. API-интерфейсы станут основным источником утечек данных на прикладном уровне, превысив по доле инцидентов фишинг, веб-эксплуатацию и другие традиционные векторы [33]. В регионе АТР уже 65% организаций не могут идентифицировать, какие из их API обрабатывают конфиденциальные данные, а 94% — сообщают об инцидентах, связанных с API, за последний год [33].

Особую тревогу вызывает тенденция к так называемому «vibe-coding» — использованию генеративного ИИ (GenAI) для быстрого создания API без формального Threat Modeling и аудита безопасности. Это ведёт к росту числа:

— неправильно настроенных CORS-политик;

— отсутствующей авторизации в эндпоинтах;

— утечек через незащищённые LLM-прокси.

В этих условиях API-безопасность становится критически важным элементом защиты LLM. Как констатирует Akamai: «Typically an LLM will need to transit an API at some point, making API protection critical… [it] can be used to identify critical traffic, such as determining whether it’s an LLM or a human trying to access something» [33, p. 2]. Таким образом, мониторинг и инвентаризация API-трафика становятся де-факто стандартом для выявления несанкционированного использования ИИ внутри организации — так называемого shadow AI.

6.4. Регуляторный и технологический контекст: квантовая угроза и IoT-резилиентность

Отчёты Akamai подчёркивают, что постквантовая криптография (PQC) переходит из стадии исследований в фазу практического развертывания. В 2025 г. начали появляться первые сертификаты, совместимые со стандартами NIST (например, CRYSTALS-Kyber), однако ключевой проблемой остаётся неоднородность клиентских платформ: значительная доля пользователей по-прежнему использует браузеры и ОС, не поддерживающие PQC-алгоритмы [33].

Ожидается, что в 2026 г. этот вопрос будет решаться через:

— постепенный переход на гибридные схемы (RSA + PQC);

— стимулирование обновления клиентского ПО (в т.ч. через требования к совместимости в госзакупках);

— внедрение квантово-устойчивых протоколов в защищённые сегменты (например, КИИ класса 1 и 2 по ФЗ-187).

Особое внимание уделяется регуляторным инициативам в области IoT-безопасности. В частности, Cyber Resilience Act (CRA) ЕС, вступивший в силу в 2024–2025 гг., вводит единые требования к безопасности устройств «от фабрики до утилизации». Это включает:

— обязательное наличие SBOM;

— поддержку безопасного обновления прошивок (FOTA);

— криптографическую аутентификацию устройств в сети.

Как отмечает Akamai, «CRA provides a harmonized approach… designed to simplify compliance and avoid overlapping regulations» [33, p. 2], что снижает барьеры для международных вендоров, но одновременно повышает требования к российским производителям, ориентированным на экспорт.

6.5. Данные опроса RSA Conference 2025: смещение фокуса с предотвращения — к восстановлению

Согласно отчёту Cybersecurity Pulse Report: RSAC 2025 (опубликовано ISMG), на крупнейшей в мире конференции по кибербезопасности произошёл концептуальный сдвиг в стратегическом мышлении: более 78% респондентов (CISO и руководителей SOC) заявили, что их организация официально перешла от парадигмы «предотвратить проникновение» к парадигме «предположить компрометацию» (assume breach) [34, p. 5].

Ключевые метрики резилиентности, по данным опроса, теперь включают:

— время восстановления (RTO) критических сервисов — не более 4 часов для 61% организаций;

— наличие изолированных «кибер-хранилищ» (air-gapped backups) — 85% респондентов;

— внедрение механизмов integrity validation при восстановлении — 67%.

Особую тревогу вызывает дефицит кадров в OT-сегменте: 92% респондентов из энергетики, транспорта и промышленности сообщили о нехватке специалистов, обладающих компетенциями как в информационных, так и в операционных технологиях. Лишь 18% организаций используют специализированные инструменты для мониторинга промышленных протоколов (Modbus, DNP3, Profinet), что создаёт критические слепые зоны в обнаружении атак на физические процессы [34, p. 8].

Наконец, отчёт констатирует рост числа внутренних инцидентов, связанных с недобросовестным использованием ИИ сотрудниками. 43% организаций зафиксировали утечки данных через несанкционированные LLM (например, Copilot, Gemini), при этом 29% инцидентов произошли в организациях, официально запретивших использование внешних ИИ-сервисов — что указывает на неэффективность запретительных политик без комплексного подхода к управлению рисками [34, p. 12].

Эмпирические данные 2025 г. подтверждают гипотезу о структурной трансформации модели угроз под влиянием генеративного и агентного ИИ: рост скорости атак (time-to-exploit сокращается с недель до часов), смещение фокуса на цепочки поставок и API, повышение роли человеческого фактора в условиях автоматизации. При этом наиболее уязвимыми остаются организации, которые:

— недооценивают базовые меры защиты (MFA, патчинг, сегментация);

— не ведут инвентаризацию API и AI-ресурсов;

— игнорируют риски, связанные с OT/ICS-интеграцией;

— применяют запретительные, а не риск-ориентированные подходы к использованию ИИ.

Эти выводы актуализируют необходимость перехода от формального соответствия требованиям к доказуемой резилиентности, основанной на регулярных учениях, кибер-дайджестах и квантифицированном управлении рисками.

7. Прогнозируемые киберугрозы 2026 года и контрмеры

Таблица 1

«Прогнозируемые киберугрозы 2026 года и контрмеры»

Заключение

2026 год станет переломным в области кибербезопасности: переход от реактивной защиты к проактивной устойчивости, от человеческого фактора к гибридному «человек + агент», от изолированных систем к экосистемной безопасности. Для российских организаций, эксплуатирующих АСУ ТП и КИИ, это требует:

— Срочного аудита ИИ-использования, включая выявление «теневых ИИ-агентов» и введение корпоративных гвардрейлов;

— Приоритизации PQC-миграции для данных с длительным сроком жизни, с опорой на национальные стандарты;

— Создания OT-SEC команд с гибридной экспертизой (IT + автоматизация + ИБ);

— Перехода к риск-ориентированному подходу, основанному на атакующих путях (attack path modelling) и динамической оценке экспозиции.

Игнорирование этих вызовов с высокой вероятностью приведёт к инцидентам с тяжёлыми операционными, репутационными и регуляторными последствиями.

@@@@@@@@@@@@@@@@@@@@@@@@@@@

— Многоступенчатый процесс создания Архитектуры кибербезопасности

Архитектура кибербезопасности определяет, какие средства контроля требуются для защиты критически важной информации и приемлемого уровня риска. Архитектор кибербезопасности может предоставить ответы на проблемы безопасности компании. Архитектура кибербезопасности включает в себя управление рисками, защиту от вредоносных программ, сеансы информирования и настройку безопасности. Кибербезопасность относится к проектированию и обслуживанию устройств в сетях для их защиты от вредоносных атак или несанкционированного доступа. Она предотвращает несанкционированный доступ к людям, процессам и технологиям посредством многих видов атак. Проектирование систем, в которых могут успешно протекать эти процессы, тоже относится к архитектуре безопасности.

Цель архитектуры кибербезопасности

Архитектура кибербезопасности теперь обязательна для организаций. Рассмотрим, каковы цели архитектуры кибербезопасности. Малые и крупные предприятия должны внедрить объединенную архитектуру кибербезопасности для защиты своих наиболее важных активов от передовых кибератак. Организации могут устранить пробелы в безопасности, снизить риски и повысить операционную эффективность, применяя целостный подход к построению архитектуры кибербезопасности. Консолидированная архитектура безопасности — это многоуровневый целостный подход к кибербезопасности. Она обеспечивает наглядное представление об угрозах организации при снижении общей стоимости владения и повышении операционной эффективности.

Минимизировать, смягчать скрытые или динамические кибератаки

Для обеспечения того, чтобы поверхности кибератак были небольшими и хранились в тайне, они могли незаметно перемещаться к целям угрозы, и их было трудно обнаружить и проникнуть с помощью киберугроз -убедитесь, что все ваши конфиденциальные данные надежно зашифрованы и передаются с использованием сквозных методов шифрования. Контрмеры, такие как средства защиты от движущихся целей, используются для активного обнаружения, смягчения последствий и противодействия всем кибератакам (MTD).

Особенности архитектуры кибербезопасности

Основой защиты организации от кибератак является ее архитектура кибербезопасности, которая гарантирует защиту всех компонентов ее ИТ-инфраструктуры. Сила структуры безопасности организации имеет решающее значение для ее успеха. Надежный корпоративный план, эффективная рабочая сила и ответственные руководители с опытом ведения бизнеса — все это необходимо. Последовательность и преданность делу всех вышеперечисленных сотрудников — это то, что создает мощную команду, и создание надежной архитектуры кибербезопасности не является исключением. Это демонстрирует, насколько важно, чтобы архитектура кибербезопасности вашей организации была безупречной, чтобы защитить ее от внешних атак. Киберугрозы и нарушения кибербезопасности бывают самых разных форм и размеров, и они постоянно меняются. В результате крайне важно, чтобы компания поддерживала высокий уровень осведомленности о безопасности и была осведомлена о процедурах и стратегиях, которые могут быть использованы для борьбы с потенциальными угрозами. что такое архитектура кибербезопасностиЗдесь, в этом посте, давайте углубимся в нюансы того, что такое архитектура кибербезопасности и важнейшие особенности архитектуры кибербезопасности.

Архитектура кибербезопасности, которая также известна как «архитектура сетевой безопасности», представляет собой структуру, которая определяет организационную структуру компьютерной сети, стандарты, политики и функциональное поведение, включая как аспекты безопасности, так и сетевые аспекты. Способ организации, синхронизации и подключения различных внутренних модулей вашей кибернетической или компьютерной системы часто называют архитектурой кибербезопасности. Архитектурная основа кибербезопасности является частью общей архитектуры системы. Она создается для содействия общему дизайну продукта или системы. Архитектура безопасности помогает определить расположение средств контроля безопасности и противодействия взлому, а также то, как они соотносятся с более широкой системной структурой вашей компании. Основная цель этих средств контроля — поддерживать качественные характеристики вашей основной системы, такие как конфиденциальность, целостность и доступность. Это также сотрудничество специалистов в области оборудования и программного обеспечения с талантами программистов, исследовательскими способностями и разработкой политики. Чтобы иметь более четкое представление о том, что такое архитектура кибербезопасности, давайте углубимся в компонент, имеющий решающее значение для архитектуры безопасности.

Компоненты архитектуры кибербезопасности

Надлежащая и эффективная архитектура кибербезопасности, по мнению внутренних аудиторов, состоит из трех основных компонентов. Это люди, процессы и инструменты, которые работают вместе для защиты активов организации. Архитектура безопасности должна руководствоваться политикой безопасности, чтобы эффективно согласовывать эти компоненты.

Определение ожиданий от архитектуры безопасности, стратегии внедрения и стратегии обеспечения соблюдения Политики безопасности — это декларация, которая определяет, как каждый объект взаимодействует друг с другом, какие действия разрешено выполнять каждому объекту, уровень безопасности, необходимый для системы, и меры, которые должны быть выполнены, если эти протоколы безопасности не выполняются.

Следующие компоненты составляют успешную и хорошо спланированную архитектуру безопасности:

— Реагирование на угрозы, аварийное восстановление, настройки, создание и обслуживание учетных записей, а также наблюдение за кибербезопасностью — все это области, в которых требуется соответствующее руководство.

— Управление идентификацией. То есть те, которые подпадают под сферу действия архитектуры безопасности, и были выбраны для включения и исключения.

— Пограничный контроль и доступ.

— Проверка и корректировка архитектуры.

— Обучение.

Особенности архитектуры кибербезопасности

Рассмотрим некоторые из ключевых особенностей архитектуры кибербезопасности в следующих пунктах:

— Сетевые элементы

Сетевые узлы: включая компьютеры, шлюзы, маршрутизаторы, модемы, сетевые платы, концентраторы, ретрансляторы, мосты, коммутаторы и т.д.Сетевые протоколы связи: HTTP, HTTPS, IMAP, FTP, DNS, DHCP, TCP/IP. Сетевые соединения, связывающие узлы с применением определенных протоколовСетевая топология узлов, включая двухточечную, цепную, кольцевую и гибридную.

— Элементы безопасности

Устройства кибербезопасности, такие как системы обнаружения вторжений или системы защиты от вторжений, брандмауэры, устройства шифрования или дешифрования и т.д.Программное обеспечение для кибербезопасности, включая антивирусное, шпионское и антивредоносное ПО. Обеспечение безопасности сетевых протоколов связи, таких как IMAP, HTTPS, HTTP, FTTP, DNS, DHCP, TCP / IP и т.д.Внедрение надежных методов шифрования, таких как сквозное шифрование, блокчейн и полное отсутствие знаний о конфиденциальности.

— Структуры и стандарты безопасности:

Архитектурная основа кибербезопасности такие стандарты, как ISO IEC серии 27000 и NIST (RMF) Risk Management Framework SP 800—37. Технические стандарты, касающиеся выбора программного обеспечения для обеспечения кибербезопасности.

— Политики и процедуры безопасности

Это политики и процедуры безопасности, которые разрабатываются в вашей компании и применяются на практике. В идеале архитектура кибербезопасности должна быть определена и имитируема с использованием стандартного отраслевого языка архитектурного моделирования, согласно Форуму по кибербезопасности (например, SysML, UML2). Хотя мы вкратце проанализировали особенности архитектуры кибербезопасности, также важно понимать ключевые этапы, связанные с архитектурой безопасности.

Этапы разработки структуры и процедуры архитектуры безопасности следующие:

— Оценка архитектурных рисков: В этом разделе оценивается влияние критически важных бизнес-активов, опасностей и последствий уязвимостей и угроз безопасности на вашу фирму.

— Проектирование и архитектура безопасности: На данном этапе проектирование и архитектура служб безопасности разрабатываются таким образом, чтобы помочь в защите активов вашей организации, а также способствовать достижению целей в области подверженности бизнес-рискам.

— Внедрение служб кибербезопасности: и процедуры эксплуатируются, внедряются, отслеживаются и управляются на этапе внедрения. Архитектура построена таким образом, чтобы гарантировать, что правила и политики безопасности, решения по архитектуре безопасности и оценки рисков будут полностью реализованы и эффективны на протяжении всего времени.

— Операции и мониторинг: Управление угрозами и уязвимостями, а также управление угрозами используются для мониторинга, надзора и управления рабочим состоянием, а также для изучения влияния безопасности системы.

Архитекторы кибербезопасности особенно искусны в выявлении потенциальных опасностей. Они знают достаточно о сетевых и компьютерных системах, чтобы разрабатывать стратегии архитектуры безопасности, применять их в действии и отслеживать их успех. Это было все об архитектуре кибербезопасности с подробным описанием компонентов, функций и этапов архитектуры безопасности.

Архитектура кибербезопасности — это стратегический дизайн процессов сетевой безопасности организации, принципов проектирования, правил взаимодействия приложений и элементов системы для защиты от вредоносных атак и компонентов системы. Хорошо продуманная архитектура кибербезопасности должна обеспечивать гибкость для поддержки операционных рисков бизнеса в постоянно меняющемся ландшафте киберугроз.

Необходимо подумать о факторах риска любой современной организации — гибридные рабочие среды, цифровая трансформация и постоянно развивающиеся угрозы — все это способствует увеличению площади атаки.

В дополнение к и без того сложному ландшафту безопасности злоумышленники сегодня имеют доступ к сложным инструментам, разработанным для обхода барьеров традиционных инструментов безопасности. Именно здесь появляется архитектура кибербезопасности — система, объединяющая множество принципов для решения проблем безопасности современного ландшафта безопасности бизнеса.

Архитекторы кибербезопасности оценивают ваш существующий процесс обеспечения безопасности и элементы управления, чтобы найти пробелы и уязвимости для их устранения, прежде чем они превратятся в дорогостоящие инциденты. Хорошо продуманная архитектура — ключ к улучшению положения, которое сводит к минимуму угрозы, укрепляет доверие клиентов и способствует росту.

Ключевые цели и задачи архитектуры кибербезопасности

Ключевая цель архитектуры кибербезопасности — минимизировать риск, создаваемый угрозами безопасности, и защитить организацию от вредоносных атак. Внедрение системы безопасности в вашу сквозную деятельность помогает достичь этой цели.

Безопасность данных

Когда дело доходит до кибербезопасности, предотвращение лучше, чем лечение. Большинство организаций не внедряют меры безопасности до тех пор, пока их не вынудят к этому, часто после взлома.

Превентивные меры не гарантируют 100% защиты от нарушений безопасности. Однако для минимизации случаев взломов и экономии затрат, связанных с их минимизацией и сдерживанием, лучше всего использовать упреждающий, а не реактивный подход.

Большинство организаций используют базовые меры безопасности, такие как брандмауэры, защита паролем и решения для защиты от вредоносных программ. Хотя эти элементарные меры являются строительными блоками первой линии защиты, они не справляются со сложными угрозами.

Надежная архитектура безопасности помогает вам активно управлять инцидентами на протяжении всего их жизненного цикла — обнаружения, предотвращения, смягчения последствий и расследования. Такие меры безопасности, как нулевое доверие, встроенные в каждый этап жизненного цикла разработки организации, помогают разработчикам внедрять инновации и создавать безопасную среду. Кроме того, это помогает администраторам безопасности определять правильные технологии, процессы, меры и учитывать все более сложный ландшафт угроз.

Управление состоянием безопасности данных: Как это работает и варианты использования

— Масштабируемость

Мир кибербезопасности — это бесконечная игра в кошки-мышки. Злоумышленники постоянно ищут способы использовать уязвимости в инфраструктуре безопасности, в то время как ИТ-команда исправляет пробелы.

Эффективная архитектура кибербезопасности помогает выявлять и исправлять уязвимости, помогая командам безопасности реагировать на инциденты с помощью правильных протоколов. ИТ-отдел предоставляет им инструменты и знания, необходимые для реагирования на взломы в режиме реального времени с использованием автоматизации и интеллектуальных средств обнаружения угроз до того, как они заразят ваши системы.

По мере того, как организация масштабируется за счет увеличения числа сотрудников, процессов и инструментов, это только усложняет ИТ-инфраструктуру и создает новые пробелы.

Хорошо спроектированная архитектура безопасности объединяет разрозненные инструменты и процессы для синхронизации критических событий и управления реагированием на угрозы. Хорошо синхронизированная система закладывает основу масштабируемой инфраструктуры для оптимизации операционных процессов и повышения эффективности.

— Соответствие требованиям к данным

Наконец, большинство организаций, обрабатывающих конфиденциальные данные клиентов, должны соблюдать правила безопасности данных и конфиденциальности. Архитектуры кибербезопасности помогают вам внедрять средства контроля безопасности в системы, которые хранят или обрабатывают данные в соответствии с законами о защите данных.

Компоненты архитектуры кибербезопасности

Архитектуру кибербезопасности образуют три основных элемента — люди, процессы и инструменты. Они взаимосвязаны и взаимозависимы друг от друга, чтобы функционировать как единое целое.

— Люди

Это ваши пользователи или сотрудники в рамках различных функций, на которых возложены определенные роли и обязанности. Процессы и инструменты не работают сами по себе, поэтому справедливо будет сказать, что человеческий компонент является наиболее важным аспектом золотого треугольника.

Отдельные пользователи, прошедшие надлежащую подготовку и оснащенные технологиями, могут стать вашим самым надежным средством защиты от взломов. В то же время неэффективные методы обеспечения безопасности и недостаточная осведомленность о безопасности приводят к потенциальным катастрофам.

Несмотря на потенциальную силу компонента «Люди», теоретически реализовать его на полную мощность не так просто. Большинство людей сопротивляются изменениям и не воспринимают обучение всерьез, поскольку недооценивают его ценность. Чтобы противостоять этому, руководство должно предлагать интуитивно понятные решения для обеспечения культуры, ориентированной на безопасность.

— Процессы и политики

Компонент процесса объединяет людей и инструменты, задавая вопрос «как». Это серия шагов, используемых для достижения бизнес-цели.

Комплексный процесс должен определять, как каждая роль вписывается в конкретный рабочий процесс, детализировать сквозные этапы выполнения деятельности, предлагать соответствующие учебные материалы, иметь систему проверки и систему показателей оценки успеха.

Кроме того, она должна четко детализировать ожидания, устанавливать крайние сроки и визуализировать рабочие процессы путем сопоставления процессов.

Политики являются важнейшим вспомогательным компонентом процессов. Это набор ваших деловых практик и предлагаемых действий, который определяет вашу приверженность безопасности данных.

Политики безопасности должны быть прозрачными, простыми для понимания и отвечать на вопрос, почему они приняты. Обновляйте политики так часто, как это необходимо, чтобы отражать каждое незначительное изменение.

— Инструменты

Для эффективного выполнения процессов людям нужны инструменты и технологии. Технология как ресурс стала для отраслей центром повышения операционной эффективности. Но не менее важен и правильный выбор инструментов безопасности. Если инструмент не подходит для вашего уникального варианта использования, он может стать скорее головной болью, чем вспомогательным средством.

Чтобы извлечь максимум пользы из этого компонента, обсудите цели внутри компании и оцените, какой поставщик соответствует им лучше всего. Постарайтесь понять проблемы и способы их решения, прежде чем делать инвестиции.

Можно проводить учебные занятия по правильному использованию инструмента или использовать встроенные в приложение решения для автоматизации учебных занятий и повышения производительности инструмента.

— Сеть

С ростом внедрения облачных технологий сеть, пожалуй, является наиболее важным компонентом архитектуры кибербезопасности. Она состоит из:

Сетевые узлы, такие как маршрутизаторы, ретрансляторы, мосты, коммутаторы, модемы, серверы печати, сетевые интерфейсные платы (NIC) и многое другое

Протоколы безопасности, такие как брандмауэры, системы EDR (обнаружения конечных точек и реагирования на них), IRS (системы реагирования на инциденты), антивирусные решения, решения для обнаружения угроз и многое другое

Протоколы связи, такие как HTTP (протокол передачи гипертекста, HTTPS (безопасный протокол передачи гипертекста), FTP (протокол передачи файлов), SMTP (простой протокол передачи почты), IMAP (протокол доступа к интернет-сообщениям), DHCP (протокол динамической настройки хоста) и DNS (система доменных имен)

Сетевые топологии, такие как шина, звезда, кольцо, сетка, дерево, гибрид и другие

— Фреймворки безопасности

Хотя этот компонент не всегда необходим, он может быть обязательным в зависимости от типа обрабатываемых вами данных. Такие фреймворки безопасности, как HIPAA, PCI DSS, ISO 27001, GDPR, NIST и другие, помогут внедрить передовые методы обеспечения безопасности и предоставят рекомендации по управлению поведением.

Как спроектировать архитектуру кибербезопасности

Создание архитектуры кибербезопасности — это многоступенчатый процесс.

— Основные принципы

Основные принципы — это, по сути, концепции, основанные на передовых практиках обеспечения безопасности. Это строительные блоки вашей архитектуры. Эти пять принципов:

Глубокая защита: Как мера безопасности, глубокая защита не зависит от одного механизма, а сочетает в себе множество инструментов и процессов. К этим процессам относятся многофакторная аутентификация, системы управления конечными точками, брандмауэры, шифрование данных и многое другое. Настройте свои процессы и системы таким образом, чтобы создать надежный барьер для неавторизованных пользователей

Принцип наименьших привилегий: Возможно, наиболее распространенный элемент управления безопасностью, он основан на концепции минимизации данных. Чтобы реализовать это, предоставьте своим пользователям минимальный объем доступа к системам, критически важным приложениям или учетным записям, необходимым им для выполнения определенной функции. Это не только помогает уменьшить поверхность атаки, но и сводит к минимуму сбои в системе безопасности, такие как случайная утечка данных или кража данных злоумышленниками.

Разделение обязанностей: Также известное как разделение обязанностей (SoD), разделение обязанностей ограничивает права доступа для одного пользователя. Она снижает внутренние угрозы, предоставляя разным пользователям доступ к каждой части системы.

Например, если пользователь A отвечает за обеспечение работоспособности репозиториев кода, пользователь B может управлять операциями редактирования. Аналогично, если одно и то же лицо может запросить доступ и утвердить его, это имеет мало смысла с точки зрения безопасности.

Безопасность по замыслу: Как мы обсуждали ранее, в сфере безопасности предотвращение лучше лечения. Безопасность не должна быть реактивным действием или запоздалой мыслью по поводу инцидента. Вы должны проектировать свои системы и процессы таким образом, чтобы в их основе отражались передовые методы обеспечения безопасности.

Представьте, например, жизненный цикл продукта — требования, дизайн, код, установку, тестирование и запуск. В плохо спроектированной архитектуре безопасность не является приоритетной до последнего этапа. В хорошо спроектированной архитектуре безопасность является частью каждого этапа. Другими словами, безопасность не может быть замком только на последней двери дома, она встроена во всю структуру.

KISS (Keep it simple, stupid): Часто неправильно понимаемая концепция «надежной системы безопасности» заключается в том, чтобы сделать ограждения как можно более сложными. Это не обязательно хороший подход, поскольку в конечном итоге вы можете усложнить задачу системным администраторам и упростить ее для злоумышленников.

Рассмотрим на примере аутентификации. Если вы создаете лабиринт препятствий на каждом этапе доступа к системе или файлу, вы, вероятно, создали разочаровывающую и излишне сложную систему для прошедших проверку подлинности пользователей.

Создание эффективной стратегии кибербезопасности

— Триада безопасности

Триада безопасности, или CIA безопасности, — это фундаментальные принципы: конфиденциальность, целостность и доступность.

Конфиденциальность — это мера конфиденциальности, которая защищает конфиденциальную информацию от несанкционированного доступа. В основном она работает с двумя элементами управления — контролем доступа и шифрованием.

Контроль доступа устанавливает правила и критерии для того, кто может получать доступ к определенному приложению или файлу, управлять ими или редактировать их. Распространенной технологией для реализации контроля доступа является многофакторная аутентификация (MFA). Он проверяет личность пользователя, используя комбинацию того, кем он является, чем он является или что он знает.

Шифрование — это процесс скремблирования данных таким образом, что они становятся нечитаемыми для всех, у кого нет полномочий на чтение. Только авторизованные пользователи могут расшифровывать данные в удобочитаемый формат с помощью ключа.

Integrity (Целостность) фокусируется на обеспечении точности, аутентичности и достоверности данных. Такие инструменты, как цифровые подписи и коды аутентификации сообщений (MAC), сравнивают набор протоколов регистрации с исходным для расследования несанкционированных изменений.

Другим примером является технология блокчейн, при которой доступ распределяется в цифровом виде. Любой может добавить новую информацию, но не сможет изменить уже существующие данные. Используя цифровые подписи, можно проверить, верны ли изменения и кто их внес.

Доступность означает доступность данных для уполномоченных лиц по мере необходимости. Две наиболее распространенные угрозы безопасности доступности данных включают распределенный отказ в обслуживании (DDoS) и атаки программ-вымогателей.

DDoS — это метод, используемый злоумышленниками для нарушения нормальной работы путем переполнения системы трафиком, чтобы система не могла обрабатывать законные запросы.

Программы-вымогатели — это наиболее часто используемый метод, который злоумышленники используют для шифрования файлов и отказа в доступе к ним, пока владелец не заплатит выкуп.

Архитектура кибербезопасности — это стратегическое проектирование всех компонентов безопасности ИТ-инфраструктуры организации. Это включает, но не ограничивается операционным проектированием систем, которые управляют людьми, процессами, продуктами, функциями, услугами, инструментами, технологиями, политиками и процедурами.

Сколько времени требуется для создания архитектуры кибербезопасности

На этот вопрос нет прямого или объективного ответа. Это зависит от таких факторов, как ваша основная цель, требования безопасности, выбранные стандарты безопасности, бизнес-стратегия, тип угроз кибербезопасности и многое другое. На это может уйти от нескольких месяцев до даже лет.

Структура архитектуры безопасности состоит из набора принципов безопасности, руководств и технологий обеспечения безопасности. TOGAF, SABSA и OSA — вот некоторые популярные платформы, которые помогают реализовать планы архитектуры кибербезопасности.

Примеры надежной архитектуры кибербезопасности включают безопасность приложений, управление доступом, предотвращение атак нулевого дня, защиту облачной среды, антивирусные программы, брандмауэры и многое другое.

Безопасность сетевой архитектуры относится к элементам сетевой инфраструктуры, таким как беспроводные маршрутизаторы, протоколы связи и сетевые топологии, которые структурированы таким образом, чтобы защищать системы безопасности от внешних угроз, внутренних угроз и вредоносного ПО.

Мониторинг архитектуры в кибербезопасности

Ниже приведены некоторые шаги, которые организация должна предпринять при мониторинге архитектуры:

— Создайте подробную стратегию мониторинга с политиками для ее резервного копирования. Изучите бизнес-модель и разработайте стратегию мониторинга, которая наилучшим образом соответствует ей.

