Анализи

Трите най-добри практики за защита на чувствителни данни в облака

CIO Media

Деб Радклиф, CSO

Неотдавнашно проучване на BetterCloud установява, че предприятията използват средно 80 отделни облачни приложения на трети страни за съвместна работа, комуникация, разработване, управление на договори и функции на ЧР, за оторизиране на подписи и поддръжка по други начин на бизнес функции, които обработват и съхраняват чувствителни данни. Тези видове приложения се наричат SaaS (софтуер като услуга).

Организациите разполагат приложения и цели бизнеси на публични платформи (PaaS, или платформа като услуга) и инфраструктури (IaaS, или инфраструктура като услуга). През 2020 г. 76% от предприятията изпълняват приложенията си на Amazon Web Servers (AWS), а 63% - наMicrosoft Azure.

Всички тези публични облачни услуги са необходими и продуктивни и дори носят обещания за по-защитена среда, отколкото традиционните центрове за данни, казва Майкъл Джонсън, съветник и бивш директор по информационна сигурност на Capital One. Но те също носят уникални рискове за чувствителните данни, които се обработват и съхраняват в тези облаци, а болшинството от тези рискове възникват от грешка на клиентите при настройка и управление на тези услуги.

Джонсън съветва Capital One по време на публичен инцидент през 2019 г., който изложи на риск 80 милиона лични записи, след като хакер се възползва от лошо конфигурирана облачна среда на трета страна. Джонсън и неговият екип ограничиха проникването и помогнаха за бързия арест на крадеца на данни, преди да бъдат компрометирани каквито и да било данни, благодарение на солиден план за реакция, прозрачност в отношенията с борда и изпълнителния екип и предварително съществуващи връзки с правоприлагащите органи.

Притежаването на план за реакция в отговор на рисковете от поставяне на чувствителни данни в облака трябва да бъде част от всяка политика за сигурност в облака. За да се стартират политики за защита на данни, които да се прилагат в публични облаци, е важно да се знае как данни от публични облачни услуги на трети страни могат да бъдат изложени на риск или откраднати.

Как данните биват уязвими в облака

Пробивът на сигурността на данните и тяхното изтичане в облачни услуги на трети страни се случват най-вече поради неправилно конфигуриране и неадекватен контрол на промените като прекомерни разрешения, идентификационни данни по подразбиране, зле конфигурирани групи AWS S3 и изключване на контролите за сигурност на облака, според годишен доклад за заплахите на Cloud Security Alliance (CSA). Това подсказва липса на стратегия за сигурност или архитектура за облака, която е следващата най-често срещана причина за компрометиране на данни, следвана от недостатъчно управление на идентичност и ключове, според доклада. Вътрешната заплаха е по-надолу в списъка. След нея идват несигурни приложни интерфейси, структурни неизправности и ограничена видимост към дейности в облака и контроли на сигурността.

"SaaS се превърна във важен фокус през 2021 г. поради работата от разстояние, казва Джим Рийвис, главен изпълнителен директор за CSA.Ние наблюдаваме феноменален ръст на възприемане на публичния облак, но в бързината организациите забравят да защитят периферната мрежа към облак. Хората например използват едни и същи идентификационни данни в няколко облачни услуги и затова расте броят на атаките, които използват списъци от откраднати пароли и потребителски имена за проникване."

Към май 2020 г. използването на Cisco WebEx се е увеличило с 600%, на Zoom с 350%, на Microsoft Teams с 300%, и на Slack с 200%, според проучване на McAfee. В първоначалния прилив към поддържане на работа от разстояние Рийвис посочва много грешки, които могат да доведат до изтичане на данни: ИТ екипи не защитават пространства за съхранение в облака, не прилагат сигурни практики на разработчика или не координират програми за идентичност и достъп. Някои дори включват фиксирани идентификационни данни в приложения, които престъпниците намират в хранилища. Той допълва: "Това са доста основни неща."

Ако следвате тези три най-добри практики, значително ще намалите риска от съхраняване и обработка на данни в облака.

1. Направете опис на използването на облака
Най-добрият начин за борба със заплахите към данните в облака е да поемете контрола върху използването на приложенията в облака и да направите оценки на риска в етапите на планиране на всяка нова инициатива, свързана с публични облачни услуги, съветва Ян Пойнтър, частичен директор по информационна сигурност за големи и средни предприятия.

Консенсусът сред директорите по информационна сигурност е, че потребителските екземпляри в облака невинаги са оторизирани и рядко се следят ефективно за данни, изложени на риск. "Поради това директорът по информационна сигурност трябва да бъде част от ръководния екип, казва Пойнтър. Те се нуждаят от предимството да знаят какво се случва и да създават колаборативна среда, където ръководителите на бизнес звена искат да се срещнат с тях, да споделят свой нов проект, след това да получат от тях оценка за продуктите в облака, за които търсят тяхната помощ."

