5 حقیقت سخت در مورد وضعیت امنیت ابری 2024

5 حقیقت سخت در مورد وضعیت امنیت ابری 2024

تمبر زمان: 23 آوریل 2024، 4:47 بعد از ظهر
گره منبع: 2555659

در حالی که امنیت ابری مطمئناً از روزهای غرب وحشی استفاده اولیه از ابر، راه درازی را پیموده است، حقیقت این است که راه درازی در پیش است تا بسیاری از سازمان‌های امروزی واقعاً شیوه‌های امنیت ابری خود را به بلوغ برسانند. و این برای سازمان ها از نظر حوادث امنیتی هزینه های زیادی را تحمیل می کند.

مطالعه ونسون بورن اوایل سال جاری نشان داد که تقریباً نیمی از نقض‌هایی که سازمان‌ها در سال گذشته متحمل شده‌اند در فضای ابری نشات گرفته‌اند. همان مطالعه نشان داد که یک سازمان به طور متوسط ​​تقریباً 4.1 میلیون دلار در سال گذشته به دلیل رخنه های ابری از دست داده است.

دارک ریدینگ اخیراً با پدرخوانده امنیت صفر اعتماد، جان کیندرواگ، صحبت کرد تا در مورد وضعیت امنیت ابری امروز بحث کند. وقتی کیندرواگ در تحقیقات Forrester تحلیلگر بود، به مفهوم سازی و رایج کردن مدل امنیت صفر اعتماد کمک کرد. اکنون او بشارتگر ارشد در ایلومیو است، جایی که در میان گسترش خود همچنان طرفدار اعتماد صفر است، و توضیح می دهد که این یک راه کلیدی برای طراحی مجدد امنیت در عصر ابر است. به گفته کیندرواگ، سازمان ها باید با حقایق سخت زیر برخورد کنند تا با این کار به موفقیت دست یابند.

1. فقط با رفتن به فضای ابری امن تر نمی شوید

کیندرواگ می‌گوید یکی از بزرگترین افسانه‌های امروزی در مورد ابر این است که به طور ذاتی امن‌تر از بسیاری از محیط‌های داخلی است.

او می‌گوید: «یک سوء تفاهم اساسی از ابر وجود دارد که به نوعی امنیت بیشتری در آن تعبیه شده است، که با رفتن به ابر فقط با رفتن به ابر، امنیت بیشتری خواهید داشت.

مشکل این است که در حالی که ارائه دهندگان ابر مقیاس ابر ممکن است در حفاظت از زیرساخت ها بسیار خوب باشند، کنترل و مسئولیت روی وضعیت امنیتی مشتری که دارند بسیار محدود است.

بسیاری از مردم فکر می‌کنند که امنیت را به ارائه‌دهنده ابری برون سپاری می‌کنند. آنها فکر می کنند که دارند ریسک را منتقل می کنند. "در امنیت سایبری، شما هرگز نمی توانید خطر را منتقل کنید. اگر شما نگهبان آن داده ها هستید، همیشه نگهبان داده ها هستید، مهم نیست چه کسی آن را برای شما نگه می دارد.»

به همین دلیل است که کیندرواگ از طرفداران پر و پا قرص این جمله که اغلب تکرار می شود، نیست.مسیولیت تقسیم شده"، که به گفته او باعث می شود به نظر برسد که 50-50 تقسیم کار و تلاش وجود دارد. او این عبارت را ترجیح می دهددست دادن ناهموار"، که توسط همکار سابق او در Forrester، جیمز استیتن ابداع شد.

او می گوید: «مشکل اساسی این است، این است که مردم فکر می کنند یک مدل مسئولیت مشترک وجود دارد، و در عوض یک دست دادن ناهموار وجود دارد.

2. مدیریت کنترل های امنیتی بومی در دنیای ترکیبی سخت است

در همین حال، بیایید در مورد آن دسته از کنترل‌های امنیتی ابری بومی بهبود یافته که ارائه‌دهندگان در دهه گذشته ایجاد کرده‌اند، صحبت کنیم. در حالی که بسیاری از ارائه دهندگان کار خوبی انجام داده اند و به مشتریان کنترل بیشتری بر حجم کاری، هویت و دید خود ارائه می دهند، این کیفیت ناسازگار است. همانطور که Kindervag می گوید: "بعضی از آنها خوب هستند، برخی از آنها نه." مشکل واقعی همه آنها این است که مدیریت آنها در دنیای واقعی، فراتر از انزوای محیط یک ارائه دهنده، دشوار است.