— Следите за каждой системой. Упускать из виду какую-либо сеть с якобы низким уровнем риска рискованно, потому что хакеры могут воспользоваться таким недостатком. В результате вам нужно будет настроить системы для обнаружения всего, от атак до ненормального поведения системы.

— Отслеживать активность пользователей по целому ряду причин, включая обнаружение и предотвращение злоупотребления привилегиями.

— Устраните беспорядок в вашей системе мониторинга. Удалите все дополнительные функции, поскольку слишком большое количество оповещений может затруднить обнаружение злоумышленника. Другими словами, измените вашу систему мониторинга, чтобы сделать ее более эффективной.

— Изучайте и документируйте любые извлеченные уроки для улучшения усилий организации в этой области.

— Ознакомьтесь рекомендациями по мониторингу облачной безопасности

Принципы и фреймворк архитектуры кибербезопасности

Принцип и структура кибербезопасности включают в себя несколько шагов или политик, которые заключаются в следующем:

1) Управление рисками:

Этот шаг включает в себя разработку и распространение политик относительно того, как вы будете подходить к управлению рисками.

ИТ-отделу необходимо идентифицировать потенциальные риски, расставить приоритеты для наиболее важных рисков и разработать планы действий по борьбе с ними.

Режим управления рисками должен быть представлен и одобрен руководящей структурой. Это важно, потому что они установят новые или дополнительные политики, если парадигма угроз изменится.

2) Безопасность конфигурации:

Настройте свою систему безопасности, удалив ненужные функции и обеспечив отсутствие по периметру каких-либо лазеек, которые могли бы привести к утечке данных.

Конфигурация системы аналогична фундаменту здания; если она небезопасна, это поставит под угрозу все остальное.

3) Безопасная сеть:

Сетевая безопасность является важнейшим компонентом кибербезопасности. Вы должны построить безопасную сеть с ответными мерами для защиты ее от атак.

Начиная с основы архитектуры вашей сети и заканчивая активным мониторингом, вы можете фильтровать угрозы кибербезопасности и предоставлять доступ наиболее безопасным из возможных способов.

Она должна отражать политики, определяющие параметры, в рамках которых может работать ваша организация. Тестирование сетевой безопасности следует проводить на регулярной основе, поскольку оно выявляет слабые места.

4) Предотвращение атак вредоносного ПО:

Любое вредоносное или шпионское ПО должно быть обнаружено и предотвращено от проникновения в системы, поскольку это подвергает вашу сеть риску.

Вы можете подвергнуться этой вредоносной атаке через электронную почту, веб-страницы, системные уязвимости или даже съемное компьютерное устройство. Вот почему вы должны установить антивирусное программное обеспечение по всем направлениям и внедрить политики, требующие регулярного аудита. Кроме того, проверьте, что является распространенным признаком попытки фишинга.

5) Управление привилегиями:

Создавайте политики, ограничивающие доступ к системам безопасности только тем, что необходимо, в зависимости от работы сотрудника. Например, с помощью контроля доступа на основе правил вы можете группировать пользователей на основе правил. Никогда не стоит делиться паролями со всеми, даже если компания небольшая.

6) Политики удаленной работы:

Поскольку иногда необходима работа из дома, крайне важно заранее разработать политики в отношении общего доступа к сети и других проблем безопасности. Например, во время вспышки коронавируса хакеры атаковали предприятия.

7) Обучение и информирование пользователей:

В организации, заботящейся о безопасности, этот принцип вращается вокруг обеспечения культуры безопасности.

Сотрудникам и пользователям необходимы практические знания для защиты данных и систем со своей стороны, поэтому организациям следует регулярно проводить программы обучения и повышения осведомленности.

8) Управление инцидентами:

Многие организации в современном технологическом мире в какой-то момент сталкиваются с инцидентами.

Однако разработка политик и процессов поможет эффективно обрабатывать инциденты для быстрого и долгосрочного восстановления.

9) Съемные устройства:

Съемные устройства — распространенный способ распространения вредоносного ПО и раскрытия конфиденциальных данных.

В результате должны быть установлены четкие политики, а также системные конфигурации, которые обнаруживают неправильное обращение пользователя со съемными устройствами.

10) Мониторинг:

Необходимо установить политики, но еще более важно следить за их внедрением. Организация должна отслеживать все внедряемые политики. Это помогает эффективному управлению организацией, обнаруживая недисциплинированность и атаки и реагируя на них на ранней стадии.

Архитектор кибербезопасности

Архитектор кибербезопасности вмешивается на уровне архитектуры и инфраструктуры информационной системы компании, чтобы обеспечить безопасность соответствующего оборудования. Именно он определяет политики и стандарты безопасности в компании и должен сообщать о них организации, чтобы гарантировать их соблюдение. Обратите внимание, что у этой профессии есть будущее: по данным АТЭС, в связи с ростом угроз и усложнением архитектур количество вакансий для архитекторов кибербезопасности увеличилось почти на 50% в период с 2016 по 2018 год, большинство из которых связаны с деятельностью в сфере кибербезопасности. ИТ и в более общем плане сфера услуг.

— Многофункциональная роль

Теоретически роль архитектора кибербезопасности проста: он разрабатывает и внедряет решения для обеспечения безопасности информационной системы компании. На самом деле это включает в себя разные элементы. Его работа никогда не прекращается! Работа над существующей архитектурой ведется непрерывно, всегда возможны изменения, и она должна регулярно пересматривать существующую, чтобы предлагать рекомендации по повышению безопасности. На самом деле он должен гарантировать, что технологический выбор останется неизменным и последовательным в соответствии с изменениями в бизнес-стратегии, новыми решениями, появляющимися на рынке, и, конечно же, новыми угрозами.

Среди его задач — проведение тестов на соответствие требованиям и анализ инцидентов, происходящих в системе. Во втором случае он должен составлять отчеты, содержащие, в частности, его рекомендации, чтобы предотвратить повторение инцидента. Он также может отвечать за повышение осведомленности и непрерывное обучение команд, а также выступать в качестве представителя кибербезопасности внутри компании, но также и за ее пределами: стандарты, установленные организацией, также должны соблюдаться ее поставщиками.

— Внутренняя и внешняя связь

Архитектор кибербезопасности должен выполнять свои задачи в рамках ИТ-стратегии и политики компании. Поэтому он тесно сотрудничает с другими сотрудниками ИТ-отдела, в частности с другими специалистами по безопасности, и, возможно, с внешними заинтересованными сторонами, которые выступают в качестве консультантов. Именно он сопровождает руководителей проектов в разработке архитектуры и определяет вместе с ними требования с точки зрения безопасности при интеграции новой системы или в случае необходимости развития существующей системы. Он также является консультантом ИТ-отдела и генерального директората компании, высказывая свое мнение о том, каких поставщиков ИТ-услуг или программного обеспечения выбрать. Он работает в прямом контакте с ИТ-директором, директором по информационным системам или директором по безопасности информационных систем.

Архитектор кибербезопасности — это эксперт с различными техническими навыками с точки зрения безопасности операционных систем, сетей, протоколов. Он, конечно, хорошо разбирается в архитектуре информационных систем и хорошо разбирается в различных существующих решениях для обеспечения безопасности. Он также может проводить технический анализ, чтобы быть в курсе последних инноваций и тенденций, а также сам вводить новшества. Необходимо хорошее понимание киберугроз.

Не обязательно имея юридического образования, он все равно должен иметь минимальный уровень владения предметом, чтобы быть в курсе нормативных стандартов и изменений и гарантировать, что предлагаемые им решения соответствуют закону.

Наконец, поскольку он работает с очень разными профилями, как с техническими, так и с другими, он должен, помимо этих ноу-хау, связанных с его основной профессией, обладать хорошими коммуникативными способностями, педагогическими навыками. и нравится работать в поперечном режиме.

Разнообразные рабочие инструменты

Архитектор кибербезопасности может специализироваться, но в целом от него требуется уметь использовать различные инструменты и языки (PHP для веб-приложений, Java, C, C ++ …), владеть несколькими операционными системами (OS, Unix, Linux, Windows).) и быть в курсе последних событий. удобство как в облачных средах и решениях (IaaS, PaaS, API, CASB, O365), так и в мобильности. Он также должен уметь адаптировать свои методы работы в соответствии с тем, что выбрано для управления проектами, будь то, например, совместная работа в гибком режиме или в каскадном режиме.

ЗАКЛЮЧЕНИЕ

Архитектура кибербезопасности — это объединенный проект безопасности, который учитывает требования и риски, связанные с конкретным сценарием или средой. В ней также указано, когда и где компания должна внедрять средства контроля.

Новые решения кибербезопасной архитектуры помогают создавать надежную архитектуру кибербезопасности снизу доверху. Они мгновенно подключается к системе для непрерывного мониторинга системных элементов управления и делает комплексный процесс быстрым и без усилий.

ИТ-отдел упрощает и автоматизирует все компоненты вашей инфраструктуры кибербезопасности или корпоративной архитектуры кибербезопасности, используя передовые или традиционные меры безопасности для укрепления актуального положения в области кибербезопасности.

@@@@@@@@@@@@@@@@@@@@@@@@@@@

— Микросервисная Архитектура и Кибербезопасность

На современном рынке, где отрасли используют различные программные архитектуры и приложения, практически невозможно почувствовать, что ваши данные полностью защищены. Итак, при создании приложений с использованием микросервисной архитектуры проблемы безопасности становятся более значимыми, поскольку отдельные службы взаимодействуют друг с другом и с клиентом. В этой главе о безопасности микросервисов приводится аналитика о различных способах, которые можно реализовать для защиты своих микросервисов.

Микросервисы, также известные как микросервисная архитектура, представляют собой архитектурный стиль, который структурирует приложение как набор небольших автономных сервисов, смоделированных вокруг бизнес-домена. Можно понимать микросервисы как небольшие отдельные сервисы, взаимодействующие друг с другом в рамках единой бизнес-логики.

Безопасность микросервисов

Сейчас, когда компании часто переходят от монолитной архитектуры к микросервисам, они видят множество преимуществ, таких как масштабируемость, гибкость и короткие циклы разработки. Но, в то же время, эта архитектура также создает несколько сложных проблем.

Ключевые проблемы микросервисных архитектур

Проблемы, с которыми сталкиваются микросервисы, заключаются в следующем:

Проблема 1:

Рассмотрим сценарий, в котором пользователю необходимо войти в систему для доступа к ресурсу. Теперь в архитектуре микросервисов данные для входа пользователя должны сохраняться таким образом, чтобы у пользователя не запрашивали подтверждение каждый раз, когда он / она пытается получить доступ к ресурсу. Теперь это создает проблему, поскольку данные пользователя могут быть небезопасны, а также могут быть доступны третьей стороне.

Проблема 2:

Когда клиент отправляет запрос, необходимо проверить данные клиента, а также разрешения, предоставленные клиенту. Итак, при использовании микросервисов может случиться так, что для каждой службы вам придется аутентифицировать и авторизовывать клиента. Теперь для этого разработчики могут использовать один и тот же код для каждой службы. Возможно, использование определенного кода снижает гибкость микросервисов? Это определенно так. И это одна из основных проблем, с которыми часто сталкиваются в этой архитектуре.

Проблема 3:

Следующая проблема, которая является очень важной, — это безопасность каждого отдельного микросервиса. В этой архитектуре все микросервисы взаимодействуют друг с другом одновременно в дополнение к 3-мсторонним приложениям. Поэтому, когда клиент входит в из 3 -й партии приложение, вы должны убедиться, что клиент не получает доступа к данным для микросервисов, таким образом, что он/ она может использовать их.

Сертификация микросервисов

Вышеупомянутые проблемы — не единственные, встречающиеся в микросервисной архитектуре. Можно также столкнуться со многими другими проблемами, связанными с безопасностью, в зависимости от приложения и имеющейся архитектуры. Знания безопасности микросервисов позволяют наилучшими способами уменьшить проблемы.

Рекомендации по повышению безопасности микросервисов :

— Механизм углубленной защиты

Известно, что микросервисы используют любой механизм на детальном уровне, вы можете применить механизм углубленной защиты, чтобы повысить безопасность сервисов. С точки зрения непрофессионала, механизм углубленной защиты — это, по сути, метод, с помощью которого вы можете применять уровни контрмер безопасности для защиты конфиденциальных сервисов. Итак, вам, как разработчику, просто нужно идентифицировать сервисы с наиболее конфиденциальной информацией, а затем применить ряд уровней безопасности для их защиты. Таким образом, вы можете быть уверены, что любой потенциальный злоумышленник не сможет взломать систему безопасности за один раз, и ему придется действовать дальше и пытаться взломать защитный механизм всех уровней.

Кроме того, поскольку в микросервисной архитектуре можно реализовать разные уровни безопасности для разных сервисов, злоумышленник, успешно использующий конкретный сервис, может не суметь взломать механизм защиты других сервисов.

Токены и API-шлюз

Часто при открытии приложения вы видите диалоговое окно с надписью «Примите лицензионное соглашение и разрешение на использование файлов cookie». Что означает это сообщение? Что ж, как только вы примете это, ваши учетные данные пользователя будут сохранены и будет создан сеанс. Теперь, когда вы в следующий раз перейдете на ту же страницу, страница будет загружена из кэш-памяти, а не с самих серверов. До появления этой концепции сеансы хранились централизованно на стороне сервера. Но это было одним из самых больших препятствий в горизонтальном масштабировании приложения.

Токены

Итак, решением этой проблемы является использование токенов для записи учетных данных пользователя. Эти токены используются для простой идентификации пользователя и хранятся в виде файлов cookie. Теперь каждый раз, когда клиент запрашивает веб-страницу, запрос пересылается на сервер, а затем сервер определяет, имеет ли пользователь доступ к запрошенному ресурсу или нет.

Сейчас основная проблема — это токены, в которых хранится информация о пользователе. Таким образом, данные токенов должны быть зашифрованы, чтобы избежать любого использования со стороны сторонних ресурсов rd. Веб-формат Jason или наиболее широко известный как JWT — это открытый стандарт, который определяет формат токенов, предоставляет библиотеки для различных языков, а также шифрует эти токены.

API-шлюзы

API-шлюзы добавляют дополнительный элемент для защиты сервисов посредством аутентификации по токенам. Шлюз API является точкой входа для всех запросов клиента и эффективно скрывает микросервисы от клиента. Итак, у клиента нет прямого доступа к микросервисам, и, следовательно, таким образом, ни один клиент не может использовать какие-либо из сервисов.

Согласно статистике, 81,5% предприятий используют приложения на основе микросервисов, и 17,5% из них планируют внедрить микросервисы. Примерно 9 из 10 компаний заявляют, что они удовлетворены внедрением архитектуры микросервисов.

На безопасность микросервисов сильно влияет отличительный несвязанный подход к разработке приложений. Неспособность следовать монолитному подходу вынуждает разработчиков решать новые задачи безопасности в микросервисах.

Далее рассмотрим основные проблемы информационной безопасности, а также, как реализовать безопасность в микросервисах, и о способах обнаружения взломов.

Термин микросервисы определяют несвязанную архитектуру приложения. Оно включает множество слабо связанных сервисов, которые используют различные технологии для предоставления различной функциональности. Каждый сервис имеет выделенную базу данных и может быть разработан с использованием различных технологических стеков.

Архитектура микросервисов

В отличие от монолитной архитектуры, использование микросервисов не требует от разработчиков обновления всего приложения для добавления дополнительных функций или устранения обнаруженных проблем. Более того, сбой в работе одной службы не приводит к остановке всего приложения, что является одним из основных преимуществ использования микросервисной архитектуры.

В чем преимущества архитектуры микросервисов? Использование архитектуры микросервисов предусматривает возможность создания масштабируемых и надежных приложений, обеспечивающих следующие преимущества.

— Самодостаточность. Микросервисы — это независимые узлы, выполняющие определенную функциональность.

— Техническое разнообразие. Разработчики могут внедрять различные решения, используя разные технологии.

— Масштабируемость. Функциональность приложения можно быстро расширить за счет разработки и добавления новых сервисов.

— Высокая устойчивость. Сбой одной службы не влияет на все приложение, что помогает обеспечить максимальную безопасность микросервисов.

— Непрерывная доставка. Определенные службы приложения можно обновлять, не отключая все приложение.

— Простая реализация изменений. Функциональность определенных служб может быть обновлена без выпуска основных обновлений приложений.

— Упрощенная адаптация. Новые инженеры-программисты могут быстро подключиться к новому проекту и начать работу над новым сервисом.

Рассмотрим наиболее распространенные варианты использования архитектуры микросервисов Учитывая особенности архитектуры микросервисов, она лучше всего подходит для следующих:

— устаревшие приложения

— крупномасштабные приложения со сложной логикой

— приложения с большим объемом данных

— приложения, обрабатывающие данные в режиме реального времени

— высокоустойчивые приложения

Многие популярные компании перешли с использования монолитной архитектуры на микросервисы, чтобы получить возможность эффективного масштабирования своих приложений. Наиболее популярными пользователями микросервисов являются:

— Amazon

— Netflix

— Uber

Отличие архитектуры микросервисов от монолитной архитектуры. Монолитная архитектура — это единое целое, использующее одну базу данных и определенный технологический стек. Приложения microservice, напротив, представляет собой набор взаимосвязанных сервисов, использующих различные технологии.

Остановимся подробнее на основных различиях между монолитной и микросервисной архитектурами.

Monolith vs. Микросервисы

— Масштабируемость Все приложение следует повторно развернуть для выпуска новых изменений или обновлений Новые службы могут быть развернуты без ущерба для всего приложения

— База данных. Приложение использует общую базу данных. Каждый сервис использует эту базу данных

— Команда разработчиков. Разрабатывать, тестировать и поддерживать приложение должна единая команда инженеров-программистов. Для разработки, тестирования и обслуживания сервисов выделяются разрозненные команды.

— Технологии. Разработчики обязаны использовать определенный технологический стек. Каждый сервис может быть разработан с использованием различных технологий.

Использование монолитной архитектуры предусматривает возможность быстрого запуска приложения. Однако время, необходимое для разработки и выпуска новых функций / изменений, увеличивается экспоненциально в зависимости от сложности приложения.

Архитектура микросервисов требует от инженеров-программистов больших затрат времени на выпуск начальной версии продукта. Продукт можно легко масштабировать, добавляя новые службы.

Монолитная архитектура против микросервисов

Использование множества слабо связанных сервисов, объединенных в одно приложение, — это другой подход к разработке приложений по сравнению с монолитной архитектурой.

Основные проблемы с безопасностью микросервисов в основном вызваны следующим.

— Несвязанная архитектура

Каждый микросервис использует выделенную базу данных и различные технологии. Более того, разработчикам необходимо создать более сложное решение для обеспечения аутентификации микросервисов и авторизации для каждого сервиса.

— Коммуникация с микросервисами

Многие разрозненные сервисы с выделенной функциональностью нуждаются в обмене конфиденциальной информацией.

Ключевые практики обеспечения безопасности микросервисов

Аутентификация и авторизация

Аутентификация относится к проверке личности пользователя путем сверки предоставленных учетных данных для входа с теми, которые хранятся в базе данных.

Авторизация относится к предоставлению зарегистрированным пользователям разрешения на доступ к определенным ресурсам. Он также определяет, какие действия могут выполнять пользователи в зависимости от их ролей.

Требуется новое решение для аутентификации и авторизации, поскольку архитектура безопасности микросервисов включает множество взаимосвязанных сервисов. Оно должно отличаться от решений, используемых в монолитной архитектуре, поскольку каждая служба должна проверять идентификатор пользователя и получать дополнительную информацию о пользователе.

Подход к аутентификации и авторизации Monolith vs microservices

Из-за несвязанных структур безопасность микросервисов не может соответствовать подходу монолитной архитектуры. Ознакомьтесь с решением, предлагаемым монолитной архитектурой для выполнения основных функций и задач, связанных с микросервисами.

Монолитная архитектура Проблемы, связанные с микросервисами

— Вход. Использование единой базы данных. Для выполнения аутентификации и авторизации требуется специальная служба входа в систему.

— Проверка токена идентификации. Одно серверное приложение выдает и проверяет токены ID. Токены ID выдаются и проверяются различными сервисами.

— Доступ к дополнительной информации о пользователе. Все данные хранятся в одной базе данных. Данные и информация о пользователе хранятся в разных базах данных.

Три варианта реализации аутентификации и авторизации в микросервисах

Ниже приведены три варианта реализации шаблонов безопасной аутентификации и авторизации в архитектуре secure microservices.

— Служба аутентификации «все в одном» — cлужба аутентификации проверяет личности пользователей и создает сеанс, выдавая идентификационный токен. Каждая служба проверяет токены и получает дополнительную информацию о пользователе отдельно.

— Хранилище общих сеансов — cлужба аутентификации проверяет личность пользователей и создает сеансы, которые хранятся в выделенном общем хранилище. Службы проверяют идентификатор пользователя и получают дополнительную информацию о пользователе, подключаясь к хранилищу общих сеансов.

— Веб — токены JSON (JWT) — Служба аутентификации проверяет личность пользователя и выдает токен JWT. Токен JWT предоставляется сервисам, которые проверяют его и получают базовую информацию о пользователе.

Плюсы, Минусы и Ключевые факторы

— Универсальная служба аутентификации

— Отличное объединение;

— Основная информация о пользователе всегда актуальна.

— Высокая нагрузка на службу аутентификации;

— Службы ресурсов строго зависят от службы аутентификации.

— Лучше всего подходит для микросервисов, но следует учитывать компромисс в производительности.

— Хранилище общих сеансов

— Простота внедрения;

— Отсутствие строгих зависимостей между аутентификацией и службами ресурсов.

— Худшая инкапсуляция из-за использования общего хранилища сеансов

— Служба аутентификации может стать узким местом / точкой отказа;

— Основная информация о пользователе не является актуальной.

— Высокая производительность при соблюдении некоторых принципов работы микросервисов.

— Веб-токены JSON (JWT)

— Отсутствие узких мест в производительности или точек отказа;

— Продвигает подход к децентрализации;

— Основную информацию о пользователе можно прочитать из JWT.

— Больше данных для передачи по сети;

— Цифровая подпись JWT должна быть подтверждена;

— Сложно реализовать;

— Не обеспечивается «из коробки»;

— Ухудшение поддержки в веб-фреймворках;

— Устранение проблемы JWT.

— Комплексный вариант, но он с трудом справляется с выходом из системы. Его должны реализовать старшие разработчики.

Рассмотрим три варианта аутентификации и авторизации микросервисов, выяснив, как они обеспечивают функциональность безопасности микросервисов.

— Универсальная служба аутентификации. Хранилище общих сеансов Веб-токены JSON (JWT).

— Вход. Уникальный API входа в систему. Уникальный API входа в систему, но сеансы создаются в общем хранилищ. е Служба аутентификации создает JWT, содержащий информацию о пользователе.

— Проверка токена идентификации. Служба аутентификации вызывается каждый раз, когда это необходимо. Службы подключают общее хранилище сеансов вместо службы аутентификации. Сервисы проверяют полученные токены и получают от них информацию о пользователе.

Доступ к дополнительной информации о пользователе Использование выделенного API службы аутентификации API службы аутентификации микросервисов используется для получения дополнительной информации о пользователе Дополнительная информация может быть сохранена в JWT или извлечена с помощью API службы аутентификации по запросу.

Готовые к использованию решения для идентификации клиентов и управления доступом.

Независимо от того, какой вариант аутентификации и авторизации microservices вы выберете для своего приложения microservice, он должен быть реализован инженерами-программистами.

Готовые к использованию системы идентификации клиентов и управления доступом (CIAM) могут ускорить разработку и решить большинство проблем безопасности, выбрав хорошо протестированное решение. Тремя ведущими платформами CIAM являются:

— AWS Cognito

— FusionAuth

— Auth0

Готовые решения CIAM предоставляют доступ ко многим функциям, обеспечивающим безопасность микросервисов высшего уровня и удобство работы с пользователями. Основными функциями платформы CIAM, входящей в тройку лидеров, являются следующие.

Платформа CIAM. Основные функции

— AWS Cognito. Самостоятельная регистрация, варианты миграции, настраиваемый пользовательский интерфейс, многофакторная аутентификация, защита от взлома учетных данных, оценка рисков безопасности микросервисов, межмашинная аутентификация, хранилище идентификационных данных, доступ к ресурсам AWS.

— FusionAuth. Единый вход, многофакторная аутентификация, биометрическая аутентификация, вход в социальные сети и игры, обнаружение взломанного пароля, авторизация IoT, ограничение скорости.

— Auth0. Вход в социальную сеть, единый вход, брендинг, многофакторная аутентификация, обнаружение нарушений в режиме реального времени, бессерверные инструменты разработчика, аутентификация без пароля.

Защищенная связь между микросервисами

Микросервисам необходимо постоянно взаимодействовать друг с другом для отправки и получения данных. Защищенная связь между сервисами является одним из столпов обеспечения безопасности микросервисов. Ниже приведены два рекомендуемых метода обеспечения безопасности взаимодействия микросервисов.

— Использование HTTPS

Протокол безопасной передачи гипертекста (HTTPS) — это безопасный протокол, который позволяет сервисам взаимодействовать друг с другом с помощью сквозного шифрования. Кроме того, рекомендуется настроить каждую службу для автоматической проверки сертификатов служб, необходимых для их подключения.

— Использование сервисной сетки

Термин «сеть сервисов» определяет дополнительный уровень в сети, который добавляет больше функций и улучшает безопасность микросервисов. Ячеистая сеть подразумевает наличие вспомогательных устройств для сервисов, которые работают как прокси. Использование ячеистой сети в микросервисах предоставляет разработчикам возможность:

— упрощение взаимодействия между сервисами

— обнаружение ошибок связи и сбоев

— шифрование и проверка данных

— оптимизируйте разработку, тестирование и развертывание приложений

— Защищенное хранение данных

Отдельные сервисы могут быть разработаны с использованием различных технологий. Они должны обеспечивать безопасное хранение данных всеми сервисами и сводить к минимуму вероятность раскрытия сервисов из-за используемых уязвимостей.

Три основными рекомендациями по разработке защищенного хранилища данных, приведенными ниже.

Шифрование данных

Шифрование данных, хранящихся в базе данных, помогает сохранить информацию в безопасности в случае взлома, поскольку ее невозможно прочитать.

Существуют два подхода к шифрованию данных:

При передаче — данные шифруются при отправке из одной службы в другую. Службы-получатели расшифровывают и считывают полученную информацию. Это помогает свести к минимуму вероятность утечки данных, вызванной нарушением каналов передачи данных.

Данные в режиме ожидания — данные шифруются для дальнейшего хранения на жестком диске. Такой подход помогает включить дополнительные меры безопасности микросервисов при хранении данных и сохраняет их неразглашенными в случае потери.

Управление жизненным циклом данных

Жизненный цикл данных определяет время, в течение которого данные должны существовать в системе. Подумайте, какие данные следует удалять автоматически, в зависимости от даты создания записей. Это помогает оптимизировать использование хранилища данных и уменьшить объем информации, которая потенциально может быть раскрыта из-за нарушения безопасности.

Создание резервных копии

Из-за распределенного характера архитектуры микросервисов создание резервной копии включает настройку базы данных каждой службы.

Рекомендуется выполнять следующее.

— Проведение аудитов, чтобы определить важные данные, которые следует резервировать для оптимизации использования ресурсов

— Настройка инструментов автоматического создания резервных копий

— Проверка возможностей восстановления резервных копий без ошибок

— Хранение резервных копии данных на выделенных серверах

Управление конфиденциальными данными

Конфиденциальные данные включают учетные данные для входа, секреты, токены и ключи, которые помогают предоставлять доступ пользователям и интерпретировать зашифрованную информацию. Ниже приведены три основных метода управления конфиденциальными данными.

— Не вводите жестко учетные данные для входа

Не встраивайте конфиденциальные данные и учетные данные для входа непосредственно в исходный код вашего приложения. Жесткое кодирование может привести к серьезной уязвимости в архитектуре микросервисов, поскольку хакеры могут получить доступ к секретам для получения несанкционированного доступа к сервисам.

— Следуйте принципу наименьших привилегий

Один из принципов безопасности микросервисов заключается в максимально возможном ограничении доступа пользователей и служб. Определенные роли должны иметь доступ только к службам, ресурсам или приложениям, которые им требуются для выполнения поставленных задач.

— Используйте специализированные решения для сохранения секретности

Многие готовые к использованию решения могут помочь хранить конфиденциальную информацию и управлять ею, включая учетные данные для входа, токены, ключи и т. д. Кроме того, они предлагают дополнительные функциональные возможности для улучшения архитектуры безопасности микросервисов, включая автоматический мониторинг и проверку соответствия требованиям.

Тремя лучшими готовыми к использованию специализированными решениями для сохранения секретности являются:

— Менеджер секретов AWS

— Управление ключами Google Cloud

— Хранилище ключей Microsoft Azure

API Gateway + брандмауэр

Шлюз API соединяет интерфейс и серверную часть. Он принимает запросы от пользователей и направляет их на микросервисы. Основная функциональность API включает аутентификацию, авторизацию и маршрутизацию запросов.

