Boldon James: Πως μπορούν οι εταιρείες να δουν αισθητή διαφορά στη διαχείριση των κινδύνων ασφαλείας του enterprise cloud και της συμμόρφωσης;
Περισσότερο από ποτέ άλλοτε, οι πελάτες κατανοούν τα δικαιώματα τους στην ιδιωτικότητα και στην προστασία των προσωπικών δεδομένων τους. Καθώς όμως οι μεγάλες εταιρείες και τα πλέον αναγνωρίσιμα brands συνεχίζουν να αποτυγχάνουν να προστατεύσουν τα ευαίσθητα δεδομένα στο σύννεφο από τους κυβερνοεγκληματίες, με αποτέλεσμα οι παραβιάσεις υψηλού προφίλ να βρίσκονται σχεδόν σε καθημερινή βάση στις επικεφαλίδες των ιστοσελίδων, η εμπιστοσύνη των πελατών και των εταιρειών σε πολλούς κλάδους της βιομηχανίας μειώνεται ολοένα και περισσότερο. Μόνο το 25% των καταναλωτών πιστεύει ότι οι περισσότερες εταιρείες χειρίζονται υπεύθυνα τα δεδομένα τους, σύμφωνα με την εταιρεία PricewaterhouseCoopers (PwC). Και αυτό έχει ως αποτέλεσμα, οι ασφαλείς και διαφανείς πρακτικές διαχείρισης δεδομένων να είναι περισσότερο επιτακτικές από ποτέ.
Νέοι κανονισμοί και νόμοι δείχνουν επίσης ότι τα κυβερνητικά όργανα λαμβάνουν πολύ σοβαρά την ευθύνη που έχει κάθε επιχείρηση στην προστασία των προσωπικών δεδομένων. Ο Νόμος περί Προστασίας Προσωπικών Δεδομένων της Βραζιλίας και ο Νόμος περί Προστασίας Προσωπικών Δεδομένων της Καλιφόρνιας υποστηρίζουν το δικαίωμα του καταναλωτή να γνωρίζει τους τρόπους συλλογής και χρήσης των δεδομένων του και οι απαιτήσεις του Τμήματος Χρηματοοικονομικών Υπηρεσιών της Νέας Υόρκης (NYDFS) είναι μεταξύ των πρώτων κανονισμών για την αντιμετώπιση των κινδύνων ασφάλειας στο σύννεφο (cloud). Οι προτεινόμενοι κανονισμοί απαιτούν από τα χρηματοπιστωτικά ιδρύματα να διεξάγουν αξιολογήσεις ευπάθειας και να εφαρμόζουν ταξινόμηση δεδομένων και ασφαλή διαχείριση δεδομένων, ανεξάρτητα από το αν τα δεδομένα βρίσκονται on-premise (στις εγκαταστάσεις τους) ή στο σύννεφο.
Προβληματικές διαμορφώσεις προκαλούν χάος στην ασφάλεια των βάσεων δεδομένων
Παρά την αυξημένη πίεση για προστασία στα δεδομένα των πελατών τους, οι ομάδες ασφάλειας σε διάφορες εταιρείες εξακολουθούν να αγωνίζονται για την αντιμετώπιση των κινδύνων ασφάλειας της βάσης δεδομένων τους. Λανθασμένα διαμορφωμένοι διακομιστές, συμβάντα με τη δημιουργία δικτυακών αντιγράφων ασφαλείας και άλλα λάθη στην διαμόρφωση ή στη ρύθμιση των συστημάτων τους είχαν ως αποτέλεσμα να εκτεθούν σε «κοινή θέα» σχεδόν 2 δισεκατομμύρια αρχεία δεδομένων το 2017 σύμφωνα με τον δείκτη IBM X-Force Threat Intelligence Index 2018 – με το παραπάνω να σηματοδοτεί μια αύξηση 424% στις παραβιάσεις δεδομένων σε σύγκριση με το προηγούμενο έτος.