Той казва, че в една компания е стигнал дотам да уведоми счетоводството за това кои облачни приложения и платформи на трети страна са одобрени за реимбурсиране. Ако някои бизнес звена или отделни потребители купят услуги, различни от одобрените, без предварително одобрение, тяхното искане за реимбурсиране ще бъде отказано.

Това беше ръчен, но ефективен начин да се наложи използването на бели списъци на приложения в облак. Списъците за разрешаване и забрана на приложения в облак също са силни технически контроли, използвани обикновено в корпоративно контролирани крайни точки или техники за нулево доверие като изолиране на браузъри, за да се контролира дистанционната сесия между потребителя, предприятието и облачното приложение.

2. Използвайте мерките за сигурност на облака
Джонсън предлага използването на предложения за сигурност на облака в установени облачни услуги и приложения, за които организацията ви е стандартизирана. Например той посочва AWS Inspector за оценка на съответствието на конфигурация на използвани приложения иAmazon GuardDuty за засичане на злонамерена дейност и неоторизирано поведение. Направете своята надлежна проверка на репутацията на доставчика на облак, казва той, и избягвайте малките фирми. "По-големите доставчици обикновено получават по-добри оценки за защита на данни и контрол на видимостта."

Собствените мерки за сигурност в облака са различни според модела на услугите. Доставчиците на IaaS и PaaS предлагат инструменти за сигурност и конфигуриране за приложения, които купувачи инсталират в тяхната инфраструктура или платформа. Те се предоставят в облака или чрез трети страни срещу заплащане. В случай на приложения от тип SaaS като DocuSign, Slack или Box сигурността е предимно включена. Microsoft 365 например предлага екземпляри на Advanced Audit for Exchange, SharePoint и Azure на Active Directory (наред с други предложения за сигурност).

Поглед в облачното предприятие на Box дава представа как се обработват входящи и изходящи чувствителни данни от трети страни доставчици. Box управлява множество приложения, за да поддържа работни потоци, цифрови договори, ЧР, срещи в Zoom, съхранение на стари данни, натоварване на ЧР и други функции на ЧР. Облаци в облаци се появяват, тъй като потребители могат да свържат Box към други облачни услуги като Facebook Workplace с пълни способности за трансфер на данни чрез Box Shuttle.

Тъй като все повече приложения се появяват във вселената на Box, вградените комплекти от инструменти за сигурност и съответствие за техните потребители са критични диференциатори, казва Алок Оджа, вицепрезидент за продукти за сигурност, защита на личните данни и съответствие в Box. Оджа посочва Content Cloud като място за потребители на Box, където да постигнат постоянна защита в различни работни потоци и видимост, за да виждат кои файлове и данни се обменят в приложението заедно с това кой има достъп до данните и за какви цели.

Друг собствен инструмент, Box Shield, може да се конфигурира да открива и класифицира чувствителни данни, да намали риска и от вътрешни атаки и атаки с малуер, да разбере какви регулаторни изисквания са свързани с данните и да гарантира следа от одит за регулатори. Освен това той препоръчва подновен фокус върху управлението на идентичността и достъпа (IAM), по-специално употребата на многофакторно удостоверяване за външни потребители и партньори вместо пароли за многократна употреба.

3. Защитете данните на слоя за данни
Арти Раман, основател и СEO на компанията за защита на данни Titaniam, предупреждава за доверяването на контроли за идентичност и достъп за защита срещу изтичане на данни и казва, че контролите трябва да се фокусират директно около и в данните, които се предават през и съхраняват в публични облаци. Но защитата на данните от крайна точка до предприятие до облак е пословично трудна и трябва да е достатъчно гъвкава, за да премине всички тези граници и за да защити данните през целия им цикъл на живот.

"Ние смятаме, че криптирането и защитата на данни трябва да продължат да присъстват, когато данни се индексират, търсят, натрупват, заявяват или по друг начин манипулират чрез поддържа на данни-в-употреба в адаптивно защитен формат без ограничаване на която и да е функционалност, казва тя. Това включва традиционни техники за криптиране, както и нови техники с възможност за търсене, които използват традиционно криптиране в допълнение към тях, за да се изпълнят изискванията на стандартите за съответствие."

Политиката за унищожаване на данни също е важна, допълва Оджа от Box. Данните, които вече не са необходими в облачни приложения и инфраструктура на трети страни, трябва да бъдат изтрити, за предпочитане автоматично, съгласно изискванията на предприятието и регулаторните изисквания, установени за тези данни.

Превод и редакция Мариана Апостолова



X