Брандмауэр — это дополнительный уровень безопасности микросервисов, который защищает сети и приложения от распространенных эксплойтов. Брандмауэр может фильтровать трафик, обнаруживать подозрительную активность, следовать пользовательским правилам безопасности и т. д.

Шлюз API может работать без брандмауэра. Однако для обеспечения максимальной безопасности в микросервисах рекомендуется реализовать комбинацию шлюза API и брандмауэра, например:

API gateway: AWS API Gateway + Брандмауэр: AWS Web Application Firewall (WAF)

API-шлюз: Google Cloud Load Balancer + Брандмауэр: Google Cloud Armor

Мониторинг безопасности микросервисов

Постоянный мониторинг приложений помогает гарантировать отсутствие проблем с безопасностью и отсутствие несанкционированного доступа пользователей.

Рекомендации по обнаружению проблем с безопасностью-

1. Журналы и мониторинг ключевых показателей

Мониторинг журналов — один из основных подходов, помогающих выявлять технические проблемы и проблемы безопасности. Рекомендуется внедрить централизованную систему управления журналами для мониторинга всех действий с целью обнаружения нарушений безопасности или подозрительной активности.

Мониторинг важнейших показателей помогает разработчикам обнаруживать проблемы с безопасностью микросервисов или необычные действия. Вот некоторые показатели, которые помогают определить подозрительную активность::

— неудачные попытки входа в систему

— случаи сброса пароля

— попытки входа в систему без пароля

— изменения разрешений пользователей

— сетевой трафик

— время простоя системы

2. Сканирование уязвимостей

Возможные бреши в системе безопасности можно обнаружить путем проведения сканирования уязвимостей. Автоматизированные инструменты могут анализировать кодовую базу и обнаруживать фрагменты кода, содержащие возможные уязвимости в системе безопасности. Разработчикам следует дополнительно проверять отмеченные фрагменты кода. Наиболее популярными инструментами являются:

— SonarQube

— Checkmarx SAST

— Veracode

3. Тестирование на проникновение

В двух словах, тестирование на проникновение — это имитация точечной атаки на приложение со стороны этичных хакеров. Это помогает заранее обнаружить уязвимости в системе безопасности. Все уязвимости, обнаруженные этичными хакерами во время тестирования безопасности микросервисов, должны быть задокументированы и доведены до сведения разработчиков.

Аудит программного кода — разбивка процессов

Новые решения подразумевают множество сервисов, которые безопасно обрабатывают большие наборы данных и предоставляют богатую функциональность в одном месте. Основные функции приложения заключаются в следующем.

— Агрегирование новостей. Система анализирует активность пользователей и собирает наиболее актуальные новости из разных источников.

— Коммуникационная платформа. Пользователи могут отправлять прямые сообщения, создавать групповые чаты и выполнять аудио- и видеозвонки. Кроме того, они могут делиться экранами и использовать общедоступные каналы.

— Платформа, основанная на блокчейне. Пользователи могут обменивать криптовалюту, создавать смарт-контракты и запускать аукционы, основанные на блокчейне.

— Функциональность социальных сетей. Приложение предоставляет расширенные функции социальных сетей, включая создание тем и постов. Пользователи могут оставлять комментарии, реакции и опросы.

— Прямые трансляции. Пользователи могут запускать прямые трансляции, делиться экранами и отправлять файлы. Кроме того, пользователи могут встраивать внешние ресурсы в свои прямые трансляции.

Заключение

Безопасность микросервисов направлена на то, чтобы разработчики создавали защищенные приложения с минимальным количеством уязвимостей.

Основными рекомендациями по безопасности микросервисов являются:

— Аутентификация и авторизация

— Защищенная связь между микросервисами

— Защищенное хранение данных

— Управление конфиденциальными данными

— API gateway + брандмауэр

Для мониторинга и обнаружения ветвей безопасности рекомендуется выполнить следующее:

— мониторинг журналов и ключевых показателей

— сканируйте приложение для обнаружения уязвимостей

— проведите тестирование на проникновение

@@@@@@@@@@@@@@@@@@@@@@@@@@@

— Облако: возможность или риск для кибербезопасности?

Унифицированные платформы безопасности легко интегрируются с собственными службами безопасности поставщиков, чтобы гарантировать, что облачные пользователи уважают свою долю модели совместной ответственности и поддерживают политики нулевого доверия во всех принципах облачной безопасности: контроль доступа, защита сети. Информационная система угроз — это инструмент поддержки принятия решений, который обеспечивает соответствие виртуальному серверу, защиту рабочей нагрузки и данных и мониторинг угроз.

Обработка данных в облаке

Кроме того, прежде чем хранить свои данные у поставщика облачных услуг, вам следует оценить, насколько это просто или громоздко, если вы хотите снова удалить данные из облака. Потому что стирать данные в облаке не так просто, как дома на собственном компьютере. Поставщики облачных услуг часто хранят несколько копий файлов в разных центрах обработки данных, чтобы обеспечить высокую доступность данных. Даже после отмены или «удаления» некоторые облачные провайдеры по-прежнему сохраняют данные в течение некоторого времени на случай, если отмена или удаление будут отменены (что случается достаточно часто). Поэтому рекомендуется ознакомиться с условиями и положениями поставщика облачных услуг.

Облако позволяет хранить любые данные, которые вы хотите. Иногда это могут быть очень личные данные, такие как семейные фотографии, цифровые банковские выписки или налоговые документы. Поэтому вам следует уделить особое внимание обеспечению безопасности ваших данных на серверах поставщика облачных услуг. Хакерская атака на центр обработки данных, принадлежащий поставщику облачных услуг, выгодна преступникам, потому что там хранится информация многих пользователей. Кроме того, у злоумышленников обычно есть время спланировать свой взлом и найти черный ход в центр обработки данных.

Правильная реализация и фактическая безопасность мер безопасности, принятых поставщиками облачных услуг, обычно не позволяют проверить их правильность. Вот почему самый безопасный способ — это когда вы сами берете на себя шифрование данных и храните ключ у себя. Однако те, кто защищает свои данные таким образом, должны учитывать недостатки, связанные с удобством: зашифрованные данные не должны расшифровываться в облаке. Следовательно, их необходимо загрузить и расшифровать локально, чтобы продолжить работу с ними. Хотя зашифрованные данные также можно синхронизировать между несколькими устройствами, тогда ключ и, в конечном итоге, программное обеспечение для шифрования должны присутствовать на каждом устройстве. Это затрудняет совместную одновременную работу нескольких человек над документом.

Облачная нативная (Cloud Native) безопасность

Облачные технологии как технологии, которые позволяют организациям создавать и запускать масштабируемые сайты приложений в современных и динамических средах, таких как публичные, частные и гибридные облака. Контейнеры, сервисные сети, микросервис, неизменная инфраструктура и декларативные API демонстрируют этот подход.

Облачные технологии, такие как бессерверные, в частности, снижают бремя, связанное с оркестровкой и мониторингом операций инфраструктуры. Не беспокоясь об инфраструктуре, разработчики могут посвятить время и энергию созданию инструментов, которые питают компанию и приносят доход.

Облачная безопасность и ответственность

В традиционном ИТ-подходе все обязанности лежат на организации конечного пользователя — от контроля доступа до электричества и физической безопасности установки. Тем не менее, облачные вычисления освобождают облачного провайдера от значительной части этих задач. Много задач, но не все. Организация конечных пользователей по-прежнему несет ответственность за защиту данных, которые она размещает на облачном сайте, в соответствии с хорошо известной моделью «общей ответственности».

Чтобы обеспечить безопасность «облачной» инфраструктуры, важно точно понимать, где находятся обязанности, поскольку они варьируются в зависимости от услуг, которые вы потребляете. К сожалению, многие организации не добиваются успеха. К сожалению, распространены различные проблемы, включая отсутствие критических исправлений, потенциальную компрометацию учетных записей, публичное освещение облачных сервисов хранения и принятие трафика в модули Kubernetes из любого источника. Прогнозируется, что к 2025 году по крайней мере 99% сбоев облачных сайтов будут связаны с клиентом.

Безопасность периметра больше не применяется, когда периметр растворяется

Традиционные подходы заключаются в возведении стены вокруг инфраструктуры и наблюдении и блокировке снаружи. С переходом на некоторые облачные технологии, такие как бессерверные, периметр растворяется. Например, WAF будет защищать только функции, запущенные шлюзом API. Поэтому WAF будет бесполезен, если ваши функции запускаются различными источниками событий, такими как события облачного хранилища, непрерывная обработка данных и изменения базы данных.

Кроме того, традиционные подходы к внешнему сканеру и брандмауэру не имеют контекста для обеспечения безопасности с точностью. Сканеры и средства защиты периметра не понимают и видят ресурсы, которые они оценивают и защищают. Это отсутствие понимания приводит к ошибкам и ложным срабатываниям. Эксперты должны пойти и отремонтировать их, найти уязвимость и устранить пробелы, такие как ложные негативы. Такие процессы, которые основаны на человеческих и ручных усилиях, не являются эволюционными.

Каковы риски использования облака?

Аналогичным образом, доступ через незащищенные сети, такие как точки доступа Wi–Fi в аэропорту, представляет опасность. В этих сетях злоумышленники могут перехватить учетные данные и использовать их не по назначению. Это особенно важно, если двухфакторная аутентификация не используется. Вот почему в идеале данные передаются в облако только в зашифрованном виде. Например, если вы создали текстовый документ на своем ПК и загружаете его в свое онлайн-хранилище, передача может происходить в зашифрованном или незашифрованном виде. Теоретически, если файл передается в незашифрованном виде, он доступен для просмотра посторонним лицам, которые вмешиваются в вашу передачу данных. Шифрование передачи данных может быть выполнено путем передачи данных через защищенное соединение с использованием «https». В случае, если поставщик не предлагает возможность такого транспортного шифрования, дальнейшее использование сервиса должно быть поставлено под сомнение.

Во многих случаях особый риск представляет доступ через смартфон. Если учетные данные хранятся в приложении службы, для доступа к облаку достаточно просто зайти в приложение. Что удобно с одной стороны, с другой стороны, означает, что вредоносные программы на смартфоне также могут иметь легкий доступ к данным в облаке. Если смартфон попадет в чужие руки в результате утери или кражи, облачные данные будут в безопасности ровно настолько, насколько защищен доступ к смартфону. Так, например, те, кто защищает свой смартфон только с помощью четырехзначного PIN-кода, ставят этот барьер довольно низко. Кроме того, обычно нет гарантии, что используемые приложения будут передавать данные в зашифрованном виде. В отличие от использования современных интернет-браузеров, здесь пользователи, как правило, не предупреждаются о рисках незашифрованного соединения. Таким образом, использование смартфона в небезопасных точках доступа может представлять угрозу безопасности.

Динамические среды требуют динамической безопасности

Приложение с новой и самобытной структурой требует четкого подхода к безопасности. Невозможно использовать один и тот же подход к обеспечению безопасности компьютеров, которые так разнообразны:

— Виртуальные машины

— Контейнеры

— Контейнер как услуга

— Бессерверные функции

В отличие от кода, тесно связанного с монолитной базой данных приложений, переход на микросервис позволяет получить меньшие фрагменты кода, а также меньшую и более простую связь.

Безопасность Cloud Native требует высокой точности видимости и контекста

Разрастание облачных городов растет быстрее, чем способность обеспечить его безопасность. Видимость — будь то высокая точность или даже плохая верность — является проблемой. И ограниченная видимость без более широкого контекста приводит к ошибочным выводам. Отсутствие централизованного администрирования и видимости увеличивает вероятность необнаруженных ошибок конфигурации, а также неспособность количественно оценить риски. Оповещения, в которых нет контекста, требуют вмешательства человека, что приводит к задержкам в мерах по смягчению последствий и усталости от оповещений.

«Облачная» безопасность должна решить проблему контекста. Эффективная нативная безопасность на облачном сайте требует подробной информации об использовании подозрительных действий. Вы должны знать не только IP-адрес источника, но и место назначения, протокол, пользователя и группу, содержимое и функции приложения и т. д.

Облачная безопасность, процессы и технологии

Чтобы решить проблему отсутствия безопасности, вызванной быстрой эволюцией цифровых экосистем, организации должны внедрить интегрированную облачную платформу безопасности, которая включает в себя искусственный интеллект (ИИ), автоматизацию, интеллект, обнаружение угроз и возможности анализа данных.

Защита сайта публичного облака требует постоянной оценки и защиты, тесно интегрированной с инфраструктурой и приложениями. Инструменты, бюджет безопасности и специализированный персонал не растут так быстро, как количество инструментов, которые организации используют в рамках своей цифровой трансформации.

Безопасность Cloud Native интегрирована

Cloud Native относится как к безопасности платформы и инфраструктуры, так и к непрерывной безопасности на сайте приложения.

Безопасность должна быть интегрирована в активы, которые вы хотите обезопасить. Это относится к нескольким слоям, от ОС (операционной системы) до контейнера и приложения. Чтобы защитить приложение, необходимо зайти в него, чтобы понять потоки данных и транзакции, чтобы обеспечить точную оценку и защиту. Интегрированная безопасность также позволяет вашей рабочей нагрузке быть мобильной, от облака до одного контейнера. Безопасность идет рука об руку с сайтом приложения.

Приложение безопасности с существующими инструментами

Угрозы развиваются быстрее, а критически важные для бизнеса приложения и платформы продвинулись до такой степени, что традиционные подходы к безопасности больше не подходят. Ясно, что традиционные методы, стратегии и технологии безопасности не сталкиваются с современными сложными угрозами и сложными гибридными компьютерными экосистемами.

Использование старых инструментов приводит к огромной и сложной программе, состоящей из мозаики из нескольких инструментов, приобретение которой требует специализированного персонала. Такая программа также характерна ложными срабатываниями и сложным развертыванием.

С другой стороны, такие подходы современных «облачных» инструментов служат мультипликатором силы. Модели, управляемые искусственным интеллектом, могут наблюдать за поведением приложений после их развертывания, чтобы эффективно обнаруживать ненормальное поведение.

Вложенные вычислительные сервисы разработаны так, чтобы быть эфемерными и, как правило, имеют короткий срок службы. Это один из многих атрибутов, которые делают облачное приложение по своей сути более безопасным. Но как новый тип архитектуры, они представляют новые проблемы безопасности, и разработчики должны принять меры для снижения рисков.

Облачные решения безопасности

Новые платформы предлагают «облачную» безопасность с расширенным предотвращением угроз для всех ваших активов и рабочих нагрузок — в публичной, частной, гибридной или мультиоблачной среде — предлагая унифицированную безопасность для автоматизации безопасности везде.

Чтобы противостоять текущим угрозам, ваше решение по облачной безопасности должно быть адаптировано к контексту и предлагать расширенное предотвращение угроз для всех ваших активов и рабочих нагрузок, будь то общественная, частная, гибридная или многооблачная среда.

Защита нативных приложений в облаке

Управление рисками, связанными с ИТ-инфраструктурой, всегда сложно. Когда эта инфраструктура использует облако, управление рисками является еще более сложной задачей! Действительно, приложения, разработанные изначально в облаке, меняются и взлетают в 100 раз быстрее, чем другие. В современной облачной среде необходимо повысить безопасность, скорость и масштабируемость, лучше принимая во внимание контекст. Для встроенной защиты ваших приложений в облаке устройство CloudGuard является единственным, действие которого не ограничивается простым управлением вашей осанкой в сочетании с защитой ваших рабочих нагрузок. Этот инструмент обеспечивает автоматизированную защиту вашего программного обеспечения на протяжении всего цикла разработки, от кодирования до облака.

Безопасность инфраструктуры облачной сети

Более 76% компаний в настоящее время используют по крайней мере двух поставщиков облачных услуг. Чтобы сегодня справиться со всем, что угрожает облачным сетям, компании должны использовать усиленное устройство безопасности, которое включает в себя услуги всех их поставщиков. Новые устройства позволяют предотвратить угрозы и безопасные сети, связанные со всеми вашими облаками, будь то публичные, частные или гибридные облака. Кроме того, это позволяет вам эффективно и систематически управлять своей безопасностью через один экран, который контролирует как управление вашей облачной инфраструктурой, так и управления сетями, расположенными локально.

Безопасность, ориентированная на разработчиков

Легко отслеживайте, классифицируйте и защищайте свои закодируемые программы, ресурсы и инфраструктуру. Наше устройство без излишеств защищает ключи API, учетные данные и токены, подверженные риску.

Он также защищает вас от основных рисков, вызванных проблемами конфигурации. Наша платформа CloudGuard Spectral интегрируется с вашими инструментами разработки, чтобы автоматически обнаруживать риски, связанные с вашим кодированием, определять, что стоит за вашим кодом перед его использованием, и предотвращать любые несанкционированные вредоносные действия.

Охота за облачными угрозами

Простота анализа инцидентов, независимо от того, связаны ли они с конфигурациями, положением, трафиком в ваших сетях или идентификацией. Постоянное автоматизированное обнаружение вторжений, мониторинг и сбор информации об угрозах.

DevSecOps

Доставка новых приложений со скоростью, с которой они разрабатываются, без ущерба для безопасности. Облачная инфраструктура подчиняется широкому спектру отраслевых и государственных правил. Новые оптимизированные и автоматизированные инструменты для обеспечения соответствия нормативным требованиям во всех публичных облачных средах.

Решения для безопасности для облака

Чтобы противостоять текущим угрозам, решение по облачной безопасности должно быть адаптировано к контексту и предлагать расширенное предотвращение угроз для всех активов и рабочих нагрузок, будь то общественная, частная, гибридная или многооблачная среда.

35% компаний имеют большую часть своих рабочих нагрузок в облаке. Новые приложения в настоящее время разрабатываются так быстро, что для команд безопасности практически невозможно оставаться на переднем крае технологий. Чтобы обеспечить его безопасность в облаке, необходимо иметь полностью автоматизированные современные инструменты.

унифицированная архитектура кибербезопасности, которая увековечивает ИТ-инфраструктуру бизнес во всех сетях, облаке и мобильных устройствах.

Архитектура предназначена для упрощения сложностей, связанных с умножением подключения и неэффективностью безопасности. Он обеспечивает комплексное предотвращение угроз, которое заполняет уязвимости безопасности, автоматически и немедленно делится информацией об угрозах, собранной из всех сред безопасности, и обеспечивает консолидированное администрирование для повышения эффективности деятельности по обеспечению безопасности.

Облачная мультибезопасность

Multi-Cloud Security — это комплексное решение для облачной безопасности, которое защищает и предотвращает данные, активы и приложения компаний и клиентов от сложных угроз безопасности и кибератак в нескольких облачных инфраструктурах и средах.

Преимущества мультиоблачной стратегии

В первые дни создания публичного облачного сайта компании использовали единый облачный сайт для удовлетворения всех своих потребностей в цифровой инфраструктуре. Сегодня большинство высокотехнологичных компаний полагаются на мультиоблачные стратегии. Эти подходы используют несколько поставщиков облачных ИТ-услуг, чтобы предложить организации различные варианты и возможности.

Если вы ищете аналогию, вы можете подумать о текущем рынке услуг мобильной связи. Есть по крайней мере три или четыре крупных провайдера (и несколько небольших), которые предлагают услуги мобильной связи с различными преимуществами и функциями. Компании и семьи часто используют несколько поставщиков услуг, чтобы каждый мог получить доступ к необходимым функциям по разным ценам.

Мультиоблако используется таким же образом. Он предлагает компаниям дополнительные возможности для максимизации ценности, предлагаемой облачным сайтом.

Мультиоблако, безусловно, является одной из предпочтительных стратегий на текущем рынке. Организации, которые внедряют этот тип структуры, делают это по многим причинам, в том числе

Варианты. Всем нравится иметь выбор. А с мультиоблачной архитектурой вы можете выбирать из множества облачных решений. Это способствует гибкости и не позволяет компании зафиксировать себя в конкретном поставщике или контракте.

Снижение рисков. Поломка может быть катастрофической. Даже несколько минут простоя могут стоить вашей компании тысячи евро (не говоря уже о повреждении ее репутации). Наличие нескольких облачных сред позволяет вам всегда иметь альтернативные ресурсы и хранилище данных, а также избегать простоев.

Но мультиоблачная стратегия не выполняется без усилий. Одним из основных соображений является необходимость обеспечения защиты нескольких различных облачных провайдеров, другими словами: мультиоблачная безопасность.

Лучшие практики мультиоблачной безопасности

Правильная структура безопасности защитит вашу компанию и позволит ей максимизировать общую ценность мультиоблачной среды. Вот несколько хороших практик, которые помогут вам сделать осознанный выбор:

Понимание основ Крайне важно понять, как работает облачная модель совместной ответственности Облачные провайдеры несут ответственность за безопасность своей собственной облачной инфраструктуры. Это включает в себя такие функции, как многофакторная аутентификация, шифрование и управление идентификацией и доступом. Тем не менее, ваша организация несет ответственность за то, как данные, рабочие нагрузки и другие облачные активы защищены в облачной инфраструктуре.

Последовательная безопасность При выполнении одинаковых операций в нескольких облаках (для доступности или избыточности) вы должны реализовать одни и те же параметры безопасности и политики во всех облаках и убедиться, что они поддерживаются для обеспечения непрерывной согласованности.

Автоматизация безопасности везде Не стоит недооценивать важность автоматизации задач безопасности. Хотя это экономит время, это не главная цель. Скорее, цель состоит в том, чтобы снизить риск человеческой ошибки.

Минимизация «точечных» решений безопасности «точечные» решения безопасности — отдельные инструменты безопасности, которые отвечают различным потребностям безопасности — плохо интегрируются друг с другом. Слишком много разовых решений приводит к перегрузке управления и отсутствию безопасности. Для достижения наилучших результатов сведите к минимуму количество доступных решений для обеспечения безопасности. Это значительно снижает сложность и риск ошибок.

Единая точка управления: упростите сложность мультиоблачного, используя унифицированное управление «однопанельным стеклом», которое предоставляет облачным инженерам единую точку управления для управления безопасностью приложений и данных в их многооблачном развертывании.

Поиск и использование правильных облачных решений для обеспечения безопасности

Для динамических облачных сред вам нужно комплексное решение для обеспечения безопасности. Но с большим количеством доступных облачных решений для безопасности выбор правильного для вашей многооблачной среды может быть реальной проблемой.

Главное — проявить проницательность и терпение. Тщательное изучение каждого решения с несколькими технологиями безопасности в облаке и нес смысла спешить выбирать одно, пока не будет собрана вся информация, необходимая для принятия обоснованного выбора.

За последние десять лет все больше компаний мигрируют в облако с целью более эффективной защиты от кибератак. Небольшая революция, которая создает новые проблемы вокруг понятия доверия и контроля над данными.

Это движение, которое привержено: мы видим все больше и больше услуг, предоставляемых в облаке, и нет никаких сомнений в том, что с точки зрения кибербезопасности, и в подавляющем большинстве случаев, облако в основном представляет собой возможности.

На самом деле, облако соответствует основным критериям, которые обычно оцениваются в кибербезопасности, начиная с доступности данных (обычно жизненно важных для компаний). «Избыточность данных по умолчанию интегрирована большинством поставщиков облачных услуг: независимо от того, куда я кладу свои данные, они будут реплицироваться несколько раз в центрах обработки данных по всему миру. Этот критерий идет рука об руку с целостностью данных: «с момента, когда я нахожусь в мультигеографии и мультиоблаке, все еще существует очень небольшой риск того, что я случайно потеряю свои данные.

Кроме того, облако позволяет компаниям усилить конфиденциальность и прослеживаемость данных. «Облачные провайдеры предлагают механизмы безопасности, которые можно использовать почти на полке для защиты доступа к данным: идентификация и контроль доступа, шифрование, маркировка, надежная аутентификация… Это вещи, которые заняли бы гораздо больше времени и стоили бы гораздо больше времени для установки при эксплуатации собственного центра обработки данных», — говорит он, указывая, что ряд субъектов, управляющих особо конфиденциальными данными, например, «ограниченное распространение» или «секретная защита», в настоящее время не имеют права на миграцию в облако.

Переопределение риска

Компании выиграют от выбора услуг AWS, Microsoft и других Google, чтобы вооружиться против кибератак, при условии, однако, что они гарантируют, что пользователи этих сервисов захватят их должным образом. Однако, компании повышают свою уязвимость, сохраняя свои данные в облаке.

Большинство инцидентов безопасности, которые происходят в облаке, связаны с неправильным использованием или конфигурацией услуг, предоставляемых облачными провайдерами, а не с очень высоким уровнем безопасности этих услуг. Это чрезвычайно мощные и сложные объекты. Малейшая опечатка в файле конфигурации или в исходном коде, и вы рискуете освободить права, поделиться секретами или публично раскрыть свои данные. Это все конфиденциальная информация и недостатки, которые очень легко эксплуатируются злоумышленниками.

Вступление кибербезопасности в эпоху облачных технологий на самом деле сопровождается очень переопределением рисков и того, как к ним подходить. «Существует сдвиг парадигмы, который потряс киберсферу, полностью изменив роль CISO [ответственного за безопасность информационных систем, примечание редактора. До сих пор он мог быть в лагере ограничения в центре обработки данных, чтобы проверить, все ли идет хорошо, он был мастером безопасности на борту. Сегодня он скорее занимает должность проводника и пилота отношений доверия, которые связывают компанию с облачными провайдерами.

Вопрос доверия

Действительно, трудно точно знать, что происходит «за кулисами» в центре обработки данных Microsoft или Google. Перейдя в облако, ИТ-отдел компании обязательно делегирует часть управления данными. Вот где возникает понятие доверия. В зависимости от модели облачных вычислений «как услуга», мы делегируем ей более или менее ответственные функции, перечисляя самые классические модели, от самого высокого уровня мастерства и ответственности за ИТ-отдел компании до самых низких:

IaaS (Infrastructure-as-a-Service),

PaaS (Platform-as-a-Service) и

SaaS (Software-as-Service).

В любом случае, ключевую роль играет ответственность, по крайней мере, за одну вещь, а именно за данные, которые мы будем доверять в процессе работы в облачном провайдере. Поэтому важно четко определить эти данные и их чувствительность, а также разработать, соответственно, стратегию кибербезопасности, объединив инструменты и услуги, предоставляемые поставщиками, и средства управления доверенной третьей стороны. Результат, как правило, быстрее, эффективнее и однороднее, чем когда команды CISO восстанавливают защиту этих данных вручную.

Укрепление этой надежной доверенной связи заключается именно в роли доверенных третьих сторон. Облачные провайдеры смогут полагаться на ноу-хау с точки зрения возможностей центра обработки данных, криптографических возможностей или обнаружения вторжений и мошенничества

Чтобы установить свой суверенитет над данными, ряд компаний полагаются на гибридное облако. Стратегия, которая заключается в том, чтобы не класть все яйца в одну корзину. Ряд компаний выбирают стратегию «облако прежде всего», сохраняя при этом локальную емкость на случай наиболее чувствительных рабочих нагрузок: «если когда-либо возникала проблема с облачным провайдером, то всегда можно предоставлять услуги локально, даже в пониженном режиме.

Неизбежная эволюция

Сегодня создаются новые устройства для развития этой связи доверия. Ещё в начале 2022 года Google Cloud объявил, что сформировал команду для разработки различных видов деятельности вокруг блокчейна. Столкнув с инновациями, мы всегда должны задавать себе вопрос о возможностях против риска. Блокчейн также является технологией, которую мы используем в нескольких случаях использования, в частности, для обеспечения тонкой прослеживаемости всех изменений в конфигурациях системы. Это позволяет доказать, что системы в том виде, в котором они были построены, не были изменены. Даже если потенциал этой технологии кажется невероятным, на данный момент сценариев использования операционной деятельности остается немногочисленным, и окупаемость инвестиций в этой области очень ограничена.

Использование облака в кибербезопасности будет продолжать ускоряться. С киберточки зрения, у нас есть реальная проблема: обработка чрезвычайно важных объемов данных и информации, которые больше не совместимы с системами, как мы их разрабатывали в течение многих лет. И сегодня только облачные провайдеры могут позволить нам это сделать.

Облачная безопасность

Организации всех размеров массово внедряют облачные вычисления из-за их преимуществ с точки зрения масштабируемости, гибкости и скорости развертывания. Публичные и частные облака позволяют им развертывать программное обеспечение, включая облачные приложения, без затрат и сложности, связанных с локальной инфраструктурой.

Поставщики публичного облака отдают приоритет безопасности, потому что их бизнес-модель требует от них поддержания доверия широкой общественности. Тем не менее, облако также знаменует собой исчезновение периметра традиционной локальной ИТ-инфраструктуры. Кроме того, облачные среды взаимосвязаны и поэтому предлагают хакерам множество потенциальных точек входа, позволяющих им переключаться из одной сети в другую. Кроме того, трудно поддерживать видимость и контроль над облачными приложениями и данными из-за быстрой эволюции и распределенного характера этих сред.

