Хмарна безпека: хмарні обчислення стали фундаментальною основою операцій для підприємств і організацій будь-якого розміру. Те, що легко для користувача, виявляється складним для адміністраторів на другий погляд і з точки зору обслуговування. Тому менеджери з ІТ-безпеки повинні знати, що хмарні структури неминуче вимагають керування виправленнями, і що це завдання є їхньою відповідальністю.
Все більше і більше робочих навантажень та інфраструктури переміщуються в хмару, яка надає мобільні послуги та контент-послуги та служить альтернативою традиційній мережевій інфраструктурі. Вісім із десяти компаній зараз розробили або працюють над багатохмарною стратегією, і приблизно 82 відсотки робочих навантажень уже є.
поверхні атаки в хмарі
Однак це також збільшує ризики: через співіснування локальних обчислювальних технологій і загальнодоступних і приватних хмар поверхня атаки зросла експоненціально, а робота груп ІТ-безпеки значно ускладнилася.
На жаль, незважаючи на те, що більшість корпоративних хмарних середовищ засновані на Linux, системи, що працюють під керуванням цієї операційної системи, часто не помічаються, коли йдеться про кібербезпеку. Як наслідок, вони часто неправильно налаштовані та/або погано керовані. Тому кіберзлочинці все частіше націлюються на загальнодоступну хмарну інфраструктуру та системи Linux для атак програм-вимагачів і криптозловмисників. Вони знають, що їхні кампанії можна масштабувати, використовуючи поширені неправильні конфігурації та вразливості в популярних публічних хмарах, таких як AWS і Azure.
П'ять методів керування виправленнями в хмарі
Щоб захистити мультихмарні та гібридні ІТ-структури, кількість яких зростає, потрібне інтегроване керування виправленнями, яке, окрім локальних технологій, також охоплює всі ресурси та методи для розподілу хмарних робочих навантажень. Універсального підходу до керування виправленнями для хмарних навантажень не існує. Але ІТ-менеджери повинні дотримуватися наступних принципів:
Оцініть всю інфраструктуру наскрізно
Вони повинні мати можливість постійно оцінювати безпеку всієї своєї інфраструктури – від локальних технологій до послуг та інфраструктури в хмарі. Це єдиний спосіб визначити, які засоби безпеки діють і, що важливіше, які ще відсутні. Тільки в загальній перспективі вони можуть виявити прогалини в безпеці та неправильні конфігурації та отримати розуміння того, наскільки вразливими є їхні процеси, дані та системи.
використовувати керовані служби
ІТ-інфраструктура організацій постійно змінюється, у будь-який момент можна виявити нові прогалини в безпеці або неправильні налаштування. Постачальники керованих послуг можуть допомогти відповідальним особам виявити вразливі місця в їхній інфраструктурі, які ще не пов’язані з конкретною відомою загрозою, але які можна виправити зараз.
Пов’язати керування виправленнями, управління ризиками та дотримання вимог
Багато компаній покладаються на широку програму управління ризиками, щоб відповідати нормативним вимогам. Завдяки безперервному управлінню вразливістю ви можете переконатися, що всі системи захищені та немає прогалин у безпеці, і можете це довести.
Інтегруйте керування виправленнями з технологіями виявлення загроз і реагування на них
Керування виправленнями є найефективнішим, якщо інтегровано з комплексною хмарною платформою захисту робочого навантаження, яка поєднує його з можливостями виявлення атак і пом’якшення. Немає виправлень для ризиків нульового дня. Однак за допомогою інтегрованого рішення служби безпеки можуть використовувати можливості виявлення кінцевих точок і функції реагування. Це може допомогти закрити поточну вразливість і краще ідентифікувати та завчасно виправляти подібні вразливості в майбутньому.
консолідувати технології
🔎 Йорг фон дер Гейдт, регіональний директор DACH у Bitdefender (Зображення: Bitdefender).
Керування виправленнями полягає не лише в тому, щоб визначити, чи потрібне виправлення, а потім розгорнути його, якщо необхідно. Скоріше це складний процес — від постановки до тестування та керування конфігурацією. Використання кількох різних технологій для оцінки вразливості, керування виправленнями та контрзаходів вимагає часу, ресурсів і, отже, грошей. ІТ-команди можуть спростити й автоматизувати свої процеси безпеки за допомогою єдиної комплексної платформи безпеки, яка забезпечує видимість і контроль усієї інфраструктури, включаючи всі системи, які розподіляють хмарні робочі навантаження.
Виправлення в хмарі є відповідальністю користувача
ІТ-менеджери ніколи не повинні забувати одну річ: кожен користувач несе відповідальність за власну хмарну безпеку. Хакерам вигідний той факт, що багато користувачів не знають або приховують це. Адміністратори або CISO часто не знають про наслідки моделі спільної відповідальності для хмарного забезпечення. Дуже багато користувачів хмари досі не розуміють, що постачальники хмарних послуг відповідають лише за інфраструктуру. Однак за встановлення виправлень і захист операційних систем, програм і робочих навантажень, особливо у випадку служб інфраструктури як послуги, відповідають користувачі цих хмарних служб. Зрештою, це стосується всіх даних, що зберігаються або обробляються в хмарі – незалежно від моделі обслуговування. Таким чином, безперервне керування виправленнями, особливо для Linux і хмарних робочих навантажень, має займати важливе місце в порядку денному відповідальних осіб.
Більше на Bitdefender.com
Про Bitdefender Bitdefender є світовим лідером у сфері рішень для кібербезпеки та антивірусного програмного забезпечення, що захищає понад 500 мільйонів систем у понад 150 країнах. З моменту заснування в 2001 році інновації компанії регулярно забезпечували відмінні продукти безпеки та інтелектуальний захист для пристроїв, мереж і хмарних сервісів для приватних клієнтів і компаній. Як найкращий постачальник, технологія Bitdefender міститься в 38 відсотках розгорнутих у світі рішень безпеки, їй довіряють і визнають професіонали галузі, виробники та споживачі. www.bitdefender.de