home Технология производства Производственное оборудование
Промышленное производство
Промышленный Интернет вещей | Промышленные материалы | Техническое обслуживание и ремонт оборудования | Промышленное программирование |
home  MfgRobots >> Промышленное производство >  >> Industrial Internet of Things >> Облачные вычисления

Советы по обеспечению безопасности в облаке для снижения рисков, угроз и уязвимостей

Вы предполагаете, что ваши данные в облаке зарезервированы и защищены от угроз? Не так быстро.

Учитывая, что в 2018 году произошло рекордное количество кибератак, становится ясно, что все данные находятся под угрозой.

Все всегда думают:«Этого не может случиться со мной». Реальность такова, что ни одна сеть не защищена от хакеров на 100 %.

По данным «Лаборатории Касперского», количество программ-вымогателей выросло более чем на 250% в 2018 году и продолжает развиваться в очень пугающем направлении. Следование приведенным здесь советам является надежной страховкой от пагубных последствий значительной потери данных в облаке.

Как начать защищать свои данные в облаке? Каковы наилучшие методы защиты ваших данных в облаке? Насколько безопасны облачные вычисления?

Чтобы помочь вам быстро начать свою стратегию безопасности, мы пригласили экспертов поделиться своими советами по  рискам и угрозам безопасности в облаке.

Ключевые выводы наших экспертов по облачной защите и угрозам безопасности

1. Поддерживайте доступность в облаке

Дастин Альбертсон, старший архитектор облачных решений в Veeam

Когда большинство людей думают о безопасности в облаке, они, как правило, думают о сетях, брандмауэрах, безопасности конечных точек и т. д. Amazon определяет безопасность в облаке следующим образом:

Безопасность в облаке во многом аналогична безопасности в ваших локальных центрах обработки данных, только без затрат на обслуживание помещений и оборудования. В облаке вам не нужно управлять физическими серверами или устройствами хранения. Вместо этого вы используете программные инструменты безопасности для мониторинга и защиты входящего и исходящего потока информации в ваши облачные ресурсы.

Но одним из часто упускаемых из виду рисков является поддержание доступности. Под этим я подразумеваю нечто большее, чем просто географическую избыточность или аппаратную избыточность, я имею в виду обеспечение защиты ваших данных и приложений. Облако — это не какое-то волшебное место, где исчезают все ваши заботы; облако — это место, где часто проще и дешевле размножить все свои страхи. Наличие надежной стратегии защиты данных имеет ключевое значение. Veeam часто проповедует «правило 3-2-1», придуманное Питером Крогом.

Правило гласит, что вы должны иметь три копии своих данных, хранить их на двух разных носителях и хранить одну вне офиса. Одна удаленная площадка обычно находится в «облаке», но что делать, если вы уже находитесь в облаке?

Именно здесь возникает большинство проблем с облаком, когда люди уже находятся в облаке, они склонны хранить данные в том же облаке. Вот почему важно помнить о подробной стратегии при переходе в облако. Используя такие вещи, как агенты Veeam для защиты облачных рабочих нагрузок и Cloud Connect для отправки резервных копий за пределы площадки, чтобы поддерживать доступность за пределами того же центра обработки данных или облака. Не думайте, что защита ваших данных — это работа провайдеров, потому что это не так.

2. Миграция в облако опережает эволюцию средств контроля безопасности

Сальваторе Столфо, технический директор Allure Security

Согласно новому опросу, проведенному ESG, 75% организаций заявили, что не менее 20% их конфиденциальных данных, хранящихся в общедоступных облаках, недостаточно защищены. Кроме того, 81 % опрошенных считают, что защита данных в локальной среде более совершенна, чем данные в общедоступном облаке.

Тем не менее, предприятия переходят в облако быстрее, чем когда-либо, чтобы максимизировать организационные преимущества:согласно отчету LogicMonitor Cloud Vision 2020, к 2020 году в облаке будет находиться 83% бизнес-нагрузок. Мы имеем дело со все более острой ситуацией, когда организации переносят свои конфиденциальные данные в облако в целях повышения производительности быстрее, чем средства безопасности развиваются для защиты этих данных.

Компании должны рассмотреть решения, которые контролируют доступ к данным в общих облачных ресурсах на основе уровня разрешений, которые имеет пользователь, но они также должны иметь средства оповещения, когда доступ к этим данным осуществляется необычным или подозрительным образом, даже тем, что кажется подозрительным. быть доверенным пользователем.

Помните, что многие хакеры и инсайдерские утечки исходят от злоумышленников с украденными законными учетными данными, которые позволяют им свободно перемещаться по облачному ресурсу в поисках ценных данных для кражи. Документы, вводящие в заблуждение, называемые приманками, также могут быть отличным инструментом для обнаружения этого. Приманки могут предупреждать группы безопасности на ранней стадии нарушения безопасности облачных вычислений о необычном поведении и могут даже обмануть потенциального кибер-вора, заставив его думать, что он украл что-то ценное, когда на самом деле это очень убедительный поддельный документ. Кроме того, возникает вопрос о контроле над документами, даже если они удалены из облачного хранилища.

Именно здесь многие решения безопасности начинают ломаться. После загрузки файла из облачного репозитория как можно отследить, куда он перемещается и кто его просматривает? Чтобы решить эту проблему, необходимы дополнительные инвестиции в такие технологии, как геозоны и телеметрия.