Поэтому разработчикам нужны новые методы для защиты своих собственных облачных приложений на основе современных подходов, таких как модель CI/CD, бессерверные приложения и контейнеры. Больше невозможно просто защитить приложения после их производства.

Облачная безопасность включает в себя все методы и инструменты, используемые для защиты облачной инфраструктуры, ее приложений и данных. Традиционно безопасность решалась путем защиты внутренних сетей от внешних угроз. К сожалению, периметр облака гораздо менее ясен. Кроме того, во многих точках облачная инфраструктура работает иначе, чем у центра обработки данных. Благодаря облачной безопасности организации могут обеспечить конфиденциальность данных, управлять доступом к сетям и ресурсам, сохранять соответствие требованиям и снизить нагрузку на ИТ-команды, чтобы сосредоточиться на других задачах.

По данным Kubernetes, облачная безопасность сосредоточена вокруг «4 C»:

— Облако (Cloud)

— Кластеры (Clusters)

— Контейнеры (Containers)

— Код (Code)

Пять преимуществ облачной безопасности

— Доверие клиентов сохранено

— Упрощенное администрирование

— Унифицированная безопасность

— Конфиденциальность и соблюдение

— Гибкость

Облачные модели — это эффективный способ запуска приложений и хранения данных без затрат и задержек, связанных с развертыванием и обслуживанием локальных систем. С другой стороны, они также могут ограничить видимость и контроль над стратегическими процессами. Таким образом, создание надежной программы облачной безопасности может предложить организациям множество преимуществ:

Доверие клиентов сохраняется: пользователи могут получать доступ к данным и приложениям, где бы они ни находились, и с любого устройства с уверенностью в том, что их данные не рискуют кибератакой или непреднамеренным удалением.

Упрощенное администрирование: традиционные ИТ-инфраструктуры требовали ручных конфигураций и частых обновлений безопасности. Облачная безопасность использует проактивный подход, обеспечивающий постоянную защиту с ограниченным или без ручного количества вмешательств.

Унифицированная безопасность: облачные вычисления позволяют пользователям получать доступ к рабочим процессам с любого устройства или конечной точки, что трудно реализовать с помощью обычных подходов. Облачная безопасность централизует мониторинг сети и оптимизирует обновление программного обеспечения и политик. Все управление безопасностью происходит в рамках одного интерфейса.

Конфиденциальность и соответствие требованиям: облачная безопасность позволяет разработчикам автоматически писать и применять политики для обеспечения конфиденциальности данных и соответствия нормативным требованиям.

Устойчивость: облачная безопасность упрощает реализацию планов аварийного восстановления, потому что администрация вмешивается в единый интерфейс.

Различные типы облачной безопасности

Облачная безопасность может быть разбита на несколько модулей:

— Безопасность данных направлена на защиту данных в покое и при передаче.

— Управление идентификацией и доступом (IAM) контролирует трафик между каждой областью облачной архитектуры с помощью идентификации и контроля доступа.

— Управление и соответствие требованиям направлены на обеспечение соответствия облачной архитектуры организационным или правительственным правилам.

— Непрерывность данных и деятельности зависит от избыточности для обеспечения восстановления систем в случае сбоя сети или потери данных.

Проанализируем каждый из этих элементов более подробно:

Безопасность данных

Конфиденциальные данные должны быть защищены в покое в публичных облачных ресурсах, а также во время транспортировки, чтобы предотвратить несанкционированный доступ и утечку. Пользователи могут получить доступ к облачным данным из любого места или устройства, подключенного к Интернету. Поэтому ИТ-команды должны принять новые подходы к их обеспечению.

Им доступны различные инструменты и методы:

Шифрование: использование алгоритма для кодирования информации в покое и в пути. Если хакерам удастся обойти безопасность и получить доступ к данным, они будут вынуждены расшифровать данные, чтобы иметь возможность просмотреть их в их первоначальном виде. Для достижения этого им в большинстве случаев придется мобилизовать экономически неосуществимую вычислительную мощность. Таким образом, шифрование является основным звеном в безопасности данных.

VPN: виртуальные частные сети (VPN) позволяют безопасно отправлять данные о соединениях, которые могут быть не путем шифрования и маршрутизации через удаленный сервер, выполняемый хостом VPN. Таким образом, данные защищены, а ваша личность и местоположение маскируются.

Архитектура облачной безопасности: нарушения облачных систем часто возникают в результате использования ошибок или уязвимостей в облачных развертываниях. Хакеры получают доступ к данным через плохо настроенные или незащищенные интерфейсы, а затем выводит их в свою сеть. Поэтому рекомендуется изолировать компоненты облачной архитектуры, такие как приложения, контейнеры, виртуальные машины и данные. Такие инструменты, как виртуальные частные облака и виртуальные сети Azure, позволяют сделать это путем разделения рабочих нагрузок на различные подсети. Тонкие политики безопасности, конфигурации IAM, правила брандмауэра и конфигурации маршрутизации могут быть применены к контролю доступа.

Мониторинг облачных сервисов: поскольку облачные сервисы не ограничиваются внутренними сетями и устройствами, ИТ-команды должны иметь видимость самого облачного сервиса для мониторинга данных. Таким образом, это равносильно использованию классических методов мониторинга внутреннего сетевого трафика, за исключением того, что управление несколькими облаками включает в себя возможность интеграции различных облачных провайдеров и управление постоянно растущей сложностью облачных развертываний. Кроме того, клиенты, которые используют только одного облачного провайдера, по-прежнему должны устанавливать и поддерживать видимость своего сетевого трафика для обеспечения безопасности.

Следует отметить, что каждый из этих инструментов и методов защищает как от хакеров, так и от человеческих ошибок, которые приводят к утечке данных или повреждению. Их реализация является первым шагом на пути к смягчению последствий возможного нарушения.

Управление идентификацией и доступом (IAM)

Модели облачных вычислений включают в себя ряд технологий, включая службы хранения объектов и баз данных, программное обеспечение, такое как операционные системы и виртуальные машины, а также пользовательское оборудование, часто устройства BYOD. Управление трафиком между этими областями является центральной осью облачной безопасности. IAM позволяет вам получить видимость и контроль над всеми этими пользователями и конечными точками.

Он включает в себя следующие элементы:

Аутентификация и авторизация: элементы управления доступом являются ключевым способом предотвращения того, чтобы законные или вредоносные пользователи компрометировали информацию и системы. Надежное управление паролями и активация многофакторной аутентификации также являются двумя подходящими инструментами аутентификации и авторизации.

Элементы управления доступом на основе ролей: использование элементов управления доступом на основе ролей, а не пользователей. Эти элементы управления легче изменять, когда пользователь меняет роли. Привилегии всегда должны предоставляться в соответствии с подходом «наименийших привилегий». Кроме того, распределение самых высоких привилегий должно зависеть от более сильной аутентификации. С моделью «меньше привилегий», если злоумышленнику удастся получить доступ к учетной записи, он не сможет пойти дальше в системе или получить доступ к важным данным, таким как ключи API.

Межзонная безопасность: эта категория включает в себя блокировку портов, запрос авторизации, детальное приложение безопасности и другие элементы

В идеале команды безопасности должны контролировать каждую идентификацию и аутентификацию. По правде говоря, их ресурсы ограничены, и поэтому каждый пользователь должен освоить основные концепции, которые ограничат риск злонамеренного использования его идентификаторов. В частности, они должны быть обучены использованию надежных паролей и многофакторной аутентификации. Принципы IAM подчеркивают важность наличия безопасной облачной архитектуры и специальной роли, например, архитектора облачной безопасности, для обеспечения правильной настройки и управления.

Управление и соблюдение

Облачные среды трансформируют соблюдение нормативных обязательств, касающихся конфиденциальности пользователей, таких как SOC 2, PCI и HIPAA, а также внутренних обязательств. Процессы соответствия должны касаться самой инфраструктуры, а также интерфейсов между внутренними системами, облачной инфраструктурой и Интернетом.

Например, автоматизация политик и элементов управления позволяет обеспечить соответствие в облачных средах. Эти политики должны включать в себя политики мониторинга, определения приоритетов и смягчения угроз в отношении критически важных систем, политики защиты данных, использования шифрования и ведения журнала, а также политики для обеспечения безопасного поведения пользователей, включая пароли.

Устойчивость данных и непрерывность бизнеса

Этот аспект облачной безопасности направлен на создание механизмов избыточности для обеспечения непрерывности данных и активности в случае катастрофы или неожиданной потери данных. Например, развертывание резервных копий данных и систем способствует поддержанию операций. Эта категория также включает в себя шаги тестирования резервного копирования и инструкции по восстановлению данных. Правильно резервное копирование данных в облаке, вы также можете защитить себя от атак программ-вымогателей. Действительно, если злоумышленник шифрует ваши файлы в производстве, то вам просто нужно восстановить их из ваших резервных копий, что не позволит вам заплатить выкуп.

Заключение. Рекомендации

— Безопасное использование облака — это главное

Доступ к облачным сервисам осуществляется с устройства, подключенного к Интернету. Например, это может быть ПК, смартфон или телевизор с подключением к Интернету. Таким образом, если такое устройство заражено, например, трояном, облачные сервисы, к которым обращается это устройство, также становятся уязвимыми. Таким образом, конечные устройства заслуживают защиты и должны быть надежно настроены.

К данным в облаке можно получить доступ либо через веб-сайт поставщика облачных услуг, либо с помощью соответствующего приложения, например, на ПК или смартфоне. Доступ к облачным сервисам должен быть особенно защищен: отсутствие или слабая защита паролем открывает двери для воров данных. После устранения препятствия для доступа доступ ко всем данным будет открыт, если они не будут дополнительно зашифрованы. Поэтому обратите внимание на наши советы по созданию надежного пароля.

В настоящее время многие облачные провайдеры также предлагают двухфакторную аутентификацию, например, ту, которая используется в онлайн-банкинге: здесь требуется функция в дополнение к имени пользователя и паролю для аутентификации вне всяких разумных сомнений. Это может быть одноразовый действительный код доступа (TAN), USB-накопитель с секретным ключом, удостоверение личности или отпечаток пальца.

Информация для аутентификации (имя пользователя/пароль) не должна храниться на устройстве, например, в качестве сохраненного пароля в браузере, и должна использоваться автоматически при вызове облачной службы. Использование двухфакторной аутентификации значительно повышает безопасность, и поэтому ее следует использовать, когда это возможно.

— Настройка облачных сервисов

Одним из преимуществ использования облачных сервисов является то, что данными, как правило, можно легко делиться с другими людьми, и над ними можно работать вместе. Для этого существуют разные процедуры. Ниже предположим, что мы используем онлайн-хранилище, которое позволяет передавать свои собственные данные (например, фотографии) третьим лицам.

Для этого обычно существуют разные процедуры. В случае, если человек, с которым необходимо поделиться данными, также зарегистрированный в облачной службе, общий доступ часто может быть предоставлен специально с использованием соответствующего имени пользователя. Если не используется сам облачный сервис, часто можно настроить общий доступ по ссылке.

При обмене ссылками следует помнить следующее: любой человек, который знает ссылку, будет иметь доступ к общим данным. Здесь есть много способов, которыми неавторизованное лицо может узнать об этой ссылке, например, в случае если ссылка отправлена в незашифрованном электронном письме. Поскольку идентификация обычно не происходит при доступе к общим данным по ссылке, даже в ретроспективе трудно отследить, кто в конечном итоге получил доступ к данным.

— Вот что следует учитывать при предоставлении общих ресурсов:

По возможности не следует использовать общий доступ по ссылке для данных, заслуживающих защиты. Безопасность может быть повышена, если поставщик разрешит дополнительную защиту данных с помощью пароля. В этом случае рекомендуется передать ссылку и пароль противоположному лицу с помощью различных средств (например электронной почты и телефонного звонка).

По возможности следует заранее ограничить время публикации. В случае, если поставщик облачных услуг не разрешает это, следует регулярно проверять, какие люди имеют доступ к каким собственным данным и по-прежнему ли необходим такой доступ.

К общим ресурсам всегда следует применять особые и ограничительные меры, то есть в случае совместного использования файла действительно следует предоставлять общий доступ только к этому файлу, а не к папке, в которой он находится.

При использовании нового облачного сервиса рекомендуется сначала проверить настройки по умолчанию. Хорошей стратегией является выбор с самого начала как можно более строгих настроек, то есть, например, отключение передачи данных третьим лицам и отключение ненужных функций. Если позже потребуется какая-либо функциональность, ее можно будет снова включить.

Защита от стороннего доступа и выбор поставщика облачных услуг

Когда мы используем облачный сервис, мы передаем на аутсорсинг поставщику облачных услуг личные и защищенные данные. При этом мы передаем контроль и ответственность поставщику облачных услуг, и мы должны полагаться на него в обеспечении безопасности данных. Ниже мы опишем, какие подходы должны использовать пользователи, чтобы сделать выбор поставщика на основе рациональных фактов и защитить свои данные от постороннего доступа.

— Идентификатор безопасности (сертификаты и сертификаты)

Как пользователи могут быть уверены, что облачные сервисы правильно обрабатывают передаваемые данные с точки зрения ИТ-безопасности? Верно одно: доверие — это хорошо, контроль — лучше. Однако домашние пользователи не могут взять на себя управление лично, посетив центр обработки данных. Однако различные сертификаты безопасности (сертификаты или сертификаты), выданные независимыми учреждениями, позволяют пользователям проверять, соответствует ли поставщик облачных услуг установленным стандартам безопасности или соответствует соответствующим государственным нормативным актам.

Поставщики облачных услуг не обязаны проходить такую сертификацию, она всегда является добровольной. Тем не менее, многие поставщики предоставляют ряд сертификатов и других меток безопасности. Поставщик облачных услуг должен иметь возможность продемонстрировать, что сертификаты обновляются с помощью периодических проверок. Также следует поставить под сомнение, сертифицированы ли только отдельные компоненты облачного сервиса или, как в идеале, все предложение в целом.

Местонахождение поставщика облачных услуг

Информация о местонахождении поставщика облачных услуг и его серверов предоставляет пользователям информацию о том, какое право на конфиденциальность распространяется на их данные после их хранения. Во многих облачных предложениях с первого взгляда не видно, в какой стране находится поставщик или где расположены его центры обработки данных.

Таким образом вполне могут использоваться серверы за рубежом. Затем данные могут быть переданы в юрисдикцию за рубежом. В каждом штате по-разному регулируются права доступа к файлам корпорациями и государственными органами в соответствии с действующими там законами о конфиденциальности и другими нормативными актами. В то время как в некоторых странах властям разрешено анализировать данные или конфисковывать компьютеры, в других странах это запрещено законом. Для пользователей, как правило, невозможно отследить, в каком месте хранятся их данные, если поставщик облачных услуг явно не укажет это.

Будьте осторожны: каждый поставщик может — в рамках применимых к нему правовых рамок — разработать свои собственные условия обслуживания и политику конфиденциальности. Они могут быть сформулированы таким образом, что вы можете предоставить поставщику права доступа и использования к сохраненным файлам, даже если вы этого не хотите.

Использование облачных вычислений становится особенно важным, когда вы храните личные данные третьих лиц у поставщика. Здесь может быстро проявиться нарушение федерального закона о защите данных. Для этого уже достаточно записывать встречи с адресами и датами клиентов в облачном календаре. Если вы хотите хранить сторонние данные в облаке иностранного поставщика для ведения бизнеса, сначала обратитесь за юридической консультацией.

@@@@@@@@@@@@@@@@@@@@@@@@@@@

— CISO Playbook

Директора по информационной безопасности (CISO) часто говорят о снижении рисков финансовых потерь для своих организаций — будь то за счёт снижения вероятности несанкционированного раскрытия информации, обеспечения надёжности и целостности информации или снижения риска нарушения безопасности, которое может привести к простою, недоступности и повреждению информационных ресурсов и соответствующих систем. Одним из первых действий нового директора по информационной безопасности будет выбор системы контроля для повышения эффективности программы кибербезопасности (или информационной безопасности).

На выбор предлагается множество вариантов, таких как недавно обновлённая структура COBIT 2019 от ISACA, структура кибербезопасности (CSF) от Национального института стандартов и технологий (NIST), система управления информационной безопасностью ISO27001, Центр управления безопасностью (CIS), стандарт передовой практики информационной безопасности (ISF) или стандарт NIST 800—53 по обеспечению безопасности и конфиденциальности для информационных систем и организаций. Мы также можем обратиться к различным стандартам, законам и нормативным актам, таким как Стандарт безопасности данных индустрии платежных карт (PCI) и другие различные отраслевые законы и нормативные акты, касающиеся кибербезопасности, чтобы определить соответствующую основу. Кроме того, мы можем использовать комплексные фреймворки, которые объединяют элементы управления каждого из них в один инструмент, такие как Cloud Control Matrix от Cloud Security Alliance или HITRUST Common Security Framework, которая гармонизирует множество стандартов и фреймворков. Или же мы можем выбрать консалтинговую фирму «большой четверки», которая предоставит свою собственную проприетарную платформу для повышения зрелости программы. Также появляются новые подходы, такие как платформа CMMI Cybermaturity, которая фокусируется на подходе к киберустойчивости, основанном на оценке рисков, и укреплении доверия руководства.

Теперь, когда директор по информационной безопасности выбрал структуру, всё хорошо, верно? Большая часть работы выполнена! Не так быстро — проблема с контрольными структурами заключается в том, что мы зацикливаемся на текущем уровне зрелости («как есть») и на том, где мы хотели бы оказаться («что должно быть»), и прилагаем усилия до тех пор, пока не достигнем желаемого конечного состояния. Это место, где все красные и жёлтые цвета превращаются в зелёные, а двойки и тройки в нашей шкале зрелости от одного до пяти превращаются в четвёрки (потому что в нашей оценке зрелости никогда не будет единицы!).

Мы чувствуем себя хорошо, высшее руководство чувствует себя хорошо, и совет директоров чувствует себя хорошо, когда мы можем заполнить все графы зелёным цветом или достичь 4-го уровня зрелости. И в этом заключается проблема — мы зацикливаемся на том, чтобы как можно больше подцелей достичь желаемого уровня зрелости. Чем больше элементов управления мы можем раскрасить в разные цвета, тем лучше — количество часто побеждает качество. Что такое качество? Инвестиции в те области, где высока вероятность и велико влияние, как определено оценкой рисков — во-первых. Многие директора по информационной безопасности склонны устранять недостатки в системе контроля с помощью того же метода, что и при работе над списком дел по дому: вычёркивайте как можно больше пунктов, чтобы почувствовать себя успешным, оставляя самые важные и сложные задачи на завтра, которое никогда не наступает.

Учитывая недавние обвинения SEC против SolarWinds CISO и противоречивые публичные заявления сотрудников SEC о том, что Комиссия «не подвергает сомнению добросовестные суждения комплаенс-персонала, вынесенные после разумного расследования и анализа», очевидно прорисовывается актуальность аналитики систем ответственности CISO, которая зависит от таких факторов как, прилагал ли CISO добросовестные и достаточные усилия для выполнения своих обязанностей. Введение таких модернизаций системы обеспечило бы большую прозрачность, подотчетность и предсказуемость в том, как SEC планирует взимать плату с CISO.

Учет политических факторов

Например, возможно, самый важный контроль для организации — это политика, направленная на то, чтобы у каждой критически важной бизнес-функции, системы и информационного ресурса был указан владелец бизнеса/данных. Кроме того, владелец бизнеса должен понимать, как работает приложение, какие доступны доступы, кто должен иметь доступ к приложению и где хранятся данные на протяжении всего процесса. Владелец бизнеса также должен периодически проверять и подтверждать наличие соответствующего доступа. Для многих организаций это сложный процесс. Однако для того, чтобы по-настоящему соблюдать правила конфиденциальности, такие как Общий регламент по защите данных (GDPR), необходимо приложить немало усилий. К сожалению, приобретение нового технического продукта, который проще внедрить, чем управлять организационной политикой, часто становится инвестиционным выбором, позволяющим вычеркнуть ещё один пункт из списка дел.

Чтобы оставаться успешным в своей работе, директору по информационной безопасности нужно гораздо больше, чем просто система контроля. Не менее важно уделять внимание источникам дохода компании, инновациям в продуктах, анализу рисков и анализу пробелов, а также развивать навыки ведения переговоров, слушания, составления бюджета, влияния, представления информации совету директоров, эмоциональный интеллект, навыки присутствия на совещаниях, презентации и коммуникации, а также понимать различия между предпочтениями поколений и индивидуальными особенностями своих команд, коллег и руководителей. Стратегия кибербезопасности останется лишь цифровой пылью, если сосредоточиться исключительно на повышении уровня зрелости с помощью системы контроля. Эти системы являются важнейшими инструментами для директора по информационной безопасности и должны рассматриваться как необходимые, но недостаточные.

Чрезмерные и растущие ожидания от CISO

В условиях растущих угроз кибербезопасности, в том числе связанных с национальной безопасностью, и новых нормативных требований, для многих компаний уже недостаточно, чтобы отделы информационных технологий («ИТ») решали все проблемы кибербезопасности. Теперь регулирующие органы ожидают, что в крупных организациях будет выделенный директор по информационной безопасности, который возглавит отдельную функцию информационной безопасности и будет контролировать, внедрять и обеспечивать соблюдение программы информационной безопасности — как для безопасности компании, так и для безопасности ее цепочки поставок. CISO находятся на переднем крае защиты своих компаний от возникающих угроз кибербезопасности, внедряя и обеспечивая соблюдение политик и процедур, разработанных для решения постоянно меняющегося ландшафта угроз, тесно сотрудничая с правоохранительными и другими государственными органами для защиты интересов национальной безопасности и, в то же время, собирая, оценивая и переводя информацию, которую, возможно, потребуется сообщить инвесторам и SEC другим сотрудникам компании в быстро меняющихся ситуациях.

Директора по информационной безопасности должны делать всё это, сталкиваясь со значительными структурными и логистическими ограничениями. Роль директора по информационной безопасности охватывает более широкий спектр технологий и данных и требует учёта систем, технологий и программного обеспечения. Старшему руководству и членам совета директоров компаний может не хватать знаний в области кибербезопасности (и они могут не соглашаться с приоритетами в области безопасности и раскрытием информации), а коллеги, не связанные с безопасностью, которые ищут более эффективные способы выполнения своей работы, могут сопротивляться политике и процедурам в области кибербезопасности. И даже там, где бизнес и технологии полностью согласованы, некоторые элементы кибербезопасности могут внедряться только поэтапно и на их реализацию могут уйти месяцы, если не годы. Действия SEC против CISO SolarWinds, по-видимому, предполагают, что CISO также будут нести личную ответственность за обеспечение эффективной разработки и поддержания всех мер контроля, связанных с безопасностью, требуемых Разделом 404 (a) Закона Сарбейнса-Оксли 2002 года («SOX») в отношении мер внутреннего бухгалтерского контроля. Эффективное управление киберрисками, таким образом, требует значительных ресурсов и межфункционального реагирования, которое привлекает ресурсы из деловых, комплаенс-, юридических, приватных и других функций — но, тем не менее, правоприменительный подход SEC, похоже, возлагает эту ответственность в первую очередь на CISO.

Быстро растущие требования регулирующих органов усугубляют расширяющиеся обязанности директора по информационной безопасности. Министерство юстиции, например, «тесно сотрудничает с компаниями-жертвами, как никогда раньше», и подчёркивает, что «критически важно», чтобы правительство и отрасль работали вместе над выявлением новых источников риска и субъектов угроз и делились информацией о них.

В то же время SEC все больше внимания уделяет кибербезопасности с точки зрения своего собственного регулирования, о чем свидетельствуют недавно принятые ею правила управления рисками кибербезопасности, стратегии, руководства и отчетности об инцидентах («Правила кибербезопасности SEC»), которые в совокупности устанавливают беспрецедентный обязательный режим раскрытия информации о кибербезопасности, включая значительно ускоренное раскрытие информации о рисках и инцидентах. Эти обязательства по раскрытию информации, которые не действовали на момент российской кибератаки на SolarWinds, могут потребовать решающего участия CISO и использования его или ее суждений относительно значимости и масштабов любого риска или инцидента. Помимо прочего, новые правила потребуют от публичных компаний:

В своих публичных документах раскройте информацию о нескольких программах управления рисками в сфере кибербезопасности, в том числе о том, как вы оцениваете, выявляете и управляете существенными рисками; привлекаете ли вы аудиторов, консультантов или других третьих лиц в связи с такими процессами; есть ли у вас процессы для контроля и выявления рисков, связанных с третьими лицами. Компаниям необходимо будет раскрывать информацию о том, повлияли ли какие-либо риски, связанные с угрозами кибербезопасности, текущие или прошлые, на бизнес-стратегию, операции или финансовое положение компании или могут ли они повлиять на них.

Раскрывайте определённую информацию о существенном инциденте, связанном с кибербезопасностью, в течение четырёх рабочих дней после определения (без необоснованной задержки) того, что инцидент, связанный с кибербезопасностью, является существенным. В форме 8-K компании должны будут раскрывать существенные аспекты характера, масштабов, сроков и обоснованно вероятного существенного влияния инцидента на компанию (включая её финансовое состояние и результаты деятельности) в той мере, в какой эта информация известна на момент раскрытия.

Требования новых правил к раскрытию информации, связанной с ролью высшего руководства и совета директоров в управлении и надзоре за кибербезопасностью, также повышают требования к директорам по информационной безопасности. В соответствующих случаях компании должны учитывать возможность включения в раскрываемую информацию сведений о том, какие должности отвечают за управление рисками кибербезопасности, включая соответствующий опыт таких лиц, членов совета директоров, ответственных за надзор за кибербезопасностью, и процесс информирования совета директоров о рисках кибербезопасности и управлении ими. Директора по информационной безопасности будут играть важную роль в эффективной интеграции этих новых процессов и требований Комиссии по ценным бумагам и биржам в отношении управления кибербезопасностью, управления рисками, а также процессов и требований, связанных с существенностью и раскрытием информации, в существующие политики и механизмы контроля.

Ответственность CISO

Неудивительно, что как рабочие процессы, ориентированные на национальную безопасность и защиту жертв, так и более ориентированные на правоприменение обязательства, связанные с раскрытием информации и эффективным внутренним контролем, могут потребовать значительного участия директоров по информационной безопасности и, как показали недавние обвинения в адрес директора по информационной безопасности SolarWinds, могут навлечь на директоров по информационной безопасности значительную потенциальную личную ответственность.

Ещё до обнародования новых правил Комиссия использовала имеющиеся у неё инструменты для привлечения к ответственности компаний за якобы неполное раскрытие информации после кибератак. Этот прецедент показал, что Комиссия будет изучать программы кибербезопасности до и после взлома, исходя из теории, что «кибератаки часто приводят к нарушениям законодательства о ценных бумагах». Но решение SEC выделить CISO для потенциальной личной ответственности является особенно спорным шагом, учитывая, что эффективное управление киберрисками требует межфункционального реагирования и широкого участия, которое включает правление, менеджмент и юридические отделы, отдел комплаенса, ИТ и коммуникации. Например, CISO часто подчиняются директорам по информационным технологиям, что отражает необходимость сбалансировать рекомендации по безопасности с технологическими потребностями компании. Решение SEC сосредоточить внимание на таких лицах, как CISO, в целях привлечения к ответственности, даже если они добросовестно совещались и работали с другими заинтересованными сторонами в компании, подрывает представление о том, что кибербезопасность требует усилий всей компании.

И, что важно, постоянно меняющийся характер кибербезопасности означает, что директора по информационной безопасности всегда должны оценивать риск, связанный с любой конкретной угрозой или уязвимостью, а также необходимость устранения или раскрытия информации, основываясь на неполной информации на данный момент, зная, что к моменту оценки риска информация, на которой директор по информационной безопасности основывает свои решения, почти наверняка устареет, поскольку угроза часто меняется. Таким образом, принудительные меры в отношении директоров по информационной безопасности за предполагаемые неправомерные действия, связанные с принятием обоснованных решений в отношении программ кибербезопасности и реагированием на инциденты, а также раскрытие соответствующей информации, будут препятствовать тому, чтобы люди открыто говорили об этих проблемах или, что ещё хуже, становились или продолжали работать в качестве директоров по информационной безопасности в то время, когда эта должность критически важна для защиты данных компании и клиентов, чтобы сохранить акционерную стоимость — как в бизнес-целях, так и в интересах национальной безопасности.

Структура CISO

Предлагаемая здесь структура CISO отражает принцип, согласно которому SEC должна оценивать любую потенциальную ответственность CISO через призму того, предпринимал ли CISO добросовестные действия для выполнения своих обязанностей, связанных с CISO. Это должно быть началом и концом анализа SEC: даже если, оглядываясь назад, CISO ошибался или вводил в заблуждение, если он или она действовали добросовестно при разработке программы информационной безопасности или при реагировании на инцидент, SEC должна отказаться от предъявления индивидуальных обвинений.