Οι κυβερνοεγκληματίες καινοτομούν γρήγορα για να επωφεληθούν από τις προκλήσεις ασφάλειας του cloud σε επιχειρησιακά περιβάλλοντα (enterprise cloud). Πολλοί χρησιμοποιούν ή δημιουργούν εργαλεία ανοιχτού κώδικα για να σαρώσουν τον ιστό για τυχόν μη προστατευμένη αποθήκευση στο σύννεφο, και σε ορισμένες περιπτώσεις, κλειδώνουν τα απροστάτευτα συστήματα για λύτρα. Ευρήματα σε μια μελέτη της Threat Stack έδειξαν ότι οι περισσότερες βάσεις δεδομένων στο σύννεφο (cloud) είναι απροστάτευτες ή έχουν γίνει λάθη στις ρυθμίσεις για την προστασία τους. Οι ερευνητές αποδίδουν αυτές τις λανθασμένες ρυθμίσεις σε αμέλεια των εργαζομένων και σε ανεπαρκείς πολιτικές.
Γιατί το Enterprise Cloud είναι ευάλωτο
Θα ήταν άδικο να θεωρηθεί ως αιτία για την τρέχουσα κατάσταση της ασφάλειας του σύννεφου σε επιχειρησιακά περιβάλλοντα η αμέλεια των εργαζομένων – τουλάχιστον, όχι εξ ολοκλήρου. Οι κρίσιμης σημασίας λανθασμένες ρυθμίσεις και διαμορφώσεις είναι πράγματι το αποτέλεσμα κάποιου ακούσιου σφάλματος που προέρχεται από το εσωτερικό (των εταιρειών), αλλά η πραγματικότητα είναι λίγο πιο περίπλοκη. Η διόρθωση των διαμορφώσεων και των κινδύνων συμμόρφωσης είναι μία δύσκολη υπόθεση, διότι οι ομάδες ασφαλείας δεν έχουν την απαραίτητη ορατότητα στους κινδύνους του σύννεφου για να αναλάβουν δράση. Υπάρχει ήδη ένα τεράστιο πλήθος κινδύνων για την ασφάλεια που έχουν να αντιμετωπίσουν, και οι παραδοσιακές προσεγγίσεις για την αξιολόγηση των κινδύνων έχουν ως αποτέλεσμα να βρίσκονται μπροστά από τεράστιες ποσότητες δεδομένων με ελάχιστη «actionable» ευφυία και πληροφορία.
Το σύννεφο στο επιχειρησιακό περιβάλλον είναι περίπλοκο και δύσκολο να καταγραφεί με εργαλεία αξιολόγησης ευπάθειας που έχουν σχεδιαστεί για αξιολογήσεις κινδύνου σε φυσικά δίκτυα και τερματικές συσκευές. Το μη δομημένο, NoSQL τοπίο των μεγάλων δεδομένων για το σύννεφο εξελίσσεται σχεδόν καθημερινά για να φιλοξενήσει νέες μορφές μη δομημένων δεδομένων. Δεν προκαλεί περιέργεια το γεγονός ότι η προσπάθεια αξιολόγησης του κινδύνου ασφάλειας των βάσεων δεδομένων σε ετερογενή περιβάλλοντα συχνά συγκρίνεται με την εύρεση μιας βελόνας σε έναν αχυρώνα.
Οι βαθμιδωτές, πολυεπίπεδες εκτιμήσεις ή αξιολογήσεις ευπάθειας είναι ζωτικής σημασίας για την προστασία ενάντια στους κινδύνους της ασφάλειας cloud και της συμμόρφωσης. Σύμφωνα με ορισμένες πρόσφατες κανονιστικές απαιτήσεις, οι αξιολογήσεις ευπάθειας είναι υποχρεωτικές. Ωστόσο, η επιχείρηση χρειάζεται λύσεις αξιολόγησης ευπάθειας που μπορούν να υποστηρίξουν κατά τρόπο ουσιαστικό την κλίμακα του cloud database-as-a-service (DBaaS), των παραδοσιακών βάσεων δεδομένων, των warehouses και των περιβαλλόντων μεγάλων δεδομένων.