3. Минимизируйте угрозы и уязвимости облачных вычислений с помощью плана обеспечения безопасности

Ник О’Донован, архитектор решений и специалист по облачным технологиям, VMware 

Популярность гибридного облака среди предприятий продолжает расти, главным образом потому, что скорость развертывания, масштабируемость и экономия средств становятся все более привлекательными для бизнеса. Мы по-прежнему наблюдаем, как инфраструктура быстро превращается в облако, а это означает, что безопасность должна развиваться такими же темпами. Для предприятия важно работать с поставщиком облачных услуг, у которого есть надежный подход к безопасности в облаке.

Это означает, что партнерство с вашим облачным провайдером становится все более важным, поскольку вы вместе работаете над пониманием и реализацией плана безопасности для обеспечения безопасности ваших данных.

Элементы управления безопасностью, такие как многофакторная проверка подлинности, шифрование данных, а также требуемый уровень соответствия — все это области, на которых следует сосредоточиться при разработке плана обеспечения безопасности.

4. Никогда не переставайте узнавать о своих величайших уязвимостях

Исак Коэн, генеральный директор Teramind

Все больше и больше компаний становятся жертвами облака, и это связано с неправильной настройкой облака и халатностью сотрудников.

1. Наибольшую угрозу безопасности данных представляют ваши сотрудники. Небрежные или злонамеренные сотрудники являются одной из главных причин заражения вредоносным ПО и потери данных. Причины, по которым атаки вредоносного ПО и фишинговые электронные письма часто встречаются в новостях, заключаются в том, что они являются «простыми» способами доступа хакеров к данным. С помощью социальной инженерии злоумышленники могут «обмануть» сотрудников, заставив их предоставить пароли и учетные данные для доступа к критически важным системам данных бизнеса и предприятия. Способы предотвратить это:эффективная программа обучения сотрудников и мониторинг сотрудников, который активно исследует систему

2. Никогда не прекращайте учиться. В отрасли, которая постоянно меняется и адаптируется, важно быть в курсе последних тенденций и уязвимостей. Например, с Интернетом вещей (IoT) мы только начинаем видеть «верхушку айсберга», когда речь идет о защите данных при увеличении количества соединений Wi-Fi и онлайн-сервисах хранения данных. В этой истории есть еще много чего для развития, и она окажет прямое влияние на малый бизнес в будущем.

3. Исследуйте и поймите, как работает хранилище, а затем обучайте. Мы слышали истории о том, что когда данные передаются через облако, во многих случаях это происходит из-за неправильной настройки облачных настроек. Сотрудники должны понимать характер безопасности приложения и то, что настройки можно легко изменить и включить, раскрывая данные извне. Повышение осведомленности о безопасности с помощью обучающих программ.

4. Ограничьте количество точек доступа. Простой способ смягчить это, ограничить количество точек доступа. Распространенная ошибка с доступом к облаку связана с тем, что сотрудники с доступом по ошибке включают глобальные разрешения, разрешающие доступ к данным через открытое соединение. Чтобы смягчить последствия, выясните, кто и что имеет доступ к облаку данных (все точки доступа), и тщательно отслеживайте эти подключения.

5. Мониторинг систем. Прогрессивный и сквозной. Для долгосрочной защиты данных в облаке используйте платформу пользовательской аналитики и мониторинга, чтобы быстрее обнаруживать нарушения. Мониторинг и пользовательская аналитика оптимизируют данные и создают стандартный «профиль» пользователя — сотрудника и компьютера. Эта аналитика интегрирована и отслеживает ваши самые важные депозиты данных, которые вы как администратор указали в программном обеспечении для обнаружения. Когда определенные облачные данные подделываются, перемещаются или взламываются, система немедленно «пингует» администратора, указывая на изменение характера.

5. Рассмотрите гибридные решения

Майкл В.Н. Холл, операционный директор Turbot

Есть несколько важных моментов, которые необходимо понять о безопасности в облаке:

1. Пароли — это сила. 80 % всех взломов паролей можно было бы предотвратить с помощью многофакторной идентификации:подтвердив свою личность с помощью текстового сообщения, отправленного на телефон или по электронной почте в вашу учетную запись, вы теперь можете получать оповещения, когда кто-то пытается получить доступ к вашему подробности.

На данный момент одним из главных виновников являются ослабленные учетные данные. Это означает, что пароли, пароли и парольные фразы похищаются с помощью фишинговых атак, кейлогинга и атак методом грубой силы.

Парольные фразы — это новые пароли. Случайные, легко запоминающиеся парольные фразы намного лучше, чем пароли, поскольку они, как правило, длиннее и сложнее.

MyDonkeysEatCheese47 — это сложная кодовая фраза, и если вы не являетесь владельцем ослов или производителем сыра, она не имеет к вам никакого отношения. Не забывайте использовать прописные и строчные буквы, а также все знаки препинания.

2. Поддерживайте связь с вашим хостинг-провайдером. Выберите подходящего хостинг-провайдера — надежную компанию с высокими стандартами безопасности. Общайтесь с ними регулярно, так как частое взаимодействие позволяет вам быть в курсе любых изменений или возникающих проблем.

3. Рассмотрите гибридное решение. Гибридные решения позволяют безопасным статическим системам хранить критически важные данные внутри компании, в то же время открывая данные с более низким приоритетом для большей универсальности облака.

6. Узнайте, как работают облачные системы безопасности

Том ДеСот, ИТ-директор Digital Defense, Inc.