Информацией для этой Системы CISO являются правоприменительные действия смежной SEC, возлагающие личную ответственность на контролеров соответствия требованиям, таких как главные сотрудники по соблюдению требований («CCO»), за предполагаемые нарушения соответствия требованиям. Учитывая параллели в обязанностях и функциях директоров по информационной безопасности и директоров по корпоративным вопросам в рамках компании, система ответственности директоров по информационной безопасности должна соответствовать давней двухпартийной позиции Комиссии по факторам, определяющим целесообразность предъявления обвинений директорам по корпоративным вопросам, а также факторам, изложенным в системе ответственности директоров по корпоративным вопросам, разработанной Комитетом по соблюдению нормативных требований Ассоциации адвокатов Нью-Йорка в 2021 году («Система ответственности директоров по корпоративным вопросам Ассоциации адвокатов Нью-Йорка»).

24 октября 2023 года директор SEC по правоприменению Гурбир Гревал повторил три «редких» случая, в которых Комиссия обычно возбуждает правоприменительные действия против CCO: когда он или она (i) «положительно участвовали в неправомерных действиях, не связанных с функцией соблюдения требований»; (ii) «ввели в заблуждение регулирующие органы»; или (iii) «когда имело место массовое невыполнение [] своих обязанностей по соблюдению требований».

Следуя этой модели, мы предлагаем, чтобы обвинения SEC против CISO были уместны только тогда, когда CISO (i) был достоверно причастен к предполагаемому неправомерному поведению, не связанному с функцией кибербезопасности; (ii) стремился ввести в заблуждение или воспрепятствовать расследованию SEC; или (iii) когда имеет место «полный провал» CISO «в выполнении обязанностей, которые были четко возложены» на него или нее. Поскольку не существует обоснованных споров о потенциальной ответственности директора по информационной безопасности в связи с первыми двумя категориями, в рамках этой концепции директора по информационной безопасности мы сосредоточимся на категории «массовый сбой».

«Общий сбой:» положительные факторы в пользу ответственности

Что такое массовый сбой и когда он может оправдать ответственность CISO? Мы предлагаем, чтобы при рассмотрении Комиссией потенциальных обвинений против CISO в связи с «массовым отказом» выполнять свои должностные функции учитывались следующие факторы: (i) прилагал ли CISO добросовестные усилия для выполнения своих обязанностей; (ii) был ли предполагаемый сбой связан с фундаментальным или центральным аспектом хорошо отлаженной программы кибербезопасности в компании; (iii) сохранялся ли предполагаемый сбой с течением времени; (iv) издала ли SEC четкие правила или рекомендации, касающиеся предполагаемого сбоя, до того, как произошел предполагаемый сбой; и (v) поможет ли взимание платы с CISO достижению нормативных целей SEC. Только в том случае, если возникает обоснованный вопрос о том, прилагал ли директор по информационной безопасности добросовестные усилия для выполнения своих обязанностей, что подтверждается его стремлением к обучению, вовлечению и реализации программы кибербезопасности компании, следует учитывать другие факторы.

Прежде чем предъявлять обвинение CISO за предполагаемые «массовые сбои», SEC должна установить, что каждый из этих факторов присутствовал, и быть готовой четко сформулировать их в документе о предъявлении обвинения, чтобы предоставить сообществу CISO четкие рекомендации и заверения в том, что индивидуальная ответственность была оправдана и не была просто результатом переоценки добросовестных суждений.

Приложил ли директор по информационной безопасности добросовестные усилия для выполнения своих обязанностей?

Как отмечалось выше, SEC должна отказаться от предъявления обвинений в тех случаях, когда CISO предпринял добросовестные усилия по разработке программы информационной безопасности или реагированию на инцидент. При оценке того, добросовестно ли действовал CISO при реализации основных функций программы информационной безопасности, SEC следует обратить внимание на основы упреждающего соблюдения требований, недавно изложенные директором по правоприменению Гревалом: обучение, вовлечение и исполнение.

Образование особенно важно для директоров по информационной безопасности, которые сталкиваются не только с меняющимися нормативными требованиями, но и с постоянно меняющимся ландшафтом угроз, исходящих как от частных лиц, так и от государственных структур. Директора по информационной безопасности могут принимать меры для информирования себя и своих сотрудников об этих изменениях, например, посещая конференции по кибербезопасности, чтобы общаться с другими специалистами отрасли и государственными служащими, а также подписываясь на информационные рассылки и бюллетени по безопасности. Если взаимодействие с CCO — это попытка «по-настоящему взаимодействовать с персоналом в различных подразделениях [своей] компании и узнавать об их деятельности» и рисках, то директор по информационной безопасности может «взаимодействовать», например, внедряя программу оценки рисков и отчетности, разработанную для выявления и эскалации рисков кибербезопасности на предприятии, но в конечном счете взаимодействие директора по информационной безопасности должно основываться на отраслевых стандартах и передовых методах работы, которые постоянно развиваются. Реализация предполагает, что директор по информационной безопасности будет стремиться внедрять хорошо продуманные политики, лежащие в основе программы кибербезопасности, но реализация должна рассматриваться в свете того факта, что внедрение программы кибербезопасности — это межфункциональная задача, в которой участвуют многие заинтересованные стороны, а также необходимо учитывать баланс рисков и потребностей бизнеса.

Для ясности: вопрос о том, прилагал ли директор по информационной безопасности добросовестные усилия для выполнения своих обязанностей, не может основываться на ретроспективном анализе того, насколько хорошо директор по информационной безопасности оценивал риски и тревожные сигналы в сравнении с функционированием бизнеса. Как заявила Комиссия по ценным бумагам и биржам, злоумышленникам удалось атаковать «самые надёжные организации», включая саму Комиссию. Это связано с тем, что даже самые надёжные организации никогда не смогут создать идеальную программу кибербезопасности. Ни одна организация никогда не будет застрахована от рисков, а для их снижения, устранения или управления ими требуются решения на уровне всего предприятия, основанные, помимо прочего, на оценке бизнес-рисков с учётом «различных угроз, уязвимостей и допустимых рисков» организации.

Был ли предполагаемый сбой связан с фундаментальным или ключевым аспектом хорошо продуманной программы кибербезопасности в компании?

Даже если утверждается, что CISO не действовал добросовестно, такой сбой все равно не следует считать «массовым сбоем», достаточным для того, чтобы Комиссия рассмотрела вопрос о целесообразности личной ответственности, если только это не относится к фундаментальному или центральному аспекту программы кибербезопасности компании. Например, CISO, как правило, должен быть в курсе значительных изменений в ландшафте угроз, и невыполнение этого требования может, в зависимости от обстоятельств, указывать на массовый сбой, поскольку оно относится к центральному аспекту программы кибербезопасности.

Однако прежде чем какая-либо проблема с безопасностью приведёт к эскалации в рамках плана реагирования на инциденты, ИТ-специалистам и сотрудникам службы безопасности необходимо изучить проблему, о которой могло быть сообщено из любого источника, в том числе в результате внутренних тестов на проникновение, «белых» хакеров, которые исследуют системы контроля компаний и сообщают им о результатах в надежде на вознаграждение, а также из-за жалоб клиентов. Эти сотрудники должны изучать сложные проблемы и устранять новые атаки; тщательное расследование инцидента с безопасностью не всегда приводит к выявлению первопричины или решению проблемы. В этом контексте, в то время как отсутствие какого-либо процесса сортировки и расследования может указывать на полный провал, отсутствие возможности выявить первопричину или решение проблемы безопасности после добросовестного расследования или выявление того, что проблема может быть более серьёзной, чем показывает расследование, само по себе не может рассматриваться как полный провал.

Сохранялся ли предполагаемый сбой в течение какого-то времени, и было ли у директора по информационной безопасности несколько возможностей устранить предполагаемый сбой (сбои)?

В ситуациях, когда предполагается недобросовестное поведение, связанное с основополагающим аспектом программы кибербезопасности, Комиссия по ценным бумагам и биржам должна учитывать, в какой степени это недобросовестное поведение сохранялось с течением времени и были ли у директора по информационной безопасности возможности устранить его.

Например, многие компании полагаются на поставщиков программного обеспечения, которые, в свою очередь, должны постоянно выпускать исправления ошибок и обновления безопасности для устранения уязвимостей в собственном программном обеспечении. Эти поставщики выпускают обновления и пояснения к ним, и компания должна решить, устанавливать ли обновление, учитывая, что в свете представленного профиля рисков это может быть особенно ресурсозатратно или негативно сказаться на работе. Если директор по информационной безопасности неоднократно получает предупреждения об уязвимости в программном обеспечении поставщика, которая не была устранена и активно используется, и игнорирует возможности ее устранения, когда профиль рисков указывает на необходимость устранения уязвимости и когда это можно сделать без значительных сбоев в работе, то это может — в зависимости от более широкого контекста — указывать на то, что директор по информационной безопасности не устранил уязвимость, несмотря на возможность сделать это.

Однако не все риски можно или нужно устранять, и добросовестные решения о принятии постоянного риска не должны служить основанием для ответственности, даже если этот риск проявится позже. Поскольку ресурсы для обеспечения кибербезопасности всегда ограничены, угрозы постоянно развиваются, а кибербезопасность обязательно должна быть сбалансирована с другими законными интересами и требовать межфункциональной координации и согласованности, целью программы обеспечения кибербезопасности является «постоянное совершенствование», а не достижение идеала. Таким образом, «недостаточные» действия сами по себе никогда не должны служить основанием для индивидуальной ответственности — т. е. принятие мер, даже если в ретроспективе они кажутся «недостаточными», не является «полным провалом».

Выпустила ли SEC четкие правила или рекомендации, касающиеся предполагаемого сбоя, заблаговременно до того, как произошел предполагаемый сбой?

Если существуют рекомендации относительно предполагаемого полного провала какого-либо фундаментального аспекта программы кибербезопасности, например, правила и положения, которые чётко определяют требования регулирующих органов и то, что может считаться нарушением, наличие таких рекомендаций может свидетельствовать в пользу ответственности. Но если директора по информационной безопасности и их партнёры по корпоративным вопросам работают над толкованием соответствующих законов или стандартов, «в отношении которых мнения могут расходиться, или законов или правил, по которым нет или почти нет соответствующих рекомендаций регулирующих органов», индивидуальная ответственность не должна основываться на мнении о том, что интерпретация директора по информационной безопасности была «неверной с учётом ретроспективного взгляда». Применяя принципы CCO Ассоциации юристов Нью-Йорка к CISO, мы предлагаем, чтобы «индивидуальная ответственность не использовалась в принудительных действиях или мировых соглашениях, направленных на введение нового правила или разъяснение толкования предыдущих правил».

Помогает ли взимание платы с CISO достижению нормативных целей SEC?

Обвинение SEC, особенно в отношении физического лица, всегда должно соответствовать регулятивной миссии SEC по защите инвесторов. Оглядываясь назад, можно сказать, что недостатки в сфере кибербезопасности, которые привели к пересмотру решений, принятых квалифицированными специалистами по кибербезопасности, — особенно с учётом того, что для успешной реализации программы кибербезопасности требуется подход всей компании и участие руководства на уровне совета директоров, — могут привести к наказанию добросовестных специалистов и потенциально навредить инвесторам (и национальной безопасности) в долгосрочной перспективе, поскольку квалифицированные специалисты по кибербезопасности будут уходить с должностей директоров по информационной безопасности, а необходимая внутренняя коммуникация между директорами по информационной безопасности и их командами по обеспечению безопасности, а также между директорами по информационной безопасности и более широкими функциями управления компанией будет нарушена.

Теперь, когда SEC возбудила свое первое дело против CISO, CISO, естественно, начнут взвешивать свою собственную потенциальную ответственность в соответствии с федеральными законами о ценных бумагах при принятии любого решения, которое они принимают в рамках своей функции кибербезопасности. В сфере, которая требует постоянного совершенствования для защиты от меняющихся и растущих угроз, директора по информационной безопасности могут не решаться поручать своим командам документировать или сообщать о внутренних процессах, которые можно улучшить, или откровенно говорить о слабых местах или областях, требующих улучшения, опасаясь, что регулирующие органы в ретроспективе могут утверждать, что выявленные проблемы свидетельствуют о том, что директор по информационной безопасности знал о недостатках и/или что выявленные слабые места способствовали последующим атакам на кибербезопасность. Директора по информационной безопасности могут решить, что единственная безопасная позиция — рассматривать каждый риск, каким бы отдалённым он ни был, как критический, что ставит директоров по информационной безопасности в невыгодное положение по сравнению с другими заинтересованными сторонами в постоянной и бессмысленной борьбе за ресурсы и приводит к необоснованному усилению каждого риска.

Учитывая эти опасения, SEC должна учитывать конечные последствия, которые расследование CISO и взимание с них платы могут иметь для интересов инвесторов. Например, ожидается, что эмитенты будут раскрывать «любую информацию, необходимую, исходя из их фактов и обстоятельств, для того, чтобы разумный инвестор мог понять их процессы кибербезопасности». Компании уже сталкиваются со сложной задачей при принятии решения о том, что раскрывать о состоянии своих программ кибербезопасности: слишком много деталей может послужить дорожной картой для злоумышленников, стремящихся извлечь выгоду из недостатков в кибербезопасности. Угроза личной ответственности может подтолкнуть директоров по информационной безопасности к чрезмерному раскрытию информации, независимо от рисков. Правоприменительные меры, которые приводят к обратному эффекту, делая компании менее безопасными из-за чрезмерного раскрытия информации, будут препятствовать достижению целей Комиссии в области регулирования.

Взятые вместе, вышеприведенные факторы потребовали бы от SEC отказа в возбуждении правоприменительных действий против CISO, если CISO прилагал добросовестные усилия для выполнения своих обязанностей. Однако, если утверждается, что CISO не прилагал добросовестных усилий для выполнения своих обязанностей, ответственность может быть оправдана, если: (i) предполагаемый сбой связан с фундаментальным или центральным аспектом хорошо отлаженной программы кибербезопасности в компании; (ii) предполагаемый сбой сохранялся с течением времени; (iii) SEC издала четкие правила или рекомендации, касающиеся предполагаемого сбоя, до того, как произошел предполагаемый сбой; и (iv) взимание платы с CISO поможет достичь нормативных целей SEC.

Смягчающие факторы

Даже при наличии достаточных подтверждающих факторов, оправдывающих рассмотрение SEC вопроса о том, взимать ли плату с CISO, SEC следует затем рассмотреть смягчающие факторы.

Своевременно ли и прозрачно ли директор по информационной безопасности доводит проблему до сведения других заинтересованных сторон?

Комиссия должна рассмотреть вопрос о том, своевременно ли и прозрачно ли директор по информационной безопасности сообщал о выявленных проблемах другим заинтересованным сторонам. Если будет установлено, что риск был выявлен или произошло нарушение, то тот факт, что директор по информационной безопасности активно поднимал этот вопрос перед заинтересованными сторонами в сфере безопасности, такими как высшее руководство и/или совет директоров, должен учитываться при определении личной ответственности, даже если директор по информационной безопасности ранее продемонстрировал «осознанную неспособность» действовать, как описано выше. Сотрудничество и обмен информацией после взлома критически важны для соблюдения компанией федеральных законов о ценных бумагах, а также для коллективной защиты кибербезопасности в целях национальной безопасности и для повышения осведомлённости о других потенциальных целях. Внутренняя эскалация известных проблем имеет решающее значение для успеха такого сотрудничества и должна поощряться как смягчающий фактор личной ответственности директора по информационной безопасности.

Препятствуют ли работе CISO структурные или ресурсные проблемы?

SEC также следует рассмотреть среди потенциальных смягчающих факторов вопрос о том, действовал ли CISO в условиях структурных или ресурсных проблем, которые могли помешать ее или его работе. Как отмечалось выше, надежная программа информационной безопасности требует общекорпоративного подхода. Нельзя ожидать, что CISO будет оценивать, обучать и выполнять функционирующую программу в одиночку. CISO требуют ресурсов, сотрудничества со стороны внутренних заинтересованных сторон и полномочий по принятию решений, и SEC следует рассмотреть вопрос о том, влияет ли организационная структура компании на эту координацию или на расширение прав и возможностей CISO и каким образом.

Опять же, личная ответственность никогда не должна наступать в том случае, если директор по информационной безопасности действовал добросовестно, но даже если есть основания полагать, что он действовал недобросовестно в связи с основополагающим аспектом программы кибербезопасности, Комиссия по ценным бумагам и биржам должна учитывать, в какой степени директор по информационной безопасности имел доступ к достаточным ресурсам и бюджету для решения проблем безопасности или был обременён конкурирующими функциями и обязательствами, будь то из-за недостаточного финансирования, кадрового состава или плохо определённых или закреплённых обязанностей, или в результате преднамеренного решения руководства принять относительно высокий уровень допустимого риска.

Подобно тому, как Министерство юстиции оценивает степень, в которой корпоративные программы соблюдения требований обеспечены достаточными ресурсами и полномочиями для эффективного функционирования, SEC следует учитывать структуру поддержки CISO и степень риска компании при рассмотрении вопроса о взимании платы с CISO за массовый сбой.

Руководство CISO по созданию современной системы кибербезопасности

По мере роста масштабов и сложности киберугроз организации не могут довольствоваться устаревшими или неполноценными системами кибербезопасности. Директорам по информационной безопасности и руководителям служб безопасности необходимо создать по-настоящему надёжную современную систему кибербезопасности.

Ключевые аспекты обеспечения безопасности организации без ущерба для развития бизнеса:

Использование Архитектур с Нулевым Доверием

Принцип нулевого доверия гласит, что ни одному пользователю или устройству нельзя безоговорочно доверять. Некоторые шаги включают:

— Проверка личности и предоставление доступа с наименьшими привилегиями.

— Проверяет весь трафик, а не только на границах сети.

— Внедрение контекстно-зависимых средств контроля, которые адаптируются на основе профилей рисков.

— Предполагая нарушение и разрабатывая разделенную систему безопасности.

— Принципы нулевого доверия повышают степень защиты и прозрачности в локальных и облачных средах.

Фокус на безопасности в облаке

Поскольку рабочие нагрузки всё чаще переносятся в облако, безопасность должна быть интегрирована без проблем. К приоритетным задачам относятся:

— Автоматизация политик безопасности, контроля соответствия требованиям и мониторинга конфигурации.

— Использование собственных инструментов облачного провайдера для защиты данных, контроля доступа, шифрования.

— Комплексная защита данных, включая хранение, передачу и доступ.

— Инструменты для предотвращения неправильной настройки — причины №1 инцидентов облачной безопасности.

— «Облачный» и платформо-ориентированный подход к безопасности крайне важен.

Внедрение надежных систем безопасности конечных точек

Поскольку пользователи подключаются отовсюду, безопасность конечной точки имеет решающее значение с помощью следующих опций:

— Многофакторная аутентификация и единый вход для доступа.

— Программное обеспечение для обнаружения конечных точек и реагирования (EDR) на устройствах.

— Полное шифрование диска и носителя для защиты данных в случае потери/кражи устройств.

— Управление мобильными устройствами (MDM) для обеспечения безопасности и контроля парка мобильных устройств.

— Расширьте защиту до предела благодаря надежным возможностям обеспечения безопасности устройства.

Автоматизируйте Мониторинг безопасности и реагирование

Круглосуточная бдительность возможна благодаря :

— Инструментам SIEM для подключения и корреляции оповещений системы безопасности.

— Автоматизированному сбору и развертыванию разведданных об угрозах.

— Системы SOAR используют учебные пособия для сортировки угроз и реагирования на них.

— Красные / синие командные упражнения для проверки контроля и готовности.

— Автоматизация значительно снижает нагрузку на команды ИТ-безопасности.

Внедрение Механизмов соблюдения требований

Соответствие требованиям обеспечивает структурированные рекомендации по безопасности, такие как:

— Стандарт ISO 27001 для оценки уязвимости и управления рисками.

— PCI DSS для защиты данных о держателях карт.

— HIPAA для защиты медицинской информации пациента.

— NIST CSF как независимая от отрасли структура кибербезопасности.

Принципы соблюдения требований должны лежать в основе дорожных карт безопасности.

Заключение

Модернизация системы кибербезопасности требует ресурсов и времени. Методично работая над этими основополагающими принципами, директора по информационной безопасности могут добиться улучшения системы безопасности. При работе с правильными партнёрами можно составить чёткую дорожную карту трансформации системы безопасности.

Директор по информационной безопасности (CISO) в современной организации находится на уникальном и критически важном перекрестке технологических, регуляторных и бизнес-императивов. Как продемонстрировано в данной статье, его роль давно переросла рамки технического специалиста, превратившись в стратегического лидера, несущего ответственность за киберустойчивость компании, защиту активов и соблюдение растущего массива нормативных требований. Однако текущая операционная и регуляторная парадигма создает для CISO ряд фундаментальных противоречий.

С одной стороны, от CISO ожидают построения комплексной, «идеальной» программы безопасности, основанной на выбранных фреймворках (NIST, ISO 27001, CIS и др.) и направленной на достижение максимальных уровней зрелости. С другой — эффективная кибербезопасность по своей сути является не конечным состоянием, а непрерывным процессом управления рисками, требующим постоянных компромиссов между безопасностью, бизнес-агентностью, инновациями и ресурсными ограничениями. Акцент на механическое «закрашивание в зеленый цвет» максимального числа контролей может привести к подмене качества количеством, когда тактические победы в реализации простых мер отвлекают внимание от стратегических, но сложных уязвимостей.

Наиболее острое противоречие заключается в сфере персональной ответственности. Растущие ожидания регуляторов, в частности Комиссии по ценным бумагам и биржам США (SEC), и прецедент обвинений против CISO SolarWinds создают ситуацию, когда директор по безопасности может нести личную ответственность за недостатки в программе, успех которой объективно зависит от вовлеченности всего руководства, совета директоров и выделения адекватных ресурсов. Такой подход рискует подорвать саму основу эффективной кибербезопасности — открытое обсуждение слабых мест, добросовестное принятие решений в условиях неполной информации и готовность профессионалов занимать эти ключевые позиции.

В качестве конструктивного решения предлагается внедрение четкой и сбалансированной системы ответственности CISO, аналогичной устоявшимся принципам для руководителей по соблюдению требований (CCO). Ядром этой системы должен стать анализ добросовестности усилий, прилагаемых CISO для выполнения своих обязанностей, оцениваемый через призму образования, вовлеченности и исполнения. Персональные обвинения должны быть исключительной мерой, уместной лишь в случаях прямого участия в мошенничестве, введения регуляторов в заблуждение или документально подтвержденного полного провала в выполнении базовых, центральных функций, при условии наличия четких регуляторных ориентиров и возможности для исправления.

Параллельно с формированием предсказуемой регуляторной среды, CISO должны эволюционировать в своей практической деятельности, выходя за пределы фреймворков соответствия. Будущее лежит в построении современной системы кибербезопасности, основанной на архитектурах нулевого доверия (Zero Trust), глубокой интеграции безопасности в облачные среды, автоматизации мониторинга и реагирования (SOAR, SIEM), а также надежной защите конечных точек. Эта система должна быть динамичной, адаптивной и встроенной в бизнес-процессы, а не существовать параллельно с ними.

Таким образом, успешная роль CISO сегодня и далее требует двойного подхода. Во-первых, это активное участие в формировании правового поля, которое защищает добросовестных руководителей и признает коллективную природу ответственности за киберустойчивость. Во-вторых, это непрерывная техническая и управленческая трансформация, направленная на создание не просто формально «соответствующей» требованиям, а по-настоящему устойчивой, интеллектуальной и бизнес-ориентированной системы защиты. Только на этом пути CISO смогут выполнить свою миссию: не останавливая инновации, защитить организацию, ее клиентов и акционеров в цифровую эпоху.

@@@@@@@@@@@@@@@@@@@@@@@@@@@

— DSPM

Традиционные стратегии безопасности были направлены на защиту периметров для обеспечения безопасности внутренних сетей. Эта тактика, которую часто называют подходом «замок и ров», была направлена на создание защитных сооружений (рвов) для предотвращения внешнего доступа (в замок или центры обработки данных) при сохранении доверия к внутренним источникам.

Перенесёмся в эпоху мультиоблачных сред и размытых границ с распределёнными средами, удалённой работой и мобильным доступом. Мы живём в эпоху общей ответственности и нулевого доверия. Управление состоянием безопасности данных, сокращённо DSPM, — это очевидная реакция на внедрение облачных технологий.

Учитывая, что 94% предприятий среди компаний, в которых работает более 1000 сотрудников, используют облачные технологии, комплексные стратегии безопасности, такие как DSPM, являются обязательным условием. В целом, решение DSPM помогает защитить различные компоненты данных в облачных средах и является надёжным подходом к защите от меняющихся угроз.

В настоящей главе представлена аналитика, как работают DSPM, в каких случаях их можно использовать для обеспечения безопасности облачных данных и чем они отличаются от других решений, таких как CSPM и CIEM.

DSPM

Управление безопасностью данных — это процесс внедрения набора методов и инструментов, необходимых для защиты локальных и облачных данных. Этот подход направлен на внедрение надёжных средств контроля безопасности для защиты конфиденциальной информации от несанкционированного доступа, кражи и разглашения.

Быстрое внедрение облачных технологий, инициативы по демократизации данных и отказ от традиционного сетевого периметра имеют решающее значение для ведения бизнеса в современном мире. Но эти достижения создали новые уязвимости в системе безопасности. Чтобы снизить риски для безопасности, присущие сильно распределённым мультиоблачным средам, организациям требуется надёжная система защиты данных.

Управление состоянием безопасности данных (DSPM) помогает организациям заблаговременно управлять рисками и угрозами безопасности данных, постоянно оценивая состояние безопасности данных и выявляя уязвимости и меры контроля, необходимые для снижения этих рисков. В этом руководстве мы дадим определение управлению состоянием безопасности данных, объясним его основные компоненты и рассмотрим проблемы, связанные с его внедрением. В заключение мы расскажем о важнейших функциях, которые следует искать в платформе безопасности данных, чтобы она эффективно поддерживала вашу программу управления состоянием безопасности данных.

Инструменты DLP предназначены для предотвращения утечек данных и несанкционированного раскрытия информации. DSPM — это более широкий подход, охватывающий общую защиту данных помимо утечек, включая управление доступом, шифрование, соблюдение нормативных требований и управление уровнем безопасности.

Управление состоянием безопасности данных

Современные организации обрабатывают и хранят различные конфиденциальные данные, в том числе информацию, позволяющую установить личность (PII), медицинскую информацию (PHI), финансовую информацию и критически важную для бизнеса интеллектуальную собственность. Эти данные часто разбросаны по множеству баз данных, приложений, SaaS-решений и т. д.

Управление состоянием безопасности данных — это подход к обеспечению безопасности, который фокусируется на защите конфиденциальных данных там, где они хранятся, и автоматизирует задачи по обнаружению, классификации, мониторингу, выявлению и защите данных. По мере увеличения объёма и сложности данных управление состоянием безопасности данных помогает компаниям понять, где хранятся их конфиденциальные данные, у кого есть доступ к этим данным, как они используются и какие действия необходимо предпринять для их надлежащей защиты.

Основные компоненты управления состоянием безопасности данных

Управление состоянием безопасности данных включает в себя четыре ключевых компонента, которые в совокупности создают комплексный интегрированный процесс защиты конфиденциальных данных.

1. Обнаружение и классификация данных

Без чёткого понимания того, где хранятся конфиденциальные данные, их защита невозможна. Цель обнаружения данных — составить точный перечень всех конфиденциальных данных и определить, где они хранятся. Все данные должны быть классифицированы в соответствии с нормативными актами, регулирующими их использование. Благодаря такому пониманию компании будет проще определить, у кого должен быть доступ к данным и какие меры защиты следует применять.

2. Определение приоритета данных

После выявления конфиденциальных данных им присваивается приоритет в соответствии с уровнем их конфиденциальности и степенью уязвимости для взлома. Приоритизация данных помогает специалистам по безопасности наметить потенциальные пути атаки и определить, какие данные требуют немедленного внимания.

3. Устранение рисков для безопасности данных

Устранение рисков, связанных с безопасностью данных, начинается с поиска всех уязвимостей, существующих в среде. Этот процесс может включать использование автоматизированных инструментов, которые регулярно проверяют соответствие отраслевым стандартам безопасности данных, таким как GDPR и SOC 2. Он также может включать создание пользовательских правил обнаружения рисков, адаптированных к конкретным потребностям бизнеса в области безопасности данных.

4. Мониторинг данных

Защита конфиденциальных данных — это непрерывный процесс, который включает в себя постоянное сканирование новых хранилищ данных и выявление возникающих угроз безопасности существующих данных. Мониторинг данных — это процесс наблюдения за тем, как организация собирает, хранит и использует свои данные. Мониторинг предназначен для того, чтобы предоставить командам целостное представление о своих данных, а также о том, как, почему и где эти данные используются.