انجام این کار به افراد زیادی نیاز دارد و آنها در هر ابر متفاوت هستند. من فکر می‌کنم هر شرکتی که در پنج سال گذشته با آنها صحبت کرده‌ام، یک مدل چند ابری و یک مدل ترکیبی دارد که هر دو در یک زمان اتفاق می‌افتند.» "موجود ترکیبی، "من از چیزها و ابرهای درون محل خود استفاده می کنم، و از چندین ابر استفاده می کنم، و ممکن است از چندین ابر برای ارائه دسترسی به میکروسرویس های مختلف برای یک برنامه واحد استفاده کنم." تنها راهی که می‌توانید این مشکل را حل کنید، داشتن یک کنترل امنیتی است که می‌تواند در تمام ابرهای متعدد مدیریت شود.»

او می‌گوید این یکی از عوامل بزرگی است که بحث‌ها را در مورد انتقال اعتماد صفر به فضای ابری پیش می‌برد.

«اعتماد صفر مهم نیست که داده‌ها یا دارایی‌ها را کجا قرار دهید. ممکن است در ابر باشد. ممکن است در محل باشد. ممکن است در نقطه پایانی باشد.»

3. هویت ابر شما را نجات نخواهد داد

با توجه به تاکید زیادی که این روزها بر مدیریت هویت ابری شده است، و توجه نامتناسب به مؤلفه هویت در اعتماد صفر، برای سازمان‌ها مهم است که درک کنند که هویت تنها بخشی از یک صبحانه متعادل برای اعتماد صفر به ابر است.

کیندرواگ می‌گوید: «بسیاری از روایت اعتماد صفر در مورد هویت، هویت، هویت است. «هویت مهم است، اما ما هویت را در سیاست با اعتماد صفر مصرف می‌کنیم. این پایان همه چیز نیست، همه چیز باشید. این همه مشکلات را حل نمی کند.»

منظور Kindervag این است که با یک مدل اعتماد صفر، اعتبارنامه ها به طور خودکار به کاربران امکان دسترسی به هیچ چیز زیر نور خورشید در یک ابر یا شبکه معین را نمی دهند. این سیاست دقیقاً چه زمانی و چه زمانی به دارایی‌های خاص دسترسی داده می‌شود. کیندرواگ مدت‌ها قبل از اینکه مدل اعتماد صفر را ترسیم کند، طرفدار تقسیم‌بندی - شبکه‌ها، حجم کاری، دارایی‌ها، داده‌ها بوده است. همانطور که او توضیح می دهد، قلب تعریف دسترسی صفر اعتماد توسط خط مشی، تقسیم چیزها به "سطوح محافظت" است، زیرا سطح خطر انواع مختلف کاربرانی که به هر سطح محافظتی دسترسی دارند، سیاست هایی را مشخص می کند که به هر اعتبار مشخصی متصل می شود.

"ماموریت من این است که مردم را وادار کنم تا روی آنچه باید از آن محافظت کنند تمرکز کنند، چیزهای مهم را در سطوح مختلف محافظتی قرار دهند، مانند پایگاه داده کارت اعتباری PCI شما باید در سطح محافظتی خودش باشد. پایگاه داده منابع انسانی شما باید در سطح حفاظتی خودش باشد. HMI شما برای سیستم IoT یا سیستم OT شما باید در سطح محافظتی خودش باشد. وقتی مشکل را به این تکه‌های کوچک تقسیم می‌کنیم، آن‌ها را تکه تکه حل می‌کنیم و آنها را یکی پس از دیگری انجام می‌دهیم. این آن را بسیار مقیاس پذیرتر و قابل انجام تر می کند."

4. خیلی از شرکت ها نمی دانند از چه چیزی می خواهند محافظت کنند

از آنجایی که سازمان‌ها تصمیم می‌گیرند چگونه سطوح محافظتی خود را در فضای ابری تقسیم کنند، ابتدا باید به وضوح مشخص کنند که از چه چیزی محافظت می‌کنند. این امر بسیار مهم است زیرا هر دارایی یا سیستم یا فرآیند دارای ریسک منحصر به فرد خود است و سیاست های دسترسی و سخت شدن اطراف آن را تعیین می کند. شوخی این است که شما یک خزانه یک میلیون دلاری برای نگهداری چند صد پنی نمی سازید. ابری معادل آن، ایجاد هزاران محافظت در اطراف یک دارایی ابری است که از سیستم‌های حساس جدا شده و اطلاعات حساسی را در خود جای نمی‌دهد.