Предприятия должны убедиться, что они оценивают риски и преимущества безопасности облачных вычислений. Это делается для того, чтобы убедиться, что они узнают, что значит перейти в облако, прежде чем совершить такой большой скачок от запуска систем в собственном центре обработки данных.

Слишком часто я видел, как компании переходят в облако без плана или каких-либо знаний о том, что это значит для них и безопасности их систем. Они должны осознавать, что их программное обеспечение будет «жить» в общих системах с другими клиентами, поэтому в случае взлома платформы другого клиента злоумышленник может также скомпрометировать их систему.

Точно так же и облачные заказчики должны понимать, где будут храниться их данные, будут ли они только в США, или провайдер реплицирует на другие системы, находящиеся на разных континентах. Это может вызвать реальную проблему, если информация является конфиденциальной, такой как PII или информация, защищенная HIPAA или каким-либо другим нормативным актом. Наконец, заказчик облачных услуг должен обратить пристальное внимание на соглашения об уровне обслуживания (SLA), которых придерживается поставщик облачных услуг, и убедиться, что они отражают их собственное соглашение об уровне обслуживания.

Переход в облако — отличный способ высвободить вычислительные ресурсы и обеспечить безотказную работу, но я всегда советую своим клиентам делать переход небольшими шагами, чтобы у них было время понять, что значит быть «в облаке». ”

7. Проявите должную осмотрительность при обеспечении безопасности облака

Кен Стасиак, генеральный директор SecureState

Изучите тип данных, которые вы размещаете в облаке, и обязательные требования к безопасности этих данных.

Как только у бизнеса появится представление о типе данных, которые они хотят хранить в облаке, у них должно быть четкое представление об уровне должной осмотрительности, который требуется при оценке различных поставщиков облачных услуг. Например, если вы выбираете поставщика облачных услуг для размещения вашей защищенной медицинской информации (PHI), вам следует потребовать оценку стандартов безопасности и соответствия HIPAA, прежде чем перемещать какие-либо данные в облако.

Вот несколько хороших вопросов, которые следует задать при оценке того, подходит ли поставщик облачных услуг для организации, занимающейся защитой этих данных:проводите ли вы регулярные аудиты и оценки SOC? Как вы защищаете от вредоносной активности? Вы проводите проверку всех сотрудников? Какие типы систем вы используете для мониторинга сотрудников, определения доступа и журналов аудита?

8. Настройте контроль доступа и разрешения безопасности

Майкл Р. Дуранте, президент Tie National, LLC.

Хотя облако становится все более популярным в вычислительной сфере благодаря своей гибкости для масштабирования в соответствии с потребностями бизнеса и расширения совместной работы в разных местах, оно также вызывает проблемы с безопасностью из-за возможности выявления уязвимостей, относительно неподконтрольных вам.

Например, BYOD может быть проблемой для обеспечения безопасности, если пользователи не применяют регулярно исправления и обновления для системы безопасности. Совет номер один, который я хотел бы дать, — максимально использовать доступные элементы управления доступом.

Предприятия должны использовать элементы управления доступом, чтобы ограничить разрешения безопасности, чтобы разрешить только действия, связанные с рабочими функциями сотрудников. Ограничивая доступ, компании гарантируют, что критически важные файлы будут доступны только тем сотрудникам, которые в них нуждаются, тем самым снижая вероятность их раскрытия не тем сторонам. Этот элемент управления также упрощает отмену прав доступа сразу после увольнения, чтобы защитить любой конфиденциальный контент, независимо от того, откуда сотрудник пытается получить доступ удаленно.

9. Понимать родословную и процессы поставщика или поставщика

Пол Эванс, генеральный директор Redstor

Использование облачных технологий позволило компаниям любого размера повысить производительность и повысить эффективность за счет более удаленной работы, более высокой доступности и большей гибкости.

Однако с ростом числа развернутых разрозненных систем и большого количества поставщиков облачных услуг и программного обеспечения сохранение контроля над безопасностью данных может стать сложной задачей. Если вы хотите внедрить облачный сервис, важно хорошо понимать родословную и процессы поставщика/поставщика, который будет предоставлять сервис. Сертификация безопасности по отраслевым стандартам — отличное место для начала. Поставщики, имеющие сертификат ISO 27001, доказали, что они соответствуют международным стандартам управления информационной безопасностью и заслуживают большего уважения, чем поставщики без сертификата.

Получение полного понимания того, где ваши данные будут находиться географически, кто будет иметь к ним доступ и будут ли они зашифрованы, является ключом к возможности их защиты. Также важно знать, каковы процессы поставщика в случае утечки или потери данных или в случае простоя. Допустимое время простоя должно быть указано в договорных соглашениях об уровне обслуживания (SLA), которые должны быть финансово подкреплены их обеспечением уверенности.

Для организаций, желающих использовать облачные платформы, существуют угрозы облачной безопасности. знать, кто будет иметь доступ к данным? Где хранятся данные? Мои данные зашифрованы? Но по большей части облачные платформы могут ответить на эти вопросы и имеют высокий уровень безопасности. Организации, использующие облака, должны убедиться, что они осведомлены о законах и правилах защиты данных, влияющих на данные, а также получить точное представление о договорных соглашениях с поставщиками облачных услуг. Как данные защищены? Многие нормативные акты и отраслевые стандарты содержат рекомендации по оптимальному способу хранения конфиденциальных данных.

Хранение незащищенных или незашифрованных копий данных может подвергнуть их более высокому риску. Очень важно получить знания об уровнях безопасности облачных сервисов.