Управление состоянием безопасности данных по сравнению с Платформой безопасности данных

В чём разница между решениями для управления безопасностью данных и платформами для защиты данных? Помимо схожих аббревиатур — DSPM и DSP — оба решения обеспечивают защиту данных. Но есть важное отличие.

Управление состоянием безопасности данных можно рассматривать как дополнение к платформе безопасности данных. Первое позволяет выполнять такие функции, как поиск, классификация и мониторинг неструктурированных данных, а второе расширяет эти возможности для структурированных данных с помощью контроля доступа к данным. Это важно, потому что организациям нужен механизм, с помощью которого можно идентифицировать конфиденциальные данные, отслеживать их использование и применять необходимые меры контроля для их защиты. DSPM предлагает только две из этих трёх возможностей, оставляя пробел в спектре безопасности данных.

Проблемы, связанные с внедрением DSPM

Управление состоянием безопасности данных — важная часть комплексной стратегии безопасности данных, но её внедрение может быть затруднительным. Вот три распространённые причины, по которым инициатива DSPM может потерпеть неудачу.

— Сложность

Одной из основных проблем, связанных с управлением безопасностью данных, является сложность внедрения. Настройка необходимых инструментов, изменение конфигурации и интеграция технологий в существующую инфраструктуру безопасности могут потребовать значительных затрат времени и ресурсов. Кроме того, без достаточного опыта или всесторонней оценки данных организации команда может упустить из виду хранилище данных или компонент инфраструктуры, оставив данные уязвимыми.

— Ложноположительные результаты

Автоматизированные решения для защиты данных могут выдавать ложные срабатывания. Если механизмы обнаружения слишком чувствительны, оповещения могут срабатывать из-за законных действий или событий. Это может привести к усталости от оповещений, увеличению нагрузки на сотрудников службы безопасности и подрыву доверия к системе.

— Ограниченный Охват

Управление безопасностью данных может не обеспечивать всестороннюю защиту от всех возможных векторов атак или уязвимостей, что требует использования дополнительных инструментов, включая анализ угроз, аналитику поведения пользователей и/или тестирование на проникновение. Кроме того, некоторые платформы ориентированы только на данные, хранящиеся в общедоступных облаках, оставляя конфиденциальные данные, хранящиеся в других средах, без надлежащей защиты.

Ключевые особенности решения для управления состоянием безопасности данных

Надежная платформа для защиты данных имеет решающее значение для внедрения управления безопасностью данных. Эти пять функций помогают организациям надлежащим образом выявлять, защищать и отслеживать конфиденциальные данные.

Расширенное обнаружение и классификация данных

Для обеспечения максимальной безопасности вам нужно будет находить и классифицировать все конфиденциальные данные, хранящиеся во всех форматах, включая структурированные, частично структурированные и неструктурированные данные, без необходимости вручную писать сложные правила и шаблоны регулярных выражений. Ваша платформа для защиты данных должна быть способна работать с петабайтами данных, сканировать всю архитектуру данных компании и создавать карту потоков данных, которая дает полное представление о том, как данные распределяются по всем облачным и локальным хранилищам данных, поставщикам SaaS и приложениям. Он должен самостоятельно выявлять все конфиденциальные данные, которые могут быть скомпрометированы из-за ненадлежащих прав доступа и шаблонов обмена данными, нарушающих протоколы безопасности данных.

Настраиваемая Приоритизация Данных

Немедленное устранение всех рисков, связанных с безопасностью данных, — недостижимая цель даже для самой хорошо укомплектованной команды по обеспечению безопасности. Ваша платформа для обеспечения безопасности данных должна помогать вам выявлять данные, представляющие наибольшую угрозу, с помощью настраиваемых индикаторов рисков. У вас должна быть возможность определять, какие данные являются конфиденциальными в вашем уникальном контексте. После выявления конфиденциальных данных ваше решение для обеспечения безопасности должно предлагать рекомендации по устранению угроз и защите данных.

Надежный контроль доступа

Надежная платформа защиты данных последовательно применяет политики безопасности во всем спектре систем и приложений, содержащих хранилища конфиденциальных данных. Некоторые решения предлагают шаблоны, разработанные с использованием лучших практик защиты данных и конфиденциальности, рекомендованных отраслевыми экспертами, и соответствующих нормативных актов, таких как Центр интернет-безопасности (CIS), Калифорнийский закон о правах на неприкосновенность частной жизни (CPRA) и GDPR. Эти шаблоны упрощают создание пользовательских политик доступа, удовлетворяющих индивидуальным потребностям бизнеса. Кроме того, при обнаружении рисков платформа должна иметь возможность автоматической отправки предупреждений соответствующим сотрудникам службы безопасности.

Непрерывный Мониторинг

В современной быстро меняющейся среде, насыщенной данными, часто создаются новые источники данных и облачные учётные записи. Хорошая платформа для обеспечения безопасности данных обеспечивает круглосуточный мониторинг, поиск новых и недавно изменённых данных, автоматическую оценку уровня безопасности данных и при необходимости генерирует оповещения. Ещё одним ключевым компонентом непрерывного мониторинга является обнаружение пользователей, у которых больше прав, чем они обычно используют. При обнаружении пользователей с избыточными правами некоторые платформы автоматически предлагают определения ролей, которые корректируют права пользователей в соответствии с уровнем доступа, необходимым для выполнения их работы.

Облачная интеграция

В то время как многие устаревшие решения были обновлены для работы с современной облачной инфраструктурой, облачные решения были созданы специально для работы в облаке. Их проще быстро запустить и, как правило, они проще в использовании. Кроме того, облачные платформы управляются поставщиком и не требуют внутренних ресурсов для обслуживания.

Надежная защита данных в будущем с помощью управления состоянием безопасности данных

Управление состоянием безопасности данных — неотъемлемая часть современной стратегии защиты данных. По мере роста ценности данных и ужесточения последствий неправильного обращения с данными дальновидные организации уделяют приоритетное внимание управлению состоянием безопасности данных. Инвестируя в DSPM, компании могут защитить свои критически важные данные, сохранить свою репутацию и доверие клиентов. Надежная платформа для защиты данных помогает в реализации этой инициативы, автоматизируя поиск данных, определение их приоритетности, устранение рисков и мониторинг деятельности на всех этапах работы компании.

Ознакомьтесь с рекомендациями по обеспечению безопасности конфиденциальных данных, чтобы понять, достаточно ли в вашей организации мер по обеспечению безопасности данных и контролю доступа, и узнать о рекомендациях, которые помогут вывести безопасность данных на новый уровень.

Насколько DSPM полезен для современного бизнеса?

Учитывая фрагментарный характер облачной инфраструктуры, современным организациям необходимо глубокое понимание данных и их роли в принятии более эффективных решений в области безопасности.

Использование аналитических данных для повышения безопасности приводит к усилению мер безопасности. Это также позволяет организациям демонстрировать высокий уровень доверия при заключении контрактов, что открывает новые возможности для бизнеса.

Преимущества DSPM для современных организаций:

Безопасность данных на протяжении всего жизненного цикла

Решения DSPM для обеспечения безопасности помогают классифицировать конфиденциальные данные и защищать их на всех этапах жизненного цикла — при обнаружении, хранении, передаче и удалении. Эти инструменты оценивают такие аспекты, как соблюдение политик, неправильные настройки, слишком либеральные настройки и т. д., и внедряют строгие меры контроля для обеспечения более надежной защиты данных.

Соответствие требованиям соответствия

Решения DSPM упрощают процессы, связанные с соблюдением нормативных требований по защите данных, такие как сопоставление нормативных требований, обеспечение контроля доступа, шифрование, правила брандмауэра и т. д. Это гарантирует, что организация соблюдает множество требований в отношении таких систем защиты данных, как HIPAA и GDPR.

Функционал:

Сочетание решения DSPM поможет постоянно отслеживать статус соответствия требованиям, а также в большей степени управлять рисками, связанными с соблюдением требований. Новые решения разрабатываются специально для компаний, ориентированных на облачные технологии, и помогают сократить время, необходимое для подготовки к аудиту.

Снижение затрат

Управление безопасностью данных позволяет экономить средства по нескольким направлениям. Это напрямую приводит к уменьшению количества штрафов со стороны регулирующих органов и судебных инстанций в результате постоянного соблюдения требований, более эффективного распределения ресурсов и сокращения времени простоя. Это также помогает организациям сократить долгосрочные расходы, поскольку для настройки требуется всего один раз.

Масштабируемость накопителя

Инструменты DSPM могут обеспечить соблюдение тех же требований к гигиене и безопасности данных, а также учитывать растущие объёмы и функциональность. Прогрессивные организации рассчитывают на централизованное управление DSPM, возможности автоматизации и масштабируемые системы, отвечающие их меняющимся потребностям.

Как работает система управления безопасностью данных?

Управление безопасностью баз данных обеспечивает прозрачность и понимание в отношении конфиденциальных данных. Оно обеспечивает полную видимость действий с данными, доступа к ним, их использования и соответствия требованиям, а также позволяет получить полное представление о состоянии безопасности.

По сути, решение DSPM работает в четыре этапа:

Обнаружение данных

Облачные данные обычно хранятся разрозненно. Они распределены по IAAS, PaaS, базам данных виртуальных машин и т. д. DSPM объединяет все данные, как структурированные, так и неструктурированные, хранящиеся или передаваемые, и каталогизирует их вместе с источником. Это делается с помощью интеграции с инструментами управления данными и безопасности организации, а также встроенных механизмов автоматического поиска данных.

Классификация данных

Затем инструмент DSPM классифицирует наборы данных из разных источников в зависимости от степени конфиденциальности. Это делается с помощью комбинации методов анализа контента, искусственного интеллекта, машинного обучения, метаданных или тегов, любой классификации пользователей (например, документ с пометкой «конфиденциально») и т. д. Такая информация, как персональные данные, медицинская информация, данные кредитных карт и т. д., классифицируется как конфиденциальная, чтобы обеспечить приоритетный контроль доступа и шифрование.

Анализ рисков

Затем DSPM проводит анализ рисков, связанных с неправильными настройками, избыточными разрешениями, нарушениями нормативных требований и другими угрозами или уязвимостями, которые могут поставить под угрозу безопасность данных. В оценке рисков выделяются критические проблемы и сценарии воздействия. Для лучшего понимания могут использоваться оценки рисков или визуальное представление рисков.

Устранение рисков

Наконец, DSPM предоставляет рекомендации по устранению неполадок для минимизации рисков. Рекомендации по устранению неполадок включают изменения в политике, ограничение прав пользователей или учётных записей, а также внедрение других средств контроля безопасности. Ведётся журнал выполненных действий, который полезен при проверках соответствия требованиям.

Ключевые компоненты DSPM

Ключевые компоненты решения DSPM состоят из элементов, определяющих сферу применения программы. Это сочетание инструментов, процессов и механизмов, которые помогают повысить общий уровень безопасности данных.

Ключевые компоненты DSPM, которые обязательно знать и применять:

Непрерывный мониторинг данных и выстраивание цепочек данных

DSPM упрощает отслеживание событий, связанных с данными, которые влияют на безопасность и соответствие требованиям. Это делается после обнаружения и классификации данных. Ведется журнал действий пользователей, и решение выявляет потенциальные риски, уязвимости или подозрительное поведение.

Непрерывный мониторинг данных также включает в себя компонент отслеживания происхождения данных. Происхождение данных отслеживает преобразование данных на протяжении всего их жизненного цикла. Любые изменения данных во время обработки на любом этапе экосистемы оцениваются на предмет рисков и документируются для отчета о нарушениях безопасности.

Контрольное управление

Компонент управления безопасностью баз данных обеспечивает соблюдение политик безопасности. Такие средства контроля, как разрешения на доступ, многофакторная аутентификация, шифрование данных, резервное копирование и восстановление и т. д., применяются ко всем наборам данных для обеспечения высокого уровня безопасности.

Рабочие процессы реагирования на инциденты

Решение DSPM имеет встроенные рабочие процессы для выявления инцидентов, связанных с безопасностью, отправки оповещений для сортировки и запуска механизмов восстановления для эффективного реагирования. Некоторые продвинутые инструменты также имеют аналитические возможности для выявления первопричин.

Интеграция с системой анализа угроз

Инструменты DSPM могут интегрироваться с базами данных об угрозах, чтобы быть в курсе возникающих угроз и точно настраивать управление контролем. Можно вносить изменения на основе правил, чтобы оптимизировать проверки безопасности в соответствии с меняющимися требованиями.

Управление соответствием требованиям

Функция управления соответствием требованиям DSPM обеспечивает соблюдение законов о конфиденциальности данных и их защите, предоставляя пользователям подробную информацию об условиях соответствия требованиям. Требования к соответствию сопоставляются с категориями классифицированных данных, регулярно отслеживаются и отображаются на единой панели управления соответствием требованиям.

Примеры использования управления состоянием безопасности данных

DSPM решает несколько проблем с данными для бизнеса: от анализа рисков безопасности, влияющих на данные, до реагирования на угрозы в режиме реального времени.

Порядок использования управления состоянием безопасности данных:

Обнаружение угроз

DSPM может автоматически обнаруживать и классифицировать данные, хранящиеся в облачных или локальных хранилищах данных. Хранилища данных и потоки данных анализируются для выявления таких сценариев, как теневые базы данных (созданные без ведома/согласия организации), незащищённые каналы передачи данных и другие проблемы с безопасностью.

Управление доступом к данным

Инструменты DSPM имеют интеллектуальный доступ к данным для мониторинга прав доступа в различных хранилищах данных. Облачные среды значительно облегчают обмен данными и совместную работу. Это требует мониторинга доступа, разрешений и привилегий с целью сохранения конфиденциальности, целостности и доступности данных. Например, если организация имеет дело с PHI, DSPM будет отслеживать доступ к ePHI, обеспечивать строгий контроль доступа и шифровать или маскировать критически важные данные.

Соблюдение правил конфиденциальности

Решения DSPM сопоставляют нормативные требования с политиками организации в отношении данных, чтобы обеспечить их соблюдение. Законы о конфиденциальности данных, такие как GDPR, HIPAA, соблюдение требований PCI и т. д., предписывают защищать конфиденциальные данные, и DSPM может определять процессы, регулирующие работу с данными, чтобы выявлять любые нарушения.

Предотвращение потери данных

DSPM помогает предотвратить несанкционированный доступ, утечку данных, кражу или злонамеренную обработку конфиденциальных данных. Для защиты данных используются такие меры, как шифрование данных, обнаружение конечных точек, аналитика поведения пользователей и т. д. Таким образом, если недовольный бывший сотрудник попытается украсть конфиденциальные данные, воспользовавшись задержкой в удалении доступа, DSPM может выдать предупреждение и предотвратить кражу.

Как реализовать DSPM?

Внедрение DSPM дополняет традиционные методы обеспечения безопасности, повышая осведомлённость о данных и усиливая контроль. Крайне важно чётко понимать приоритеты организации в области безопасности, чтобы выбрать и внедрить подходящее решение.

План внедрения эффективной программы DSPM:

— Оцените свои потребности в безопасности

Прежде чем инвестировать в решение DSPM, оцените проблемы с безопасностью, которые необходимо решить. Проанализируйте данные, которые необходимо защитить, и существующие механизмы безопасности. Составьте список вопросов, например:

— Оценка текущих средств контроля доступа

Существуют ли какие-либо процессы резервного копирования и восстановления данных?

Зашифрованы ли данные во время передачи?

Кроме того, ознакомьтесь с правилами конфиденциальности и защиты данных, действующими в вашей организации.

— Поиск правильного решения для DSPM

Изучите авторитетных поставщиков DSPM и отправьте запрос на получение информации (RFI/RFP). Организуйте демонстрационные и пробные версии после изучения решений по следующим критериям:

— Удобство для бюджета: уточните, стоят ли дополнительные функции денег, и оцените рентабельность инвестиций

— Удобство использования: оцените, смогут ли нетехнические специалисты легко ориентироваться на платформе

— Набор функций и ключевые возможности: обратите внимание на такие ключевые функции, как классификация данных, мониторинг управления доступом, шифрование и т. д.

— Варианты интеграции: Проанализируйте возможности интеграции с существующей инфраструктурой безопасности

— Масштабируемость: оцените, повлияет ли на производительность DSPM увеличение объема данных

— Поддержка: Обратитесь за обучением и поддержкой к поставщику

Настройка и развертывание

Интегрируйте свой стек технологий с решением и создайте список информационных ресурсов. Помечайте данные, чтобы DSPM мог более точно классифицировать их. Настройте другие параметры, чтобы адаптировать решение под свои нужды, и сопоставьте соответствующие элементы управления. Настройте механизм мониторинга в реальном времени и создайте поэтапный план развертывания.

Привлечение команды

Как только вы закончите с настройкой, привлеките своих сотрудников к реализации плана внедрения, включающего все политики и стандартные операционные процедуры. Разработайте программу обучения, чтобы сотрудники службы безопасности могли приступить к работе. Определите роли и обязанности и расставьте приоритеты в зависимости от важности задач.

Мониторинг и тонкая настройка

Определите ключевые показатели эффективности и период мониторинга. Проводите оценку уязвимостей, тестирование на проникновение и внутренние аудиты для оценки эффективности DSPM и получения обратной связи от заинтересованных сторон. Анализируйте и совершенствуйте политику для обеспечения постоянного улучшения.

Бюджет внедрения DSPM

Помимо размера организации, стоимость DSPM может варьироваться в зависимости от таких факторов, как конкретные нормативные требования и выбор решения, требования к настройке, поддержка и обслуживание и т. д. Решения DSPM могут стоить малому и среднему бизнесу около $50 000 в год. Для крупных предприятий стоимость может достигать 500 000 долларов в год.

Преимущества DSPM могут перевесить затраты. Оптимизация процессов и правильное распределение ресурсов могут помочь избежать штрафов и санкций, а также снизить вероятность утечки данных.

Различия между DSPM, CSPM и CIEM

Управление состоянием безопасности в облаке (CSPM) помогает организациям защищать свою облачную инфраструктуру. Оно выявляет неправильные настройки, уязвимости, соблюдение политик безопасности и нормативных требований в облачной среде.

Облачное управление идентификацией и правами доступа (CIEM) помогает автоматизировать управление привилегиями в нескольких облачных средах. Оно управляет идентификацией пользователей, контролем доступа и помечает избыточные или неэффективные привилегии, которые могут повлиять на безопасность облачной инфраструктуры.

Хотя оба они ориентированы на облачную инфраструктуру, DSPM — это подход, ориентированный на данные. CSPM и CIEM не имеют контекста данных — откуда они берутся, какой тип данных затронут, являются ли они конфиденциальными? и т. д.

Рассмотрим ключевые различия между этими тремя: DSPM, CSPM и CIEM

Хотя DSPM может быть отличным инструментом для предоставления подробной контекстной информации о безопасности данных, его нельзя использовать в качестве самостоятельного инструмента в строго регулируемых отраслях. Если вы соблюдаете строгие требования стандартов, таких как HIPAA, GDPR, PCI DSS и т. д., вам необходимо использовать DSPM в сочетании с комплексным решением для управления соблюдением нормативных требований.

Многие решения DSPM для автоматизации соблюдения нормативных требований выходят за рамки безопасности данных. Они избавляют от необходимости вручную создавать программы соблюдения нормативных требований, оптимизируя рабочие процессы, автоматизируя проверки соблюдения нормативных требований и обеспечивая наличие и правильную работу необходимых средств контроля.

Эффективность решений DSPM для обеспечения безопасности можно повысить, интегрировав их с другими технологиями. К таким решениям относятся системы обнаружения конечных точек и реагирования на угрозы, решения для управления идентификацией и доступом, инструменты для предотвращения потери данных, сетевая безопасность и брандмауэры, а также инструменты для управления уязвимостями.

Заключение

DSPM может быть ограничен в своих возможностях, поскольку он ориентирован на данные, а не на инфраструктуру. Кроме того, может возникнуть «усталость от оповещений» и ложные срабатывания. Такие задачи, как организация обучения сотрудников и обновление политик, могут отнимать много времени. Лучший способ решить эти проблемы — автоматизировать процесс и объединить DSPM с комплексными решениями.

В данной главе был проведен анализ управления состоянием безопасности данных (DSPM) как современного подхода к защите информации в условиях цифровой трансформации и широкого распространения облачных технологий. Традиционная модель безопасности, основанная на защите периметра, уступает место более гибким и комплексным стратегиям, учитывающим размывание границ сетей, распределенность данных и принцип нулевого доверия.

DSPM представляет собой целостную методологию, направленную на обеспечение безопасности данных на протяжении всего их жизненного цикла. Ключевыми компонентами данной системы являются обнаружение и классификация данных, определение их приоритетов, устранение рисков и непрерывный мониторинг. В отличие от решений, ориентированных на инфраструктуру (таких как CSPM) или управление доступом (таких как CIEM), DSPM фокусируется непосредственно на данных, обеспечивая их контекстную защиту и соответствие нормативным требованиям.

Несмотря на очевидные преимущества, внедрение DSPM сопряжено с рядом вызовов, включая сложность интеграции, риск ложных срабатываний и ограниченный охват всех векторов атак. Для успешной реализации необходима тщательная оценка потребностей организации, выбор подходящей платформы, способной масштабироваться и адаптироваться к динамичной среде, а также интеграция с другими инструментами безопасности.

DSPM является неотъемлемым элементом современной стратегии кибербезопасности, позволяющим организациям эффективно управлять рисками, обеспечивать соответствие регуляторным стандартам и защищать критически важные активы. Дальнейшее развитие этого направления будет связано с углубленной автоматизацией, применением искусственного интеллекта и машинного обучения для анализа данных, а также с созданием более тесной интеграции между решениями для защиты данных, инфраструктуры и идентификации. Внедрение DSPM способствует не только укреплению безопасности, но и повышению операционной эффективности, снижению затрат и укреплению доверия со стороны клиентов и партнеров.

@@@@@@@@@@@@@@@@@@@@@@@@@@@

— Управление состоянием облачной безопасности CSPM

Облачная безопасность — это совокупность процедур и технологий, предназначенных для устранения внешних и внутренних угроз безопасности бизнеса. Облачная безопасность необходима организациям по мере реализации стратегии цифровой трансформации и внедрения облачных инструментов и сервисов в свою инфраструктуру.

В последние годы термины «цифровая трансформация» и «миграция в облако» регулярно используются в корпоративной среде. Хотя в разных организациях эти фразы могут означать разные вещи, в основе каждой из них лежит общий знаменатель: необходимость изменений.

По мере того, как предприятия внедряют эти концепции и переходят к оптимизации своей операционной деятельности, возникают новые проблемы, связанные с балансировкой между уровнем производительности и безопасностью. В то время как более современные технологии помогают организациям расширять возможности за пределами локальной инфраструктуры, переход преимущественно на облачные среды может иметь ряд последствий, если он не будет безопасным.

Чтобы найти правильный баланс, необходимо понимать, какую пользу современные предприятия могут извлечь из использования взаимосвязанных облачных технологий, применяя при этом лучшие методы обеспечения безопасности в облаке.

«Облако» или, точнее, «облачные вычисления» — это процесс доступа к ресурсам, программному обеспечению и базам данных через Интернет и за пределами ограничений локального оборудования. Эта технология позволяет организациям гибко масштабировать свою деятельность, передавая часть или большую часть управления инфраструктурой сторонним хостинг-провайдерам.

Управление состоянием облачной безопасности — это оценка уровня кибербезопасности организации в облаке, которая включает в себя оценку её способности обнаруживать угрозы безопасности и реагировать на них.

Наиболее распространенными и широко применяемыми сервисами облачных вычислений являются:

IaaS (инфраструктура как услуга): предлагает гибридный подход, который позволяет организациям управлять некоторыми данными и приложениями локально. В то же время он предполагает, что поставщики облачных услуг управляют серверами, оборудованием, сетями, виртуализацией и хранилищами.

PaaS (платформа как услуга): позволяет организациям оптимизировать разработку и выпуск приложений. Это достигается за счет предоставления пользовательской платформы приложений, которая автоматически управляет операционными системами, обновлениями программного обеспечения, хранилищем и вспомогательной инфраструктурой в облаке.

SaaS (программное обеспечение как услуга): предоставляет облачное программное обеспечение, размещённое в интернете и обычно доступное по подписке. Сторонние поставщики решают все потенциальные технические проблемы, такие как работа с данными, промежуточным программным обеспечением, серверами и хранилищами. Такая настройка помогает сократить расходы на ИТ-ресурсы и оптимизировать функции обслуживания и поддержки.

На современных предприятиях наблюдается растущий переход к облачным средам и моделям вычислений IaaS, Paas или SaaS. Динамичный характер управления инфраструктурой, особенно при масштабировании приложений и сервисов, может создавать ряд проблем для предприятий при достаточном обеспечении ресурсами их отделов. Эти модели «как услуга» дают организациям возможность переложить на аутсорсинг многие трудоёмкие задачи, связанные с ИТ.

По мере того, как компании продолжают переходить в облако, понимание требований к безопасности для защиты данных становится критически важным. Хотя сторонние поставщики облачных услуг могут взять на себя управление этой инфраструктурой, ответственность за безопасность и подотчётность данных не обязательно переходит к ним.

По умолчанию большинство поставщиков облачных услуг следуют передовым методам обеспечения безопасности и принимают активные меры для защиты целостности своих серверов. Однако организациям необходимо учитывать собственные потребности при защите данных, приложений и рабочих нагрузок, выполняемых в облаке.

Угрозы безопасности становятся всё более изощрёнными по мере развития цифровой среды. Эти угрозы явно нацелены на поставщиков облачных вычислений из-за того, что организации в целом не контролируют доступ к данным и их перемещение. Если организации не будут предпринимать активных шагов по повышению безопасности в облаке, они могут столкнуться со значительными рисками в области управления и соблюдения нормативных требований при работе с информацией клиентов, независимо от того, где она хранится.

Облачная безопасность должна быть важной темой для обсуждения независимо от размера вашего предприятия. Облачная инфраструктура поддерживает практически все аспекты современных вычислений во всех отраслях и на разных уровнях.

Однако успешное внедрение облачных технологий зависит от принятия адекватных мер по защите от современных кибератак. Независимо от того, работает ли ваша организация в общедоступной, частной или гибридной облачной среде, решения и рекомендации по обеспечению безопасности в облаке необходимы для поддержания непрерывности бизнес-процессов.

Ключевые проблемы с безопасностью в облаке

— Отсутствие видимости

Легко потерять представление о том, как и кто получает доступ к вашим данным, поскольку многие облачные сервисы доступны за пределами корпоративных сетей и через третьих лиц.

— Мультиструктура

В общедоступных облачных средах под одной крышей находится несколько клиентских инфраструктур. В результате злоумышленники могут скомпрометировать ваши хостинговые сервисы в качестве сопутствующего ущерба при атаке на другие компании.

Управление доступом и его теневое использование

В то время как предприятия могут успешно управлять точками доступа и ограничивать их в локальных системах, администрирование таких же уровней ограничений в облачных средах может быть затруднительным. Это может быть опасно для организаций, которые не внедряют политику «принеси своё устройство» (BYOD) и не разрешают беспрепятственный доступ к облачным сервисам с любого устройства или из любой геолокации.

Соответствие требованиям

Управление соблюдением нормативных требований часто вызывает путаницу у предприятий, использующих общедоступные или гибридные облачные среды. Общая ответственность за конфиденциальность и безопасность данных по-прежнему лежит на предприятии, и чрезмерная зависимость от сторонних решений для управления этим компонентом может привести к дорогостоящим проблемам с соблюдением нормативных требований.

Неправильные конфигурации

Значительная часть взломанных записей может быть связана с неправильно настроенными ресурсами, что делает непреднамеренное проникновение инсайдеров ключевой проблемой для сред облачных вычислений. Неправильная настройка может включать в себя использование административных паролей по умолчанию или отсутствие соответствующих настроек конфиденциальности.

Типы облачных решений безопасности

— Управление идентификацией и доступом (IAM)

Инструменты и сервисы для управления идентификацией и доступом (IAM) позволяют предприятиям внедрять протоколы принудительного применения политик для всех пользователей, пытающихся получить доступ как к локальным, так и к облачным сервисам. Основная функция IAM — создание цифровых идентификаторов для всех пользователей, чтобы их можно было активно отслеживать и при необходимости ограничивать во время взаимодействия с данными.

— Предотвращение потери данных (DLP)

Сервисы предотвращения потери данных (DLP) предлагают набор инструментов и услуг, предназначенных для обеспечения безопасности регулируемых облачных данных. Решения DLP используют комбинацию оповещений о нарушениях, шифрование данных и другие превентивные меры для защиты всех хранящихся данных, как в состоянии покоя, так и в движении.

— Информация о безопасности и управление событиями (SIEM)

Система управления информационной безопасностью и событиями безопасности (SIEM) представляет собой комплексное решение для управления безопасностью, которое автоматизирует мониторинг, обнаружение угроз и реагирование на них в облачных средах. Технология SIEM использует искусственный интеллект (ИИ) для сопоставления данных журналов на нескольких платформах и цифровых активах. Это позволяет ИТ-командам успешно применять протоколы сетевой безопасности и быстро реагировать на любые потенциальные угрозы.