Τα προηγμένα analytics είναι απαραίτητα για να ταξινομηθούν τα σύνθετα δεδομένα συμβάντων για να συσχετιστούν μοτίβα και να βρεθούν πραγματικοί δείκτες που σχετίζονται με σημαντικό κίνδυνο απώλειας δεδομένων ή προηγμένων απειλών. Ο τεράστιος όγκος και η ποικιλία των δεδομένων στο σύννεφο της επιχείρησης απαιτούν αξιολογήσεις και εκτιμήσεις ευπάθειας προληπτικά. Μια λύση αξιολόγησης ευπάθειας θα πρέπει να αυτοματοποιεί την ιεράρχηση των κινδύνων, να προτείνει αποκατάσταση και να απλοποιεί τις πολύπλοκες απαιτήσεις συμμόρφωσης.
Πως να επιτύχετε ασφάλεια σε πραγματικό χρόνο και συμμόρφωση σε περιβάλλοντα cloud ή υβριδικά περιβάλλοντα
Ο μετριασμός των κινδύνων απαιτεί ορατότητα και έλεγχο με μια προσαρμοστική προσέγγιση σε πραγματικό χρόνο για την κατανόηση του τι μπορεί να εκτεθεί σε δημόσια θέα. Σε ένα περιβάλλον βάσης δεδομένων, οι αξιολογήσεις θα πρέπει να εξετάζουν ενεργά τα προνόμια, τον έλεγχο ταυτότητας, τη διαμόρφωση, την έκδοση και το patching. Η εύρεση και αποκατάσταση προηγμένων απειλών από insiders, από ransomware και παραβιάσεις δεδομένων απαιτεί προηγμένη ανάλυση (advanced analytics). Η λύση αξιολόγησης ευπάθειας που θα χρησιμοποιήσετε θα πρέπει να ταξινομεί τους κινδύνους ανάλογα με την σπουδαιότητα των δεδομένων και την πιθανότητα παραβίασης και να προτείνει ενέργειες αποκατάστασης.
Η ασφάλεια και ο κίνδυνος συνέρχονται στο επιχειρησιακό περιβάλλον και τα εργαλεία ευπάθειας θα πρέπει να είναι σε θέση να παρέχουν πληροφορίες στον επικεφαλής της υπηρεσίας πληροφοριών (CIO), τον επικεφαλής ασφαλείας (CSO) και τον κύριο υπεύθυνο κινδύνου (CRO). Τα περιβάλλοντα enterprise cloud είναι πράγματι περίπλοκα, όμως ένα εργαλείο αξιολόγησης ευπάθειας μπορεί να προσφέρει μια ενοποιημένη και «actionable» εικόνα για τους κινδύνους, την αποκατάσταση, τη συμμόρφωση και τις πολιτικές. Για να έχει πάντως διαχρονική αξία, μια λύση αξιολόγησης ευπάθειας πρέπει να είναι σε θέση να επεκταθεί και σε νέες υπηρεσίες, σε νέες εφαρμογές, βάσεις δεδομένων και υπηρεσίες cloud που αναπτύσσονται και εξελίσσονται με την πάροδο του χρόνου.
Το σύννεφο έχει μετατοπίσει το τοπίο και έχει δημιουργήσει την ανάγκη για μια νέα προσέγγιση στην αξιολόγηση των κινδύνων. Αν το να κατανοήσετε τη συμμόρφωση και τις ρυθμίσεις μοιάζει σαν να ψάχνετε βελόνες στα άχυρα, ίσως είναι καιρός να αναζητήσετε την αυτοματοποίηση. Το απόρρητο των δεδομένων αποτελεί πλέον συμμόρφωση και είναι επιτακτική ανάγκη για τους πελάτες και η κατανόηση της κατάστασης των βάσεων δεδομένων σας είναι κρίσιμη σημασίας, οπότε στόχος σας θα πρέπει να είναι η επέκταση της ασφαλείας σας με μια λύση σχεδιασμένη για την πολυπλοκότητα του περιβάλλοντος enterprise cloud.
Μπορείτε να διαβάσετε το πρωτότυπο άρθρο, εδω.