Каковы политики хранения и есть ли у меня резервная копия? Облачные платформы могут использоваться по-разному, и это может вызвать (или предотвратить) проблемы. Если данные хранятся на облачной платформе, они могут быть уязвимы для облачных угроз безопасности, таких как программа-вымогатель или повреждение, поэтому обеспечение сохранения или резервного копирования нескольких копий данных может предотвратить это. Гарантия выполнения этих процессов повышает уровень безопасности облачных платформ организаций и дает понимание того, откуда может исходить любой риск

10. Используйте надежные пароли и многофакторную аутентификацию

Фред Рек, InnoTek Computer Consulting

Убедитесь, что вам требуются надежные пароли для всех пользователей облака, и предпочтительно используйте многофакторную аутентификацию.

Согласно отчету Verizon Data Breach Investigations за 2017 год, в 81% всех нарушений, связанных со взломом, использовались либо украденные, либо слабые пароли. Одним из наиболее значительных преимуществ облака является возможность доступа к данным компании из любой точки мира на любом устройстве. С другой стороны, с точки зрения безопасности, любой (также известный как «плохие парни») с именем пользователя и паролем потенциально может получить доступ к корпоративным данным. Принуждение пользователей к созданию надежных паролей значительно усложняет хакерам возможность использовать атаку грубой силы (подбор пароля из нескольких случайных символов).

В дополнение к безопасным паролям, многие облачные сервисы сегодня могут использовать мобильный телефон сотрудника в качестве вторичного, физического элемента аутентификации безопасности в многофакторной стратегии, что делает это доступным и доступным для реализации организацией. Пользователям потребуется не только знать пароль, но и физический доступ к своему мобильному телефону для доступа к своей учетной записи.

Наконец, рассмотрите возможность реализации функции, которая будет блокировать учетную запись пользователя после заданного количества неудачных входов в систему.

11. Включить блокировку IP-адреса

Крис Бирн — соучредитель и генеральный директор Sensorpro.

Компании должны включить двухфакторную аутентификацию и блокировку IP-адреса для доступа к облачным приложениям, которые они используют.

С 2FA вы добавляете еще одну проблему к обычной комбинации электронной почты и пароля в текстовом сообщении. Благодаря блокировке IP-адресов вы можете ограничить доступ с вашего офисного IP-адреса или IP-адреса удаленных сотрудников. Если платформа не поддерживает это, попросите вашего провайдера включить его.

Что касается фактического предоставления облачной платформы, предоставьте вариант шифрования данных в состоянии покоя. В какой-то момент это станет таким же повсеместным, как https (SSL/TLS). Если произойдет что-то невообразимое и данные попадут не в те руки, например, устройство будет украдено или забыто в поезде, тогда шифрование хранимых данных станет последней линией защиты, которая не позволит никому получить доступ к вашим данным без правильных ключей шифрования. Даже если им удастся его украсть, они не смогут его использовать. Это, например, упростило бы ситуацию с недавним взломом Equifax.

12. Решения для безопасности облачных хранилищ с помощью VPN

Эрик Шлиссель, президент и генеральный директор GeekTek

Используйте VPN (виртуальные частные сети) всякий раз, когда вы подключаетесь к облаку. VPN часто используются для полуанонимизации веб-трафика, как правило, зрителями, которые заблокированы геоблоками из-за доступа к потоковым службам, таким как Netflix USA или BBC Player. Они также обеспечивают важный уровень безопасности для любого устройства, подключающегося к вашему облаку. Без VPN любой потенциальный злоумышленник с помощью анализатора пакетов может определить, кто из участников получает доступ к вашей облачной учетной записи, и потенциально может получить доступ к их учетным данным для входа.

Шифрование данных в состоянии покоя. Если по какой-либо причине учетная запись пользователя будет скомпрометирована в вашем общедоступном, частном или гибридном облаке, разница между данными в открытом виде и в зашифрованном формате может измеряться сотнями тысяч долларов, а именно 229 000 долларов США. респонденты опроса, проведенного страховой компанией Hiscox. Как показали недавние события, процесс шифрования и расшифровки этих данных окажется гораздо безболезненнее, чем его альтернатива.

Используйте двухфакторную аутентификацию и единый вход для всех облачных учетных записей. Google, Facebook и PayPal используют двухфакторную аутентификацию, которая требует от пользователя ввода уникального кода, сгенерированного программным обеспечением, в форму перед входом в свою учетную запись. Независимо от того, стремится ли ваш бизнес к их статусу, он может и должен подражать этому основному компоненту своей стратегии безопасности. Единый вход упрощает управление доступом, поэтому одна пара учетных данных пользователя позволяет сотруднику войти во все учетные записи. Таким образом, у системных администраторов есть только одна учетная запись для удаления, а не несколько, которые могут быть забыты и впоследствии повторно доступны бывшим сотрудникам.

13. Остерегайтесь человеческого фактора

Стивен Дж.Дж. Вейсман, юрист и профессор Университета Бентли

Перефразируя Шекспира, вина не в облаке; ответственность лежит на нас.

Хранение конфиденциальных данных в облаке — хороший вариант обеспечения безопасности данных на многих уровнях. Однако, независимо от того, насколько безопасной может быть технология, человеческий фактор всегда будет представлять собой потенциальную угрозу безопасности, которую могут использовать киберпреступники. Было доказано, что многие прошлые нарушения безопасности облака были вызваны не ошибками безопасности облачной технологии, а действиями отдельных пользователей облака.