— Обеспечение непрерывности бизнеса и аварийное восстановление

Несмотря на профилактические меры, которые организации принимают для защиты своих локальных и облачных инфраструктур, утечки данных и сбои в работе всё равно могут происходить. Предприятия должны иметь возможность быстро реагировать на недавно обнаруженные уязвимости или значительные сбои в работе системы. Решения для аварийного восстановления являются основой облачной безопасности и предоставляют организациям инструменты, сервисы и протоколы, необходимые для ускоренного восстановления потерянных данных и возобновления нормальной работы.

Облачная безопасность

Подход к обеспечению безопасности в облаке у каждой организации свой и может зависеть от нескольких факторов. Однако Национальный институт стандартов и технологий (NIST) составил список рекомендаций, которым можно следовать для создания безопасной и устойчивой системы облачных вычислений.

NIST разработал необходимые шаги для каждой организации по самооценке своей готовности к обеспечению безопасности и применению адекватных профилактических и восстановительных мер безопасности к своим системам. Эти принципы основаны на пяти столпах системы кибербезопасности NIST: идентификация, защита, обнаружение, реагирование и восстановление.

Ещё одна новая технология в сфере облачной безопасности, которая поддерживает реализацию концепции кибербезопасности NIST, — это управление состоянием облачной безопасности (CSPM). Решения CSPM предназначены для устранения распространённой проблемы во многих облачных средах — неправильных настроек.

Облачные инфраструктуры, которые предприятия или даже поставщики облачных услуг не настраивают должным образом, могут привести к появлению нескольких уязвимостей, значительно расширяющих поверхность атаки организации. CSPM решает эти проблемы, помогая организовать и внедрить основные компоненты облачной безопасности. К ним относятся управление идентификацией и доступом (IAM), управление соблюдением нормативных требований, мониторинг трафика, реагирование на угрозы, снижение рисков и управление цифровыми активами.

Система облачной безопасности состоит из множества инструментов и методов, используемых для защиты сетей, устройств, пользователей и данных от различных угроз, таких как:

— Скомпрометированные / украденные учетные данные

— Нарушения

— Удаление данных

— Атаки на производительность сети

— Вредоносное ПО

— Шпионское ПО

— Программа-вымогатель

Чем лучше организация управляет своей облачной средой, тем больше она может минимизировать риски, защищаться от угроз и соблюдать правила безопасности.

CSPM является важным компонентом безопасности облачных данных

Управление состоянием безопасности в облаке (CSPM) выявляет и устраняет риски, автоматизируя процессы мониторинга, обнаружения угроз и устранения неполадок для поиска неправильных настроек в различных облачных средах/инфраструктурах, в том числе:

— Инфраструктура как услуга (IaaS)

— Программное обеспечение как услуга (Saas)

— Платформа как услуга (PaaS)

Визуализация рисков и их оценка — это лишь две небольшие части того, что CSPM может для вас сделать. Инструменты CSPM также позволяют реагировать на инциденты, давать рекомендации по устранению неполадок, отслеживать соответствие требованиям и интегрировать DevOps в гибридные и мультиоблачные среды/инфраструктуры. Некоторые решения CSPM помогают специалистам по безопасности заблаговременно выявлять слабые места в облачных средах и устранять их до того, как произойдёт нарушение безопасности.

Он сканирует облачные системы и предупреждает сотрудников о рисках, связанных с соблюдением нормативных требований, и уязвимостях конфигурации в облачных сервисах, большинство из которых вызваны человеческими ошибками. CSPM — это категория продуктов для ИТ-безопасности, предназначенных для обнаружения неправильных настроек в облаке и проблем с соблюдением нормативных требований.

Одной из важнейших целей программирования CSPM является непрерывная проверка облачной инфраструктуры на наличие уязвимостей в политике безопасности

Gartner, исследовательская и консультационная группа в сфере информационных технологий, которая придумала этот термин, определяет CSPM как новую категорию технологий безопасности, которые могут помочь в автоматизации обеспечения безопасности и соответствия требованиям в облаке.

Облачные инструменты CSPM анализируют и сравнивают облачную систему с заранее заданным набором рекомендаций и известных угроз безопасности

Кроме того, некоторые инструменты CSPM могут предупреждать клиентов об облачных сервисах, чтобы они могли принять меры в случае нарушения безопасности, а более сложные инструменты CSPM используют роботизированную автоматизацию процессов (RPA) для автоматического устранения проблем.

Организации обычно используют CSPM, когда выбирают облачный подход и предпочитают расширять свои методы обеспечения безопасности на мультиоблачные и гибридно-облачные среды.

Хотя CSPM часто ассоциируется с инфраструктурой как услугой (IaaS), технология, лежащая в его основе, также используется для устранения и сокращения количества ошибок в конфигурации и минимизации рисков, связанных с соблюдением нормативных требований в облачных средах «программное обеспечение как услуга» (SaaS) и «платформа как услуга» (PaaS).

Как работает CSPM

Недавняя статистика утечек данных, к которой следует относиться с осторожностью:

Согласно исследованию Risk Based Security за 2020 год, в 2019 году было раскрыто 15 миллиардов записей, что значительно больше, чем в предыдущие годы. В четвёртом квартале 2019 года в результате четырёх утечек, вызванных неправильной настройкой баз данных, было раскрыто 6,7 миллиарда записей.

Согласно отчёту IBM X-Force Threat Intelligence Index за 2020 год, количество записей, ставших доступными из-за неправильных настроек, выросло почти в десять раз по сравнению с предыдущим годом и составило 86% от общего числа скомпрометированных записей в 2019 году.

Согласно отчёту IBM «Стоимость утечки данных» за 2019 год, средняя стоимость утечки данных в США составляет 8,2 миллиона долларов, а в мире — 3,9 миллиона долларов. Наиболее значимыми составляющими этой средней оценки стоимости являются потеря доверия клиентов и связанная с этим потеря прибыли.

Зачем нужно управление состоянием облачной безопасности

Многие компании считают, что после перехода в облако ответственность за безопасность лежит исключительно на провайдере облачного хостинга. Это ошибочное мнение приводит к утечке данных и другим проблемам с безопасностью. Благодаря оценке безопасности и автоматизированному мониторингу соответствия требованиям инструменты CSPM позволяют компаниям выявлять и устранять проблемы. Внедрение облачных сервисов и приложений принесло пользу как организациям, так и частным лицам, обеспечив беспрецедентную производительность и гибкость.

Поскольку эти технологии открыты для интернета и легкодоступны для всех, они могут подвергать организации более высокому риску нарушений кибербезопасности, таких как утечка данных. По мере того, как число людей и организаций, переходящих в облако, ежедневно растёт, увеличивается и количество преднамеренных и случайных угроз безопасности. И хотя утечки данных — обычное дело, наибольший процент ошибок по-прежнему связан с неправильной настройкой облака и человеческим фактором.

Развивающиеся угрозы для облачной безопасности конфигурации и инфраструктуры, а также растущие шансы непреднамеренного раскрытия информации могут принимать различные формы. Надежная и разнообразная система управления облачной безопасностью может защитить вас и вашу организацию от следующих угроз с помощью немедленных автоматизированных реакций:

— Неправильная конфигурация

— Вопросы соблюдения законодательства и нормативных актов

— Несанкционированный доступ

— Небезопасные интерфейсы / API

— Взлом учетной записи

— Отсутствие видимости

— Отсутствие ясности в сроках ответственности за проект

— Обмен внешними данными

— Неправильное использование и настройка удостоверений личности и облачных прав

— Вопросы соблюдения требований и регулирования

— Атаки типа «отказ в обслуживании» (DoS) и распределённые атаки типа «отказ в обслуживании» (DDoS)

Несмотря на то, что организации прилагают все усилия для минимизации угроз и утечек данных, руководители компаний постоянно борются с:

Утечка данных, вызванная неправильными настройками в облачной инфраструктуре. Неправильные настройки могут привести к раскрытию огромного количества важных и конфиденциальных данных, что повлечёт за собой значительные финансовые потери и юридическую ответственность.

При использовании локальных инструментов и традиционных процессов практически невозможно обеспечить постоянное соответствие требованиям для облачных приложений и рабочих нагрузок.

Внедрение облачного управления (видимость, разрешения, соблюдение политик, отсутствие знаний о контроле и соблюдении политик в облаке среди всех бизнес-подразделений) — это сложная задача, возникающая в результате внедрения облачных технологий в организации.

Ключевые возможности CSPM

Рассмотрим возможности управления состоянием облачной безопасности. Инструменты и сервисы CSPM могут использовать автоматизацию для исправления ошибок, допущенных человеком, без необходимости или задержки ввода данных пользователем.

Обеспечение безопасности рабочих нагрузок начинается с внедрения в вашей организации индивидуальных политик безопасности с помощью надёжного и мощного CSPM. Эффективный CSPM регулярно выявляет ресурсы, используемые в рабочих нагрузках, и оценивает их на соответствие передовым методам обеспечения безопасности. В частности, CSPM обладает четырьмя ключевыми преимуществами:

— Больше контроля

Управляйте политиками безопасности в облаке и следите за тем, чтобы ваши сервисы PaaS и виртуальные машины соответствовали меняющимся требованиям. Применяйте политики в группах управления, подписках и для всего арендатора.

— Упрощение и подключение управления состоянием облачной безопасности

Запускайте и настраивайте CSPM в крупномасштабных средах с помощью ИИ и автоматизации для быстрого выявления угроз, расширения и углубления анализа угроз, а также для автоматизации устранения угроз. Объединение существующих инструментов в систему управления упрощает устранение угроз.

Всегда будьте осознанны

Ваш CSPM постоянно отслеживает состояние безопасности ваших облачных ресурсов в различных средах, включая Azure, AWS и Google Cloud. Автоматически оценивайте свои ресурсы на серверах, в контейнерах, базах данных и хранилищах. С помощью комплексного CSPM вы можете отслеживать рабочие нагрузки на серверах для внедрения индивидуальных мер безопасности и контроля доступа.

Предоставлять помощь и рекомендации

Получите представление о текущем состоянии и рекомендации по повышению уровня безопасности. Изменения в законодательстве и нормативных актах происходят регулярно, поэтому наличие CSPM, который отслеживает и автоматически применяет эти обновления, может повысить уровень безопасности и предотвратить распространенные ошибки в конфигурации. Инструменты CSPM могут комплексно анализировать облачную среду для выявления рисков, объединяя разрозненные данные. Такие меры помогают специалистам по безопасности заблаговременно сокращать поверхность атаки.

Благодаря возможностям постоянного мониторинга управление состоянием безопасности может:

— Определите размер своей облачной среды и следите за появлением дополнительных экземпляров или ресурсов хранения, таких как корзины S3.

— В мультиоблачных средах обеспечьте видимость политик и возможность их единообразного применения у всех поставщиков.

— Проверьте свои вычислительные ресурсы на наличие неправильных настроек и конфигураций, которые могут сделать их уязвимыми для взлома.

— Проверьте свои корзины для хранения на наличие неправильных настроек, которые могут привести к раскрытию данных.

— Проверка на соответствие нормативным требованиям, таким как HIPAA, PCI DSS и GDPR.

Проводите оценку рисков с помощью систем и внешних стандартов, разработанных такими организациями, как Международная организация по стандартизации (ISO) и Национальный институт стандартов и технологий (NIST). Убедитесь, что рабочие задачи (например, смена персонала) выполняются должным образом. Исправление может быть автоматизировано или выполнено одним нажатием кнопки.

Неправильные конфигурации и CSPM

Неправильные настройки — распространённая и зачастую непреднамеренная ошибка. Неправильные настройки часто возникают из-за ненадлежащего управления различными взаимосвязанными ресурсами, такими как Kubernetes с открытым исходным кодом, бессерверные операции и контейнеры.

Поскольку общедоступная облачная инфраструктура программируется с помощью API, неправильная настройка представляет значительную опасность для предприятий. Зачастую это происходит из-за недостаточной видимости и неосведомлённости о том, какие ресурсы взаимодействуют друг с другом, что приводит к применению разрешений от одного ресурса к другому без учёта минимально необходимых разрешений.

Почему возникают неправильные настройки?

Неправильная настройка облака происходит, когда система безопасности облачной инфраструктуры не соответствует политике настройки, что может напрямую поставить под угрозу безопасность инфраструктуры. CSPM позволяет отслеживать облачные среды, чтобы быстро выявлять ошибки конфигурации и устранять их с помощью автоматизации.

Инструменты CSPM управляют рисками и снижают их на всей поверхности атаки в облаке организации с помощью:

— Видимость

— Непрерывный мониторинг

— Обнаружение угроз и защита

— Рабочие процессы по устранению неполадок

Рекомендации

Все рабочие нагрузки, которые не соответствуют требованиям безопасности или имеют выявленные риски, помечаются и помещаются в приоритетный список для исправления. Затем вы можете использовать эти рекомендации, чтобы снизить вероятность атак на каждый из ваших ресурсов.

Есть четыре важных фактора, которые делают возможными неправильные настройки:

— Облако легко программируется

Облачная инфраструктура — это то, что управляет API и облачными приложениями. Эти приложения и API позволяют разработчикам свободно масштабировать или сокращать большие инфраструктуры с помощью кода. Из-за того, что масштабировать или сокращать инфраструктуру в облаке очень просто, разработчикам так же легко допустить ошибку в конфигурации и не заметить её.

— Новые услуги и технологии

В последнее время в облаке появилось множество новых сервисов и технологий. Микросервисы в сочетании с новыми технологиями, такими как контейнеры, Kubernetes и бессерверные функции Lambda, позволили управлять гораздо большим количеством ресурсов, чем традиционными серверами, базами данных и сетями. Увеличение количества типов ресурсов, которыми необходимо управлять, может привести к неправильной настройке, если не проводить регулярную проверку и мониторинг.

— Принципиально Новые технологии

В облаке используются принципиально новые технологии, которые существенно отличаются от традиционных сред центров обработки данных. Например, разрешения IAM (управление идентификацией и доступом) позволяют пользователям получать доступ к ресурсам учётной записи независимо от сегментации сети.

В результате IAM может обеспечить новый вид горизонтального перемещения, которое не могут выявить существующие технологии безопасности. Организации обнаруживают, что их ИТ-командам может не хватать опыта в области облачной безопасности по мере расширения использования облачных технологий.

— Взаимодействуйте с экспертами по кибербезопасности

— Применяйте план облачной защиты

Большой размер и сложность окружающей среды

Из-за обширности и сложности корпоративных сред крайне трудно понять, что и где работает. Типичная архитектура общедоступного облака может включать сотни или даже десятки тысяч ресурсов, регионов и учётных записей. Разработчику очень просто создать неправильный ресурс, предоставить слишком много разрешений или забыть о том, где находятся ключевые облачные ресурсы.

Управление состоянием безопасности SaaS

Управление состоянием безопасности SaaS (SSPM- SaaS Security Posture Management) — это набор автоматизированных инструментов и средств автоматизации, которые позволяют службам безопасности и ИТ-отделам организаций отслеживать состояние безопасности своих SaaS-сред и управлять им.

В то время как CSPM анализирует уровень безопасности в общедоступном облаке или настройках IaaS, таких как AWS, SSPM изучает сервисы, в которых серверы (или рабочие нагрузки) не контролируются организацией, например Salesforce и Slack.

По мере того, как компании ускоряют перенос рабочих нагрузок и конфиденциальных данных в приложения SaaS, опасность непреднамеренного раскрытия информации, чрезмерно широких прав доступа, которые приводят к утечке данных, несоблюдению требований и таким угрозам, как вредоносное ПО, остаётся серьёзной проблемой.

SSPM предоставляет предприятиям решения для мониторинга, контроля и управления соответствием требованиям для защиты критически важных рабочих нагрузок и управления ими. С помощью SSPM вы получаете представление о рисках, связанных с вашим стеком SaaS, и возможностях, необходимых для быстрого обнаружения неправильных настроек, обеспечения соответствия требованиям и защиты от внутренних угроз и вредоносных программ.

В системах SaaS хранятся огромные объёмы деловых, личных и других конфиденциальных данных. Поставщикам часто не хватает навыков или ресурсов для внедрения всех необходимых стандартов безопасности для своих пользователей.

Сложно разработать и внедрить эти различные стандарты безопасности для всех приложений и пользователей. SSPM упрощает этот процесс, постоянно сравнивая конфигурацию SaaS-приложений с заранее созданными политическими профилями, соответствующими отраслевым стандартам, таким как CIS или NIST.

Неправильные настройки быстро обнаруживаются, и пользователи могут даже автоматически исправлять проблемы до того, как ими воспользуются злоумышленники.

Преимущества SSPM (SaaS Security Posture Management)

Основные преимущества перечислены ниже:

— Позволяет легко управлять соответствием требованиям

Из-за очень динамичного и распределённого характера сервисов SaaS предприятиям пришлось пересмотреть свой подход к соблюдению нормативных требований. SSPM регулярно оценивает соблюдение внутренних стандартов, а также законодательных норм.

Если определённые методы обработки данных или стандарты шифрования не подходят, SSPM уведомит об этом администраторов и даже может автоматически принять меры по исправлению ситуации.

— Позволяет избежать неправильной настройки облака

В последние годы количество утечек данных резко возросло, и зачастую они происходят из-за неправильной настройки облачных сервисов. Несмотря на то, что ресурсы часто настраиваются должным образом в первый день, со временем они часто изменяются и перестают соответствовать требованиям.

Независимо от изменений в приложении, данных, которые оно хранит, или пользователей, которые получают к нему доступ, крайне важно регулярно поддерживать безопасность настроек.

— Обнаруживает чрезмерно разрешительные настройки

Контроль над тем, у кого есть доступ к каким действиям в каких приложениях SaaS, является важнейшим компонентом надёжной системы безопасности SaaS. SSPM проверяет разрешения каждого пользователя и предупреждает пользователей с чрезмерно широкими правами. Это гарантирует, что определённые типы данных, систем, устройств и активов доступны только авторизованным сотрудникам.

CSPM по сравнению с другими облачными решениями безопасности

— CSPM и CIEM

CSPM необходим для того, чтобы ваша организация соблюдала требования к конфиденциальности данных и отраслевые нормы, а Cloud Infrastructure Entitlement Management (CIEM) отслеживает учётные записи, которые могут привести к краже учётных данных. CIEM эффективно управляет рисками безопасности, связанными с правами доступа для идентификационных данных (как для людей, так и для других пользователей).

— Оценка состояния безопасности облачной инфраструктуры (CISPA)

CISPA-системы сообщают о неправильных настройках и других проблемах с безопасностью. CSPM-системы также предупреждают о проблемах с безопасностью и автоматизируют процессы на нескольких уровнях, от простых задач до сложных процессов с использованием искусственного интеллекта, для обнаружения и устранения проблем, которые могут угрожать безопасности.

— Платформы защиты от облачной рабочей нагрузки (CWPPs)

CWPP защищают только рабочие нагрузки, а CSPM оценивают всю облачную среду. Кроме того, CSPM предлагают более сложную автоматизацию и управляемое восстановление, чем CWPP.

— Брокеры безопасности облачного доступа (CASBs)

CASB отслеживают инфраструктуры с помощью брандмауэров, обнаружения вредоносных программ, аутентификации и предотвращения потери данных. CSPM выполняет те же функции мониторинга и устанавливает политику для определения желаемой инфраструктуры. Затем CSPM проверяет, что вся сетевая активность поддерживает эту политику.

CSPM и сетевая безопасность

CSPM постоянно анализирует состояние безопасности ваших ресурсов на предмет соответствия рекомендациям по сетевой безопасности.

— CSPM и CNAPP

Платформа защиты облачных приложений (CNAPP) обеспечивает целостное представление о рисках облачной безопасности на одной платформе. Она включает в себя управление состоянием облачной безопасности (CSPM), безопасность облачных сервисов (CSNS), а также платформу защиты облачных рабочих нагрузок (CWPP).

Неверные настройки CSPM и облака

Одной из основных причин инцидентов, связанных с безопасностью в облаке, является неправильная настройка систем и инфраструктуры в облаке. Такие неправильные настройки создают уязвимости, позволяя получить несанкционированный доступ к системам и данным, и вызывают другие проблемы с безопасностью.

Разница между CSPM и SSPM

Управление состоянием безопасности в облаке (CSPM) оценивает состояние безопасности так же, как и SSPM, но вместо оценки SaaS-приложений это решение отслеживает такие сервисы, как Amazon Web Services (AWS), Microsoft Azure, Google Cloud и другие поставщики облачных услуг (CSP) в формате «инфраструктура как услуга» (IaaS).

CSPM отслеживает безопасность и соответствие требованиям ресурсов, которые представляют собой пользовательские облачные приложения и рабочие нагрузки, развёрнутые предприятиями в общедоступных облачных средах.

Инструменты CSPM также могут предлагать функции, которых нет в инструментах SSPM, например:

— Обнаружение уязвимостей

CSPM выявляет уязвимости в облачном программном обеспечении, которыми могут воспользоваться злоумышленники.

— Управление реагированием на инциденты

Некоторые технологии CSPM могут автоматически принимать меры для устранения текущих проблем с безопасностью.

Как инструменты CSPM и безопасность CSPM помогают укреплению информационной безопасности организации?

Инструменты CSPM и CSPM security защищают тремя различными способами:

— Обеспечение видимости

Инструменты CSPM хорошо справляются с обнаружением неправильных настроек. Инструменты CSPM и безопасность CSPM могут обеспечить чёткое представление обо всех ваших конфигурациях и облачных ресурсах. Он также может отслеживать изменения в метаданных или политиках и позволяет пользователю управлять всеми этими политиками с помощью центральной консоли.

— Исправления

Инструменты CSPM для обеспечения безопасности и управления могут устранять неправильные настройки в облачной архитектуре и управлять ими. Это достигается за счет сравнения ваших облачных конфигураций с отраслевыми стандартами и другими заранее определенными правилами. Инструменты CSPM снижают вероятность человеческой ошибки, которая обычно повышает риск утечки данных.

— Обнаружение Угроз

Благодаря своей способности отслеживать облачные среды, инструменты CSPM могут обнаруживать аномалии или несанкционированный доступ в режиме реального времени и немедленно реагировать на любые вредоносные действия.

Заключение

Чтобы получить полное представление о наиболее уязвимых местах вашей организации, важно понимать, что риски представляют собой взаимосвязанную цепочку. Если проанализировать их ключевые особенности, становится ясно, насколько ценными и необходимыми являются инструменты CSPM. Они взаимосвязаны и работают следующим образом:

— Использование возможностей автоматизации для немедленного внесения исправлений без участия человека.

— Мониторинг, оценка и управление платформами IaaS, SaaS и PaaS в локальных, гибридных облачных и мультиоблачных средах.

— Выявление и автоматическое исправление неправильных настроек облака.

— Обеспечение прозрачности политики и надежного ее применения всеми поставщиками.

— Поиск обновлений нормативных требований, таких как HIPAA, PCI DSS и GDPR, и рекомендации по новым требованиям безопасности.

— Проведение оценки рисков в соответствии с системами и внешними стандартами, разработанными такими организациями, как Международная организация по стандартизации (ISO) и Национальный институт стандартов и технологий (NIST).

— Сканирование ваших систем на наличие неправильных настроек и конфигураций, которые могут сделать их уязвимыми для атак, и предоставление рекомендаций по устранению проблем.

CSPM можно использовать для оценки и усиления конфигурации безопасности ваших облачных ресурсов. Получите интегрированную защиту для своих мультиоблачных приложений и ресурсов с помощью Microsoft Defender для облака (ранее — Центр безопасности Azure). Defender для облака предоставляет обзор безопасности вашей гибридной и мультиоблачной среды в режиме реального времени. Ознакомьтесь с рекомендациями по обеспечению безопасности ваших сервисов, получайте оповещения об угрозах для ваших рабочих нагрузок и быстро передавайте всю эту информацию в Microsoft Sentinel (ранее — Azure Sentinel) для интеллектуального выявления угроз.

@@@@@@@@@@@@@@@@@@@@@@@@@@@

— XaaS

Поскольку сфера технологий и бизнеса продолжает стремительно развиваться, концепция «всё как услуга» (XaaS) стала революционной. Она представляет собой переход к более гибким, масштабируемым и предоставляемым по требованию услугам, чем традиционные модели.

Такой подход обеспечивает компаниям беспрецедентную гибкость, эффективность и экономичность, предоставляя доступ к широкому спектру услуг, от программного обеспечения и инфраструктуры до платформ и многого другого, в виде готовых к использованию и настраиваемых решений. В этой главе представлена суть XaaS, его значение для бизнеса и множество возможностей, которые он открывает в современную цифровую эпоху.

XaaS — это комплексный подход к предоставлению широкого спектра услуг через Интернет, часто на основе подписки. По сути, XaaS позволяет компаниям получать доступ к необходимым ресурсам и возможностям и использовать их без необходимости предварительных вложений в оборудование, лицензии на программное обеспечение или инфраструктуру.

Организации могут использовать облачные решения и платить только за те услуги, которые они потребляют, при необходимости увеличивая или уменьшая ресурсы в соответствии со своими требованиями. Такой переход от владения к моделям на основе подписки не только сокращает расходы, но и обеспечивает большую гибкость, масштабируемость и доступ к передовым технологиям и экспертным знаниям.

Рассмотрим, как работает XaaS

XaaS работает по принципу предоставления доступа к различным интернет-сервисам по подписке или за плату по факту использования, часто через облачные платформы. Базовая инфраструктура, программное обеспечение или платформа размещаются и управляются поставщиком услуг, освобождая клиентов от необходимости поддерживать собственную ИТ-инфраструктуру.

Ключевые аспекты предложений XaaS:

Предоставление услуг: поставщики услуг размещают и управляют необходимой инфраструктурой, программным обеспечением или компонентами платформы, необходимыми для предоставления услуг. Сюда входят серверы, хранилища, сетевое оборудование и программные приложения.

Доступ и использование: клиенты получают доступ к сервисам через веб-интерфейсы или API, как правило, с помощью стандартного подключения к интернету. Затем они могут использовать сервисы в соответствии со своими конкретными потребностями и требованиями к использованию.

Масштабируемость: клиенты могут легко увеличивать или уменьшать объем использования сервисов в зависимости от спроса без необходимости значительных первоначальных вложений в дополнительное оборудование или лицензии на программное обеспечение. Такая гибкость позволяет организациям быстро адаптироваться к меняющимся условиям бизнеса и справляться с колебаниями рабочей нагрузки.

Настройка и интеграция: многие предложения XaaS можно настраивать и интегрировать с существующими системами и рабочими процессами, что позволяет организациям адаптировать сервисы под свои уникальные требования.

Безопасность и соответствие требованиям: поставщики услуг обычно внедряют надежные меры безопасности для защиты данных клиентов и обеспечения соответствия отраслевым нормам и стандартам.

Управление услугами и поддержка: поскольку поставщики услуг отвечают за управление и обслуживание базовой инфраструктуры и программного обеспечения, они обеспечивают надёжную работу и бесперебойное предоставление услуг.

Типы XaaS

XaaS существует в различных формах, каждая из которых предоставляет конкретные услуги и функции для удовлетворения разнообразных потребностей предприятий и организаций:

Программное обеспечение как услуга (SaaS): предоставляет программные приложения через Интернет по подписке, избавляя пользователей от необходимости устанавливать, обслуживать или обновлять программное обеспечение локально. В качестве примеров можно привести почтовые сервисы, такие как Gmail, инструменты для совместной работы, такие как Microsoft Office 365, и программное обеспечение для управления взаимоотношениями с клиентами (CRM), такое как Salesforce.

Инфраструктура как услуга (IaaS): предоставляет виртуальные вычислительные ресурсы через цифровую сеть, включая серверы, хранилища и виртуальные машины, в виде масштабируемых услуг по требованию. Клиенты могут предоставлять компоненты инфраструктуры и управлять ими по мере необходимости без использования физического оборудования. В качестве примеров можно привести Amazon Web Services (AWS), Microsoft Azure и Google Cloud Platform (GCP).

Платформа как услуга (PaaS): предлагает платформы и инструменты для разработки через Интернет, позволяющие создавать, развертывать приложения и управлять ими без сложных процедур управления инфраструктурой. Поставщики PaaS обычно предлагают фреймворки для разработки, базы данных, промежуточное ПО и другие инструменты для поддержки разработки и развертывания приложений. В качестве примеров можно привести Heroku, Google App Engine и Microsoft Azure App Service.

Функция как услуга (FaaS): также известная как бессерверные вычисления, FaaS позволяет разработчикам развертывать отдельные функции или фрагменты кода в ответ на события или триггеры, не управляя базовой инфраструктурой. Платформы FaaS автоматически масштабируются и распределяют ресурсы в зависимости от спроса, обеспечивая эффективное и экономичное выполнение кода. Примерами являются AWS Lambda, Azure Functions и Google Cloud Functions.