Kindervag می‌گوید برای سازمان‌ها بسیار رایج است که تصور روشنی از آنچه در فضای ابری یا فراتر از آن محافظت می‌کنند نداشته باشند. در واقع، اکثر سازمان‌های امروزی حتی لزوماً ایده روشنی از آنچه که حتی در فضای ابری وجود دارد یا آنچه به ابر متصل می‌شود، ندارند، چه رسد به اینکه چه چیزی نیاز به محافظت دارد. مثلا، مطالعه اتحاد امنیت ابری نشان می دهد که تنها 23 درصد از سازمان ها دید کاملی در محیط های ابری دارند. و مطالعه Illumio در اوایل سال جاری نشان می دهد که 46٪ از سازمان ها دید کاملی از اتصال سرویس های ابری سازمان خود ندارند.

او می‌گوید: «مردم به این فکر نمی‌کنند که واقعاً می‌خواهند چه کاری را انجام دهند و از چه چیزی محافظت می‌کنند. Kindervag توضیح می‌دهد که این یک مسئله اساسی است که باعث می‌شود شرکت‌ها پول امنیتی زیادی را بدون ایجاد حفاظت مناسب در این فرآیند هدر دهند. "آنها نزد من می آیند و می گویند "اعتماد صفر کار نمی کند" و من می پرسم "خب، شما سعی می کنید از چه چیزی محافظت کنید؟" و آنها می گویند، "من هنوز در مورد آن فکر نکرده ام" و پاسخ من این است "خب، پس تو حتی به آن نزدیک نیستی" شروع فرآیند اعتماد صفر""

5. مشوق‌های توسعه بومی Cloud خارج از انتظار هستند

شیوه‌های DevOps و توسعه بومی ابری از طریق سرعت، مقیاس‌پذیری و انعطاف‌پذیری که توسط پلتفرم‌های ابری و ابزارها فراهم شده است، به‌شدت افزایش یافته‌اند. وقتی امنیت به طور مناسب در آن ترکیب قرار گیرد، اتفاقات خوبی می تواند رخ دهد. اما Kindervag می‌گوید که بیشتر سازمان‌های توسعه انگیزه مناسبی برای تحقق آن ندارند - به این معنی که زیرساخت ابری و همه برنامه‌هایی که بر روی آن قرار دارند در این فرآیند در معرض خطر قرار می‌گیرند.

من دوست دارم بگویم که افراد برنامه DevOps، ریکی بابی های فناوری اطلاعات هستند. آنها فقط می خواهند سریع بروند. یادم می آید که با رئیس توسعه یک شرکت صحبت می کردم که در نهایت مورد نفوذ قرار گرفت و از او می پرسیدم که در مورد امنیت چه می کند. کیندرواگ می‌گوید: "هیچی، امنیت برایم مهم نیست." "من پرسیدم، "چطور می توانید به امنیت اهمیت ندهید؟" و او می گوید "چون من یک KPI برای آن ندارم." KPI من می گوید که باید روزی پنج بار در تیمم انجام دهم و اگر این کار را نکنم، پاداشی دریافت نمی کنم.»

Kindervag می گوید این تصویری از یکی از مشکلات بزرگ است، نه فقط در AppSec، بلکه در حرکت به سمت صفر اعتماد برای ابر و فراتر از آن. بسیاری از سازمان‌ها به سادگی ساختارهای انگیزشی مناسبی برای تحقق آن ندارند - و در واقع بسیاری از آنها مشوق‌های انحرافی دارند که در نهایت باعث تشویق عمل ناامن می‌شود.

به همین دلیل است که او مدافع ایجاد مراکز تعالی اعتماد صفر در شرکت‌ها است که نه تنها شامل فن‌آوران، بلکه رهبری تجاری در برنامه‌ریزی، طراحی و فرآیندهای تصمیم‌گیری مداوم است. او می‌گوید هنگامی که این تیم‌های متقابل با هم ملاقات می‌کنند، «ساختارهای انگیزشی در زمان واقعی تغییر می‌کنند» زمانی که یک مدیر اجرایی قدرتمند کسب‌وکار جلو می‌رود و می‌گوید که سازمان در آن جهت حرکت می‌کند، دیده است.

کیندرواگ می‌گوید: «موفق‌ترین طرح‌های اعتماد صفر، آنهایی بودند که رهبران کسب‌وکار در آن مشارکت داشتند. من یکی را در یک شرکت تولیدی داشتم که در آن معاون اجرایی - یکی از رهبران ارشد شرکت - قهرمان تحول اعتماد صفر برای محیط تولید شد. این خیلی راحت پیش رفت، زیرا هیچ بازدارنده‌ای وجود نداشت.»

تمبر زمان:

بیشتر از تاریک خواندن