Они по незнанию предоставили свои имена пользователей и пароли киберпреступникам, которые с помощью целевых фишинговых электронных писем, телефонных звонков или текстовых сообщений убеждают людей предоставить важную информацию, необходимую для доступа к облачной учетной записи.

Лучший способ избежать этой проблемы, а также лучше обучить сотрудников тому, как распознавать и предотвращать целевой фишинг, — это использовать двухфакторную аутентификацию, например отправку одноразового кода на мобильный телефон сотрудника при каждой попытке доступа к облачной учетной записи.

14. Обеспечение получения данных от поставщика облачных услуг

Боб Херман, соучредитель и президент IT Tropolis.

1. Двухфакторная аутентификация защищает от мошенничества с аккаунтом. Многие пользователи терпят неудачу из-за попыток фишинга по электронной почте, когда злоумышленники обманывают жертву, заставляя ее вводить свои регистрационные данные на поддельном веб-сайте. Злоумышленник затем может войти на настоящий сайт как жертва и нанести всевозможный ущерб в зависимости от приложения сайта и доступа пользователя. 2FA гарантирует, что при входе в приложение необходимо ввести второй код. Обычно код отправляется на телефон пользователя.

2. Крайне важно убедиться, что вы владеете своими данными и можете получить их в случае, если вы больше не хотите вести бизнес с поставщиком облачных услуг. Большинство законных поставщиков облачных услуг должны указать в своих условиях, что клиент владеет их данными. Затем вам нужно подтвердить, что вы можете извлекать или экспортировать данные в какой-либо пригодный для использования формат или что поставщик облачных услуг предоставит их вам по запросу.

15. В режиме реального времени и непрерывный мониторинг

Сэм Бисби, директор по безопасности Threat Stack

1. Обеспечьте возможность наблюдения за безопасностью в режиме реального времени и непрерывный мониторинг систем

Хотя мониторинг важен в любой среде данных, важно подчеркнуть, что изменения в современных облачных средах, особенно в средах SaaS, имеют тенденцию происходить чаще; их воздействие ощущается немедленно.

Результаты могут быть впечатляющими из-за природы эластичной инфраструктуры. В любое время чьи-либо случайные или злонамеренные действия могут серьезно повлиять на безопасность вашей системы разработки, производства или тестирования.

Управление современной инфраструктурой без наблюдения за безопасностью в режиме реального времени и непрерывного мониторинга похоже на полет вслепую. У вас нет представления о том, что происходит в вашей среде, и нет возможности начать немедленное устранение последствий при возникновении проблемы. Вам необходимо отслеживать доступ к приложениям и узлам, чтобы понимать состояние вашего приложения с течением времени.

2. Установите и постоянно отслеживайте параметры конфигурации

Конфигурации безопасности в облачных средах, таких как Amazon Direct Connect, могут быть сложными, и легко непреднамеренно оставить доступ к своим системам и данным открытым для всего мира, как было доказано всеми недавними историями об утечках S3.

Учитывая изменчивый (а иногда и нестабильный) характер сред SaaS, в которых службы могут создаваться и удаляться в режиме реального времени на постоянной основе, неправильная настройка служб и неспособность отслеживать параметры могут поставить под угрозу безопасность. В конечном итоге это подорвет доверие клиентов к вам в плане защиты их данных.

Настраивая конфигурации в соответствии с установленным базовым уровнем и постоянно отслеживая их, вы можете избежать проблем при настройке служб, а также быстрее обнаруживать проблемы с конфигурацией и реагировать на них, когда они возникают.

3. Выровняйте приоритеты безопасности и эксплуатации для облачных решений безопасности и инфраструктуры

Хорошая безопасность неотличима от правильной работы. Слишком часто эти команды расходятся во мнениях внутри организации. Иногда считают, что безопасность замедляет бизнес, поскольку слишком сосредоточена на контроле за действиями групп разработки и эксплуатации. Но безопасность может способствовать развитию бизнеса.

Безопасность должна использовать инструменты автоматизированного тестирования, элементы управления безопасностью и мониторинг внутри организации — при управлении сетью, доступе пользователей, настройке инфраструктуры и управлении уязвимостями на уровне приложений — это будет способствовать развитию бизнеса, снижая риск для всей поверхности атаки и поддерживая эксплуатационную доступность. .

16. Используйте инструменты аудита для защиты данных в облаке

Джереми Вэнс, US Cloud

1. Используйте инструмент аудита, чтобы знать, что у вас есть в облаке и что все ваши пользователи используют в облаке. Вы не можете защитить данные, о которых не знаете.

2. Помимо выяснения того, какие службы работают в вашей сети, выясните, как и почему эти службы используются, кем и когда.

3. Сделайте этот процесс аудита обычной частью мониторинга вашей сети, а не просто разовым событием. Кроме того, если у вас нет пропускной способности для этого, передайте эту процедуру аудита квалифицированной третьей стороне, такой как US Cloud.

17. Большинство взломов начинаются с простых незащищенных точек

Маркус Тернер, главный архитектор и технический директор Enola Labs

Облако очень безопасно, но для обеспечения безопасности данных компании важно правильно настроить облако.

В частности, для AWS для этого лучше всего использовать AWS Config. AWS при правильной настройке является одной из самых безопасных сред облачных вычислений в мире. Однако в большинстве случаев утечка данных происходит не из-за того, что хакеры используют сложные программы для получения доступа к критически важным данным, а из-за простых незащищенных моментов, которые делают данные компании уязвимыми.