Бэкенд как услуга (BaaS): предоставляет бэкенд-сервисы и инфраструктуру для разработки мобильных и веб-приложений, включая хранение данных, аутентификацию пользователей, push-уведомления и другие распространённые бэкенд-функции. Абстрагируя сложности бэкенд-разработки, SaaS-платформы позволяют разработчикам сосредоточиться на создании фронтендов. Существует несколько примеров, в том числе Firebase, Parse и Kinvey.

Безопасность как услуга (SECaaS): предлагает услуги по обеспечению безопасности для защиты сетей, систем и данных от киберугроз и уязвимостей. Поставщики услуг SECaaS предоставляют такие услуги, как брандмауэр как услуга, антивирус как услуга, системы обнаружения и предотвращения вторжений, а также управление информацией о безопасности и событиями безопасности (SIEM) по подписке. В качестве примеров можно привести Cisco Umbrella, Palo Alto Networks Prisma и IBM Security.

Данные как услуга (DaaS): предоставляют доступ к источникам данных и интернет-базам данных в виде масштабируемых сервисов по запросу. Предложения DaaS могут включать аналитику данных, хранение данных, интеграцию данных и сервисы визуализации данных, позволяя организациям получать доступ к большим объемам данных и анализировать их без необходимости предварительных инвестиций в инфраструктуру или специалистов. В качестве примеров можно привести Snowflake, Amazon Redshift и Google BigQuery.

Рабочий стол как услуга (DaaS): предоставляет конечным пользователям виртуальные среды рабочих столов, позволяя им получать доступ к своим рабочим столам и приложениям с любого устройства, подключенного к интернету. Поставщики DaaS размещают и управляют инфраструктурой виртуальных рабочих столов (VDI), операционными системами, приложениями и данными, предоставляя гибкую и масштабируемую альтернативу традиционным настольным вычислениям. В качестве примеров можно привести VMware Horizon Cloud, Citrix Virtual Apps and Desktops и Microsoft Windows Virtual Desktop (WVD).

Преимущества XaaS

XaaS предлагает множество преимуществ, таких как:

Экономия затрат Переход от локального программного обеспечения к моделям подписки SaaS. Перед миграцией проведите тщательный анализ затрат и выгод. Регулярно пересматривайте цены и изучайте конкурентные предложения.

Масштабируемость Увеличение пропускной способности облачного сервера в пиковые периоды и сокращение масштабов при низком спросе. Отслеживайте тенденции использования и планируйте масштабирование соответствующим образом. Внедряйте решения для автоматического масштабирования там, где это возможно.

Гибкость и маневренность Быстрое развертывание облачных инструментов совместной работы для удаленных команд. Инвестируйте в надёжные процессы управления изменениями. Обеспечьте обучение персонала для эффективного внедрения. Регулярно оценивайте и обновляйте предложения услуг.

Доступность и удобство Доступ к облачному программному обеспечению осуществляется с любого устройства, подключенного к Интернету. Внедрите протоколы многофакторной аутентификации и шифрования. Постоянно проводите аудит и обновляйте меры безопасности.

Сосредоточьтесь на ключевых компетенциях Передайте управление ИТ-инфраструктурой на аутсорсинг, чтобы сосредоточиться на разработке продукта. Четко определите соглашения об уровне обслуживания (SLA) с поставщиками. Регулярно оценивайте работу поставщиков и изучайте альтернативные варианты.

Недостатки XaaS

Хотя XaaS предлагает множество преимуществ, он также сопряжён с важными особенностями, такими как:

Проблемы безопасности данных Хранение конфиденциальных данных клиентов в облачной CRM-системе. Важно шифровать данные как при передаче, так и при хранении. Регулярно проверяйте протоколы безопасности и проводите оценку уязвимостей.

Зависимость от поставщиков услуг Полагаться на облачного поставщика электронной почты для критически важных коммуникаций. Разработайте планы действий на случай сбоев в работе сервисов, включая резервные решения и альтернативные каналы связи.

Проблемы интеграции Интеграция облачной ERP-системы с устаревшими локальными базами данных.

Перед интеграцией проведите тщательную оценку совместимости. Инвестируйте в решения для промежуточного программного обеспечения или разработку API для бесперебойной интеграции.

Ограниченная настройка Внедрение облачного инструмента управления проектами с фиксированными функциями. Уделяйте приоритетное внимание сбору требований и оценке поставщиков в соответствии с потребностями бизнеса. Изучите возможности настройки выбранной платформы.

Привязка к поставщику Выбор единого облачного провайдера для удовлетворения всех потребностей инфраструктуры. Заключайте гибкие контракты с условиями выхода из системы и возможностью переноса данных. Внедряйте мультиоблачные или гибридные облачные стратегии для снижения рисков, связанных с зависимостью от поставщиков.

XaaS и облачная безопасность

Облачная безопасность является важнейшим аспектом внедрения XaaS, поскольку организации доверяют конфиденциальные данные и критически важные бизнес-функции сторонним поставщикам услуг. Эти поставщики отвечают за защиту инфраструктуры, приложений и данных от киберугроз, уязвимостей и несанкционированного доступа.

Ключевые соображения для облачной безопасности в средах XaaS включают:

Шифрование данных: шифрование данных помогает защитить конфиденциальную информацию от несанкционированного доступа. Поставщики XaaS должны внедрять надёжные механизмы шифрования для обеспечения целостности и конфиденциальности данных.

Контроль доступа: внедрение надежных механизмов контроля доступа и аутентификации гарантирует, что только авторизованные пользователи смогут получить доступ к конфиденциальным данным и ресурсам. Многофакторная аутентификация, контроль доступа на основе ролей (RBAC) и принцип наименьших привилегий помогают свести к минимуму риск несанкционированного доступа.

Соответствие нормативным требованиям: поставщики XaaS должны соблюдать отраслевые нормы и стандарты, регулирующие защиту данных, конфиденциальность и безопасность. Сертификаты соответствия, такие как ISO/IEC 27001, SOC 2, GDPR и т. д., демонстрируют стремление поставщика соответствовать строгим требованиям безопасности и конфиденциальности.

Резидентность и суверенитет данных: при выборе поставщиков XaaS организациям следует учитывать требования к суверенитету и резидентности данных, чтобы обеспечить хранение и обработку данных в соответствии с действующими правовыми и нормативными требованиями. Поставщики должны предлагать прозрачные методы управления данными и четкие правила обработки данных для решения этих проблем.

Мониторинг безопасности и реагирование на инциденты: непрерывный мониторинг облачных сред и механизмы проактивного обнаружения угроз помогают выявлять и устранять угрозы безопасности в режиме реального времени. У поставщиков XaaS должны быть налажены эффективные процессы реагирования на инциденты, чтобы оперативно реагировать на инциденты, связанные с безопасностью, минимизировать последствия и восстанавливать нормальную работу сервисов.

Управление рисками, связанными с поставщиками: оценка уровня безопасности и надежности поставщиков XaaS необходима для снижения рисков, связанных с поставщиками. Организации должны проводить тщательную проверку, включая оценку безопасности, аудит и анализ сертификатов поставщиков и отчетов о соблюдении требований.

Кибергигиена: Распространенные методы обеспечения Кибербезопасности

Секретная служба рекомендует соблюдать следующие меры предосторожности при использовании устройств, подключённых к Интернету. Выполнение каждого из этих шагов поможет лучше защитить себя от онлайн-мошенничества.

Пароли учетных записей

• Регулярно меняйте пароли и используйте разные пароли для каждой системы и учётной записи.

• Используйте многофакторную аутентификацию (MFA) для дополнительной защиты при входе в систему, если это возможно.

•Немедленно измените заводские пароли на устройствах, включая маршрутизаторы Wi-Fi и интеллектуальные устройства.

•Используйте ответы, известные только вам, в качестве контрольных вопросов.

Программное обеспечение и приложения

• Устанавливайте обновления операционной системы, как только они становятся доступными для всех устройств.

• Устанавливайте антивирусное программное обеспечение и обновляйте антивирусные базы данных, как только они становятся доступными.

• Устанавливайте только надёжные приложения и регулярно обновляйте их.

• Используйте расширенные настройки конфиденциальности в социальных сетях.

Онлайн-активность и транзакции

• Обновляйте браузеры, как только они станут доступны на всех устройствах.

• Используйте надежные и легитимные веб-сайты.

• Используйте программное обеспечение для блокировки рекламы, чтобы снизить вероятность получения вредоносной рекламы или перенаправления на вредоносные веб-сайты.

• Помните о размещении личной информации в социальных сетях.

• Убедитесь, что веб-сайты зашифрованы. Найдите «https» и значок блокировки в адресной строке веб-сайта.

• Не игнорируйте уведомления об ошибках сертификата.

• Всегда проверяйте адреса веб-сайтов, вводя их вручную.

• Используйте защиту WPA2 или WPA3 для беспроводных сетей.

• Не транслируйте своё имя беспроводной сети — идентификатор набора служб (SSID).

Социальная инженерия: Фишинг и разгром

• Никогда не отвечайте на электронные письма или текстовые сообщения из неизвестных источников.

• Никогда не переходите по ссылкам и не открывайте вложения из неизвестных источников.

• Никогда не отвечайте «Стоп» или «Нет», чтобы предотвратить получение будущих текстовых сообщений. Вместо этого удалите сообщение.

• Никогда не делитесь своей финансовой или личной информацией (PII).

• Всегда читайте электронное письмо целиком и обращайте внимание на подозрительные признаки, такие как неправильная грамматика или замаскированные под настоящие адреса электронной почты.

• Всегда самостоятельно проверяйте, откуда поступил запрос на конфиденциальную информацию.

• Всегда самостоятельно вводите адрес веб-сайта, а не переходите по ссылке.

• Всегда помечайте электронное письмо из неизвестного источника как спам.

Мобильные и интеллектуальные устройства

• Регулярно меняйте пароли и используйте разные пароли для каждой системы и учётной записи.

• Включите блокировку экрана и шифрование устройства.

• Используйте биометрическую аутентификацию.

• Отключайте функции геолокации, когда они не используются.

• Отключайте Wi-Fi и Bluetooth, когда они не используются.

• Отключите AirDrop на устройствах Apple.

• Настройте автоматическое обновление устройств или обновление по мере доступности.

• Включите функцию «Найти устройство» или аналогичную функцию.

• Подумайте, необходимо ли смарт-устройствам постоянное подключение к Интернету.

Возможность подключения во время путешествий

• Регулярно меняйте пароли и используйте разные пароли для каждой системы и учётной записи.

• Избегайте подключения к общедоступным сетям Wi-Fi. Если вы используете общедоступный Wi-Fi, не передавайте конфиденциальную информацию или персональные данные.

• По возможности избегайте общественных зарядных станций.

• Используйте коммерчески доступный сервис виртуальной частной сети (VPN) для своих устройств.

• Не подключайте устройства к арендованным транспортным средствам (Bluetooth, Wi-Fi или USB).

• При необходимости используйте блоки питания для зарядки устройств.

Рекомендации по кибербезопасности

Кибергигиена имеет первостепенное значение для защиты ваших сетей, систем и данных от злоумышленников. Создание прочной основы кибербезопасности меры позволят вашей организации лучше защищать себя, обороняться и восстанавливаться после киберинцидентов.

Контрольный список кибергигиены

Обеспечение того, чтобы ваша организация внедряла, продвигала и контролировала соблюдение надлежащих мер кибергигиены, является важнейшим компонентом вашей системы кибербезопасности. В следующей таблице приведён список действий, которые ваша организация может предпринять для укрепления своей системы кибербезопасности с помощью усиленных мер защиты ваших сетей, систем и данных. Хотя ваша организация, возможно, не сможет выполнить все приведённые ниже действия, вам следует выполнять те из них, которые доступны и осуществимы, чтобы улучшить свою систему кибербезопасности.

Защита сети и конечных точек

— Защитите свой периметр с помощью антивирусного и антишпионского программного обеспечения, программ для управления мобильными угрозами, брандмауэров и систем обнаружения и предотвращения вторжений.

— Разделите свои сети на сегменты, чтобы предотвратить попадание трафика в конфиденциальные или ограниченные зоны.

— Постоянно отслеживайте шлюзы Интернета и мобильных устройств, сетевой трафик, точки беспроводного доступа и журналы аудита для выявления аномалий.

— Меняйте криптографические ключи, используемые для защиты ваших систем, аутентификации удалённых пользователей и ваших веб-сайтов.

— Контролируйте работу своего сервера системы доменных имён (DNS), чтобы ваш сайт оставался надёжным и вызывал доверие у пользователей.

— Внедрите защищённый DNS, чтобы защитить пользователей от случайного посещения потенциально вредоносных доменов в интернете.

— Внедрите систему управления информационной безопасностью и событиями безопасности (SIEM), чтобы обеспечить непрерывный мониторинг в реальном времени при наличии ресурсов.

Защита системы

— Внедрите автоматические обновления и исправления, особенно для служб и систем, подключённых к интернету, в свои прошивки, аппаратное обеспечение, программное обеспечение и операционные системы (ОС).

— Используйте пароли или надёжные пароли и храните их в безопасности и конфиденциальности.

— Обеспечьте многофакторную аутентификацию (MFA) для учётных записей и систем, особенно для тех, которые имеют административные привилегии.

— Используйте выделенные рабочие станции для учётных записей администраторов, на которых не разрешён просмотр веб-страниц или отправка электронной почты.

— Применяйте принцип наименьших привилегий, который гарантирует, что пользователям предоставляется только тот набор привилегий, который необходим для выполнения разрешённых задач.

— Просмотрите привилегии пользователей в системах и их права доступа к данным — особенно для пользователей с административными привилегиями — и удалите или отредактируйте ненужные.

— Управляйте мобильными устройствами с помощью решений для управления мобильными устройствами (MDM) или унифицированного управления конечными устройствами (UEM).

— Внедрите список разрешённых приложений, чтобы контролировать, кто или что может получить доступ к вашим сетям и системам.

— Разработайте план реагирования на инциденты и протестируйте его с помощью имитационных упражнений, чтобы убедиться, что вы сможете восстановить критически важные функции и своевременно выполнить восстановление.

— Регулярно создавайте резервные копии критически важных данных и систем в автономном режиме и убедитесь, что резервные копии изолированы от сетевых подключений.

— Периодически проверяйте резервные копии, чтобы обеспечить быстрое и успешное восстановление данных и систем.

— Проверьте сторонние приложения на наличие ненужных компонентов или функций и отключите их или сделайте так, чтобы для их включения требовалось вмешательство человека (например, макросы).

— Проведите и поддерживайте инвентаризацию аппаратных и программных средств вашей организации.

— Распределите свои активы по категориям, чтобы определить наиболее важные для операционной деятельности вашей организации.

— Обучение пользователей и дополнительные меры защиты

— Проведите индивидуальное обучение своих сотрудников по кибербезопасности, чтобы они знали, как реагировать на подозрительные ссылки или электронные письма.

— Проведите для своих сотрудников тренинг по вопросам конфиденциальности, чтобы снизить риск нарушения конфиденциальности.

— Найдите источники информации, относящиеся к вашей организации, или подпишитесь на рассылку, чтобы быть в курсе угроз, которые могут повлиять на вашу организацию.

— Составьте внутренний и внешний список контактов ключевых заинтересованных сторон, чтобы оповещать их во время пиковых нагрузок.

Фундаментальные элементы кибергигиены

Кибергигиена, или ИТ-гигиена, включает в себя передовые методы, связанные с кибербезопасностью, для защиты вашей сети и инфраструктуры от угроз. Она служит основой для проактивного, системного и комплексного подхода к защите данных. Уделив время созданию приоритетов в области кибергигиены, вы не дадите злоумышленникам возможности воспользоваться пробелами и уязвимостями в вашей сети.

Однако повысить уровень кибербезопасности организации — сложная задача, и решения проблем, связанных с технологиями, как это делают многие организации, недостаточно. Процесс должен начинаться с внедрения основных методов кибербезопасности, которые, по нашему мнению, являются основой кибергигиены. Как и в случае с личной гигиеной, цель кибергигиены — начать с базовых действий, которые с наибольшей вероятностью будут способствовать хорошему самочувствию. Несмотря на распространённое мнение, что кибергигиена — это исключительно работа ИТ-отдела, кибергигиена должна затрагивать все отделы и быть частью корпоративной культуры.

Кибергигиена — это обширная и важная тема для ИТ-безопасности, и, честно говоря, у ведущих консалтинговых фирм в сфере ИТ-безопасности часто бывают разные представления о ней. Кроме того, их взгляды на соблюдение кибергигиены отличаются и могут быть довольно расплывчатыми и сложными.

Эксперты по кибербезопасности со всего мира могли бы поспорить о том, какие элементы наиболее важны для улучшения общей безопасности организации и её кибергигиены. Тем не менее, необходимо объединять усилия, чтобы соблюдать основные принципы, которые являются ключевыми.

Во многих отношениях кибергигиена — это синоним уровня безопасности организации; если у организации высокий уровень безопасности и она хорошо справляется с требованиями Регуляторов, то и её кибергигиена будет на надлежащем уровне.

Внедрение надежной системы кибербезопасности

Концепции кибербезопасности представляют собой план действий по выявлению, определению приоритетности и созданию постоянного плана для организаций, который позволит со временем улучшить их положение с помощью аудита и оценки. Давайте начнём с CIS 20; это, безусловно, самая простая для понимания, использования и оценки концепция, в которой гораздо меньше пунктов для оценки, чем в NIST и ISO.

Топ-20 критически важных мер безопасности Центра интернет-безопасности (CIS) (ранее известных как Топ-20 критически важных мер безопасности SANS) — это приоритетный набор передовых методов, созданных для предотвращения наиболее распространённых и опасных угроз современности. Он был разработан ведущими экспертами по безопасности со всего мира и ежегодно совершенствуется и проверяется. Одним из ключевых моментов здесь является борьба с современными угрозами.

Компания CIS разработала набор руководящих принципов золотого стандарта для организаций, сталкивающихся с проблемами безопасности данных, — критические средства контроля безопасности, которые упрощают ИТ-операции и помогают группам безопасности оставаться сосредоточенными на главном. Эти мероприятия гарантируют, что средства контроля CIS станут не просто очередным списком полезных дел, но и приоритетным, высоконаправленным набором действий с сетью поддержки сообщества, чтобы сделать их реализуемыми, полезными, масштабируемыми и соответствующими всем отраслевым или государственным требованиям безопасности. Стратегия обороны стран СНГ основана на трех ключевых моментах:

— Уменьшение поверхности атаки за счет ужесточения конфигурации устройства.

— Выявление уязвимых компьютеров для предотвращения долгосрочных угроз в сети организации.

— Распределение атакующих и создание возможностей защиты и реагирования.

Исследование предыдущих мер CIS показало, что 85% киберинцидентов можно предотвратить, применив только первые пять мер.

Начать работу с любой из этих платформ довольно просто. Все платформы, по сути, начинаются с того, что вы задаёте себе эти вопросы, чтобы оценить, насколько хорошо организация управляет киберрисками:

— Знаете ли вы, что подключено к вашим компьютерам и сетям?

— Знаете ли вы, какое программное обеспечение работает в ваших системах и сетях?

— Настраиваете ли вы свои компьютеры с учетом требований безопасности?

— Управляете ли вы тем, кто имеет доступ к конфиденциальной информации или кто обладает дополнительными привилегиями?

— Ясно ли вашим сотрудникам их роль в защите вашей организации от киберинцидентов?

Лучшие практики управления уязвимостями имеют решающее значение

Управление уязвимостями существует с целью быстрого выявления и устранения уязвимостей в системах до того, как они будут использованы. Уязвимости — это, по сути, слабые места в программном обеспечении, которые могут привести к тому, что система или сеть могут быть использованы злоумышленниками. Эти уязвимости необходимо непрерывно выявлять, оценивать и исправлять для обеспечения постоянной безопасности. Старый процесс исправлений по регулярному графику, каждую неделю, месяц или чаще, сделает организации уязвимыми.

Чтобы создать и поддерживать высокий уровень безопасности, специалисты по безопасности должны хорошо разбираться в уязвимостях своих систем, а также в процессе их быстрого устранения. Если уязвимости не выявляются и не устраняются, компании остаются уязвимыми для атак.

Согласно недавнему отчёту Verizon о расследовании утечек данных, «98% инцидентов, связанных с безопасностью, и 88% утечек данных по-прежнему происходят по одной из девяти схем». Понимание и принятие мер по защите от распространённых схем и подходов, которые злоумышленники используют для заражения вашей системы, значительно повысят уровень безопасности вашей компании. Самый важный способ сделать это — регулярно проверять наличие известных уязвимостей. Для устранения этих распространённых уязвимостей производители программного обеспечения часто выпускают исправления.

Развитие возможностей реагирования на инциденты

Согласно опросу HSB, проведённому компанией Zogby Analytics среди 403 руководителей высшего звена, почти треть компаний подверглась взлому в прошлом году. HSB, ведущий поставщик услуг киберстрахования для компаний и потребителей, предположил, что с увеличением объёма персональных и деловых данных, доступных в интернете, пропорционально возрастёт и риск утечки данных. Финансовые последствия утечки данных, о которых сообщалось в ходе опроса, также были значительными: 27% организаций-жертв потратили от 5000 до 50 000 долларов на устранение последствий утечки, а 30% — от 50 000 до 100 000 долларов.

Опрос также показал, что 51% руководителей считают, что у их сотрудников по ИТ-безопасности «не было плана» действий в случае взлома, 41% не обладают необходимыми знаниями для адекватной реакции на взлом, а 38% не хватает ресурсов.

Институт Понемона шокировал индустрию кибербезопасности несколько лет назад, когда опубликовал результаты опроса 567 руководителей, из которых 43% сообщили, что за последние 12 месяцев они столкнулись с утечкой данных или, возможно, с инцидентом, связанным с безопасностью. Хотя инциденты, связанные с безопасностью, и утечки данных — это не одно и то же, тенденция и любой приблизительный анализ рисуют довольно мрачную картину: число организаций, которые сильно пострадали от кибератак, стремительно растёт.

Опрос Ponemon также показал, что 68% респондентов чувствовали себя неподготовленными к реагированию на утечку данных, а 30% респондентов считали, что их план реагирования на утечку данных совершенно неэффективен. Очевидно, что реагирование на инциденты, связанные с безопасностью, не улучшилось пропорционально сложности атак и их количеству.

Почему соблюдение кибергигиены так важно для защиты организаций от атак

Согласно недавнему опросу Forrester Consulting, 94% руководителей служб безопасности и бизнеса сообщили, что их организации в прошлом году столкнулись с «влияющими на бизнес» кибератаками или компрометацией. Согласно опросу, «влияющей на бизнес» считается атака, которая привела к потере клиентов, сотрудников или конфиденциальных данных (PII). Кроме того, сюда можно отнести любое прерывание повседневной деятельности, выплату выкупа или другие финансовые потери или кражу интеллектуальной собственности.

Это очень внушительная цифра, особенно если говорить с руководителями высшего звена. Специалисты по безопасности теперь могут обращаться к топ-менеджменту и предоставлять доказательства того, что кибератаки повлияют на их бизнес и что они должны что-то с этим делать».

В то же время угрозы выходят за рамки технологий и внешних хакеров. Человеческая ошибка часто является первопричиной взломов. Киберпреступники больше не взламывают системы — они входят в них, используя слабые, стандартные или скомпрометированные пароли. Как только они нарушают меры безопасности, злоумышленники могут нанести реальный ущерб, перемещаясь по сети и получая привилегированный доступ к критически важной инфраструктуре и конфиденциальным, потенциально ценным данным.

ИТ-отдел в одиночку не может предотвратить атаки на основе личных данных. В конечном счете, это общая ответственность всех сотрудников, от руководства до летних стажеров, а также партнеров и подрядчиков. Если посмотреть на самые крупные атаки программ-вымогателей, которые произошли, элементарная кибергигиена могла бы предотвратить подавляющее большинство из них, лишив их способности перемещаться вбок. Тщательная сегментация сети, мониторинг сетевой безопасности, модели нулевого доверия, многофакторная аутентификация — всё это и многое другое обеспечивает эффективную информационную безопасность.

Нужно начинать с основ кибергигиены, продвигаться вперёд, и по мере предотвращения самых простых угроз становиться всё более и более защищёнными и в конечном итоге предотвращать подавляющее большинство таких атак.

Заключение

Уязвимости в системе безопасности — это слабые места в приложениях, системах, людях или процессах, которые позволяют злоумышленникам скомпрометировать систему и информацию, которую она должна защищать. Сегодня для минимизации поверхности атаки и общего уровня риска требуется непрерывный подход, который повышает осведомлённость об уязвимостях и позволяет быстро устранять их.

Многие руководители служб безопасности считают кибергигиену чем-то скорее теоретическим, чем измеримым, и стремятся определить и поставить цели по её улучшению. Большинство специалистов в области ИТ-безопасности или кибербезопасности понимают, что сложно оценить стоимость систем, судебные издержки, ущерб, нанесённый бренду, выплаты за программы-вымогатели, потери данных, штрафы за несоблюдение требований и многие другие труднооцениваемые переменные.

Таким образом, передовые методы кибергигиены часто не внедряются и не оцениваются из-за их сложности, стоимости, неосязаемой выгоды и отсутствия стандартизированного плана. Однако внедрение передовых методов кибергигиены в крупнейших и наиболее сложных организациях мира позволило нам с уверенностью предложить нашим читателям начать с хорошей программы управления уязвимостями, оценки состояния безопасности и внедрения процессов реагирования на инциденты.

В заключение, XaaS представляет собой смену парадигмы в том, как предприятия получают доступ к технологическим услугам и потребляют их, предлагая множество преимуществ и открывая новые возможности. Организации также должны справляться с такими проблемами, как безопасность данных, зависимость от поставщика, сложности интеграции и ограничения по настройке. Тщательно оценивая преимущества и недостатки внедрения XaaS, предприятия могут принимать обоснованные решения для использования всего потенциала предложений XaaS при одновременном снижении рисков и обеспечении успешной интеграции в свои ИТ-экосистемы.

В конечном счёте XaaS даёт организациям возможность проводить цифровую трансформацию, повышать конкурентоспособность и добиваться устойчивого роста.

@@@@@@@@@@@@@@@@@@@@@@@@@@@

— Управление конфигурацией безопасности (Security Configuration Management, SCM)

Современные ИТ-ландшафты требуют согласованного взаимодействия ИТ-ресурсов, сетевых инфраструктур, аппаратных и программных приложений и различных типов сервисов. Ключ к высокопроизводительной и безопасной работе лежит в правильной настройке всех задействованных систем, компонентов и приложений. Новый элемент управления 8.9 «Управление конфигурацией» в обновленной версии стандарта ISO 27001:2022 формулирует соответствующие меры безопасности для разработки, внедрения и регулярного пересмотра управления конфигурацией. В этой статье блога рассказывается о важности управления конфигурацией в сфере информационной безопасности в условиях растущих рисков и о содержании нового элемента управления безопасностью.

Управление конфигурацией безопасности (SCM) является критически важным вопросом для организаций и фундаментальной частью многих систем кибербезопасности. Рассмотрим такой сценарий: член команды настраивает аппаратное обеспечение на своем персональном ноутбуке, чтобы повысить производительность программного обеспечения. Однако это изменение приводит к непредвиденным проблемам, когда программное обеспечение впоследствии развертывается в производственной среде. Что еще хуже, это открывает злоумышленникам возможность воспользоваться неправильной настройкой и получить несанкционированный доступ, подвергая риску информационную безопасность вашей компании.

ИТ-команды часто сталкиваются с фундаментальным вопросом: «Какое у нас есть оборудование и программное обеспечение и как их защитить?» Управление конфигурацией безопасности в сфере кибербезопасности дает ответ на этот вопрос, позволяя отслеживать каждое вносимое вами изменение. Оно отслеживает отдельные элементы конфигурации — то есть любые ресурсы, задействованные в предоставлении ИТ-услуг, — чтобы обеспечить оптимальную производительность систем при внесении изменений с течением времени.

Несмотря на то, что на это часто не обращают внимания, управление конфигурацией необходимо для работы системы. Но с чего начать? Какой подход лучше всего подходит для вашей команды? И как эффективно решить проблему SCM без значительных затрат времени и денег? Независимо от того, являетесь ли вы представителем малого бизнеса или крупной корпорации, эта статья поможет вам разобраться в сложностях, связанных с внедрением и поддержкой процесса управления конфигурацией, который повышает контроль, стабильность и безопасность информационных систем вашей организации.

Управление конфигурацией в сфере информационной безопасности является важным инструментом обеспечения безопасности и вносит значительный вклад в сокращение брешей в системе безопасности, вызванных неправильными настройками. Систематический подход к управлению конфигурацией снижает нагрузку на внутренние команды и способствует эффективной работе ИТ-специалистов, а также укреплению систем и обеспечению доступности информации и конфиденциальных данных. Положительный эффект, например, в области защиты персональных данных также очевиден.