Даже при самой лучшей облачной безопасности человеческая ошибка часто является причиной наиболее критической бреши или бреши в защите. Наличие подпрограмм для непрерывной проверки точности конфигурации — это наиболее недооцененный и малоиспользуемый показатель для обеспечения безопасности данных компании в облаке.

18. Задайте своему поставщику облачных услуг ключевые вопросы безопасности

Брэндан Кивени, Эд. Д., основатель Data Ethics LLC

Изучая возможности перехода на облачное решение, вы должны обеспечить адекватную поддержку в случае нарушения безопасности. Прежде чем подписывать соглашение с поставщиком облачных услуг, обязательно задайте следующие вопросы:

Вопрос. Сколько сторонних поставщиков использует провайдер для предоставления своих услуг?

Причина вопроса (Причина):Потребуется обновить процессы и документацию, чтобы включить процедурные гарантии и координацию с облачным решением. Кроме того, необходимо четко понимать уровень безопасности, обеспечиваемый облачным провайдером. Необходимо добавить повышенные уровни безопасности, чтобы соответствовать требованиям конфиденциальности и безопасности хранимых данных.

Вопрос:Как вы будете уведомлены, если произойдет взлом их систем, и помогут ли они вашей компании в уведомлении ваших клиентов/заказчиков?

Reason:By adding a cloud-based solution to the storage of your data also adds a new dimension of time to factor into the notification requirements that may apply to your data should a breach occur. These timing factors should be incorporated into breach notification procedures and privacy policies.

When switching to the cloud from a locally hosted solution your security risk assessment process needs to be updated. Before making the switch, a risk assessment should take place to understand the current state of the integrity of the data that will be migrated.

Additionally, research should be done to review how data will be transferred to the cloud environment. Questions to consider include:

Question:Is your data ready for transport?

Reason:The time to conduct a data quality assessment is before migrating data to a cloud-based solution rather than after the fact.

Question:Will this transfer be facilitated by the cloud provider?

Reason:It is important to understand the security parameters that are in place for the transfer of data to the cloud provider, especially when considering large data sets.

19. Secure Your Cloud Account Beyond the Password

Contributed by the team at Dexter Edward

Secure the cloud account itself. All the protection on a server/os/application won’t help if anyone can take over the controls.

Secure access to the compute instances in the cloud.

Use as much of the private cloud network as you can.

Take advantage of monitoring, file auditing, and intrusion detection when offered by cloud providers.

20. Consider Implementing Managed Virtual Desktops

Michael Abboud, CEO, and Founder of TetherView

Natural disasters mixed with cyber threats, data breaches, hardware problems, and the human factor, increase the risk that a business will experience some type of costly outage or disruption.

Moving towards managed virtual desktops delivered via a private cloud, provides a unique opportunity for organizations to reduce costs and provide secure remote access to staff while supporting business continuity initiatives and mitigating the risk of downtime.

Taking advantage of standby virtual desktops, a proper business continuity solution provides businesses with the foundation for security and compliance.

The deployment of virtual desktops provides users with the flexibility to work remotely via a fully-functional browser-based environment while simultaneously allowing IT departments to centrally manage endpoints and lock down business critical data. Performance, security, and compliance are unaffected.

Standby virtual desktops come pre-configured and are ready to be deployed instantaneously, allowing your team to remain “business as usual” during a sudden disaster.

In addition to this, you should ensure regular data audits and backups

If you don’t know what is in your cloud, now is the time to find out. It’s essential to frequently audit your data and ensure everything is backed up. You’ll also want to consider who has access to this data. Old employees or those who no longer need access should have permissions provoked.

It’s important to also use the latest security measures, such as multi-factor authentication and default encryption. Always keep your employees up to speed with these measures and train them to spot potential threats that way they know how to deal with them right away.

21. Be Aware of a Provider’s Security Policies

Jeff Bittner, Founder and President of Exit technologies

Many, if not most, businesses will continue to expand in the cloud, while relying on on-premise infrastructure for a variety of reasons, ranging from a simple cost/benefit advantages to reluctance to entrust key mission-critical data or systems into the hands of third-party cloud services providers. Keeping track of what assets are where in this hybrid environment can be tricky and result in security gaps.

Responsibility for security in the cloud is shared between the service provider and the subscriber. So, the subscriber needs to be aware not only of the service provider’s security policies, but also such mundane matters as hardware refresh cycles.

Cyber attackers have become adept at finding and exploiting gaps in older operating systems and applications that may be obsolete, or which are no longer updated. Now, with the disclosure of the Spectre and Meltdown vulnerabilities, we also have to worry about threats that could exploit errors or oversights hard-coded at the chip level.

Hardware such as servers and PCs has a limited life cycle, but often businesses will continue to operate these systems after vendors begin to withdraw support and discontinue firmware and software updates needed to counter new security threats.

In addition to being aware of what their cloud provider is doing, the business must keep track of its own assets and refresh them or decommission them as needed. When computer systems are repurposed for non-critical purposes, it is too easy for them to fall outside of risk management and security oversight.

22. Encrypt Backups Before Sending to the Cloud

Mikkel Wilson, CTO at Oblivious.io

1. File metadata should be secured just as vigilantly as the data itself. Even if an attacker can’t get at the data you’ve stored in the cloud, if they can get, say, all the filenames and file sizes, you’ve leaked important information. For example, if you’re a lawyer and you reveal that you have a file called “michael_cohen_hush_money_payouts.xls” and it’s 15mb in size, this may raise questions you’d rather not answer.

2. Encrypt your backups *before* you upload them to the cloud. Backups are a high-value target for attackers. Many companies, even ones with their own data centers, will store backups in cloud environments like Amazon S3. They’ll even turn on the encryption features of S3. Unfortunately, Amazon stores the encryption keys right along with the data. It’s like locking your car and leaving the keys on the hood.

23. Know Where Your Data Resides To Reduce Cloud Threats

Vikas Aditya, Founder of QuikFynd Inc,

Be aware of where their data is stored these days so that they can proactively identify if any of the data may be at risk of a breach.

These days, data is being stored in multiple cloud locations and applications in addition to storage devices in business. Companies are adopting cloud storage services such as Google Drive, Dropbox, OneDrive, etc. and online software services for all kind of business processes. This has led to vast fragmentation of company data, and often managers have no idea where all the data may be.

For example, a confidential financial report for the company may get stored in cloud storage because devices are automatically synching with cloud or a sensitive business conversation may happen in cloud-based messaging services such as Slack. While cloud companies have all the right intentions to keep their customer data safe, they are also the prime target because hackers have better ROI in targeting such services where they can potentially get access to data for millions of subscribers.

So, what should a company do?

While they will continue to adopt cloud services and their data will end up in many, many locations, they can use some search and data organization tools that can show them what data exists in these services. Using full-text search capabilities, they can then very quickly find out if any of this information is a potential risk to the company if breached. You cannot protect something if you do not even know where it is. And more importantly, you will not even know if it is stolen. So, companies looking to protect their business data need to take steps at least to be aware of where all their information is.

24. Patch Your Systems Regularly To Avoid Cloud Vulnerabilities

Adam Stern, CEO of Infinitely Virtual

Business users are not defenseless,  even in the wake of recent attacks on cloud computing like WannaCry or Petya/NotPetya.

The best antidote is patch management. It is always sound practice to keep systems and servers up to date with patches – it is the shortest path to peace of mind. Indeed, “patch management consciousness” needs to be part of an overarching mantra that security is a process, not an event — a mindset, not a matter of checking boxes and moving on. Vigilance should be everyone’s default mode.

Spam is no one’s friend; be wary of emails from unknown sources – and that means not opening them. Every small and midsize business wins by placing strategic emphasis on security protections, with technologies like clustered firewalls and intrusion detection and prevention systems (IDPS).

25. Security Processes Need Enforcement as Staff Often Fail to Realize the Risk

Murad Mordukhay, CEO of Qencode

1. Security as a Priority

Enforcing security measures can become difficult when working with deadlines or complex new features. In an attempt to drive their products forward, teams often bend the rules outlined in their own security process without realizing the risk they are putting their company into. A well thought out security process needs to be well enforced in order achieve its goal in keeping your data protected. Companies that include cloud security as a priority in their product development process drastically reduce their exposure to lost data and security threats.

2. Passwords &Encryption

Two important parts of securing your data in the cloud are passwords and encryption.

Poor password management is the most significant opportunity for bad actors to access and gain control of company data. This usually accomplished through social engineering techniques (like phishing emails) mostly due to poor employee education. Proper employee training and email monitoring processes go a long way in helping expose password information. Additionally, passwords need to be long, include numbers, letters, and symbols. Passwords should never be written down, shared in email, or posted in chat and ticket comments. An additional layer of data protection is achieved through encryption. If your data is being stored for in the cloud for long periods, it should be encrypted locally before you send it up. This makes the data practically inaccessible in the small chance it is compromised.

26. Enable Two-factor Authentication

Tim Platt, VP of IT Business Services at Virtual Operations, LLC

For the best cloud server security, we prefer to see Two Factor Authentication (also known as 2FA, multi-factor authentication, or two-step authentication) used wherever possible.

Что это? 2 Factor combines “something you know” with “something you have.” If you need to supply both a password and a unique code sent to your smartphone via text, then you have both those things. Even if someone knows your password, they still can’t get into your account. They would have to know your password and have access to your cell phone. Not impossible, but you have just dramatically made it more difficult for them to hack your account. They will look elsewhere for an easier target. As an example, iCloud and Gmail support 2FA – two services very popular with business users. I recommend everyone use it.

Why is this important for cloud security?

Because cloud services are often not protected by a firewall or other mechanism to control where the service can be accessed from. 2FA is an excellent additional layer to add to security.  I should mention as well that some services, such as Salesforce, have a very efficient, easy to use implementation of 2FA that isn’t a significant burden on the user.

27. Do Not Assume Your Data in the Cloud is Backed-Up

Mike Potter, CEO &Co-Founder at Rewind

Backing up data that’s in the cloud:There’s a big misconception around how cloud-based platforms (ex. Shopify, QuickBooks Online, Mailchimp, WordPress) are backed up. Typically, cloud-based apps maintain a disaster recovery cloud backup of the entire platform. If something were to happen to their servers, they would try to recover everyone’s data to the last backup. However, as a user, you don’t have access to their backup to restore your data.

This means that you risk having to manually undo unwanted changes or permanently losing data if:

Having access to a secondary backup of your cloud accounts gives you greater control and freedom over your own data. If something were to happen to the vendor’s servers, or within your individual account, being able to quickly recover your data could save you thousands of dollars in lost revenue, repair costs, and time.

28. Minimize and Verify File Permissions

Randolph Morris, Founder & CTO at Releventure

1. If you are using a cloud-based server, ensure monitoring and patching the Spectre vulnerability and its variations. Cloud servers are especially vulnerable. This vulnerability can bypass any cloud security measures put in place including encryption for data that is being processed at the time the vulnerability is being utilized as an exploit.

2. Review and tighten up file access for each service. Too often accounts with full access are used to ensure software ‘works’ because they had permission issues in the past. If possible, each service should use its own account and only have restricted permission to access what is vital and just give the minimum required permissions.

29. When Securing Files in the Cloud,  Encrypt Data Locally First

Brandon Ackroyd, Founder and Mobile Security Expert at Tiger Mobiles 

Most cloud storage users assume such services use their own encryption. They do, Dropbox, for example, uses an excellent encryption system for files.

The problem, however, is because you’re not the one encrypting, you don’t have the decryption key either. Dropbox holds the decryption key so anyone with that same key can decrypt your data. The decryption happens automatically when logged into the Dropbox system so anyone who accesses your account, e.g., via hacking can also get your now non-encrypted data.

The solution to this is that you encrypt your files and data, using an encryption application or software, before sending them to your chosen cloud storage service.

30. Exposed Buckets in AWS S3 are Vulnerable

Todd Bernhard, Product Marketing Manager at CloudCheckr

1. The most common and publicized data breaches in the past year or so have been due to giving the public read access to AWS S3 storage buckets. The default configuration is indeed private, but people tend to make changes and forget about it, and then put confidential data on those exposed buckets.

2. Encrypt data, both in traffic and at rest. In the data center, where end users, servers, and application servers might all be in the same building. By contrast, with the Cloud, all traffic goes over the Internet, so you need to encrypt data as it moves around in public. It’s like the difference between mailing a letter in an envelope or sending a postcard which anyone who comes into contact with it can read the contents.

31. Use the Gold-standard of Encryption

Jeff Capone, CEO of SecureCircle

There’s a false sense of privacy being felt by businesses using cloud-based services like Gmail and Dropbox to communicate and share information. Because these services are cloud-based and accessible by password, it’s automatically assumed that the communications and files being shared are secure and private. The reality is – they aren’t.

One way in which organizations can be sure to secure their data is in using new encryption methods such as end-to-end encryption for emailing and file sharing. It’s considered the “gold standard” method with no central points of attack – meaning it protects user data even when the server is breached.

These advanced encryption methods will be most useful for businesses when used in conjunction with well-aligned internal policies. For example, decentralizing access to data when possible, minimizing or eliminating accounts with privileged access, and carefully considering the risks when deciding to share data or use SaaS services.

32. Have Comprehensive Access Controls in Place

Randy Battat, Founder and CEO, PreVeil

All cloud providers have the capability of establishing access controls to your data. This is essentially a listing of those who have access to the data. Ensure that “anonymous” access is disabled and that you have provided access only to those authenticated accounts that need access.

Besides that, you should utilize encryption to ensure your data stays protected and stays away from prying eyes. There is a multitude of options available depending on your cloud provider. Balance the utility of accessing data with the need to protect it – some methods are more secure than others, like utilizing a client-side key and encryption process. Then, even if someone has access to the data (see point #1), they only have access to the encrypted version and must still have a key to decrypt it

Ensure continuous compliance to your governance policies. Once you have implemented the items above and have laid out your myriad of other security and protection standards, ensure that you remain in compliance with your policies. As many organizations have experienced with cloud data breaches, the risk is not with the cloud provider platform. It’s what their staff does with the platform. Ensure compliance by monitoring for changes, or better yet, implement tools to monitor the cloud with automated corrective actions should your environment experience configuration drift.

33. 5 Fundamentals to Keep Data Secure in the Cloud

David Gugick, VP of Product Management at CloudBerry

34. Ensure a Secure Multi-Tenant Environment

Anthony Dezilva, CISO at PhoenixNAP

When we think of the cloud, we think of two things.  Cost savings due to efficiencies gained by using a shared infrastructure, and cloud storage security risk.

Although many published breaches are attributed to cloud-based environment misconfiguration, I would be surprised if this number was more than, the reported breaches of non-cloud based environments.

The best cloud service providers have a vested interest in creating a secure multi-tenant environment.  Their aggregate spending on creating these environments are far more significant than most company’s IT budgets, let alone their security budgets.  Therefore I would argue that a cloud environment configured correctly, provides a far higher level of security than anything a small to medium-sized business can create an on-prem.

Furthermore, in an environment where security talent is at a grave shortage, there is no way an organization can find, let alone afford the security talent they need.  Resulting in the next best thing, create a business associate relationship with a provider that not only has a strong secure infrastructure but also provides cloud monitoring security solutions.

Cloud Computing Threats and Vulnerabilities:Need to know


Облачные вычисления

  • Встроенный
  • Датчик
  • Облачные вычисления
  • Интернет вещей
    1. Подзарядка, сброс, перенастройка
    2. Три критических области, которые следует учитывать перед переносом данных в облако
    3. 5 советов по облачным вычислениям, чтобы сэкономить время (и деньги) на вашей стороне
    4. Детка, на улице облачно
    5. Что такое облачная безопасность и почему она требуется?
    6. Советы и рекомендации по облачным вычислениям
    7. Риск безопасности облака, с которым сталкивается каждая компания
    8. Облачная безопасность - это будущее кибербезопасности
    9. Как стать инженером по облачной безопасности
    10. Почему будущее безопасности данных в облаке программируется