19 передовых практик в сфере облачной безопасности в 2019 году
Хотя поставщики облачных услуг значительно усовершенствовали свои системы безопасности, пользование такими сервисами до сих пор сопряжено с рисками. К счастью, эти риски можно снизить до минимума с помощью представленных ниже передовых практик: Защитите свои данные в облаке: 1. Определите, какая информация наиболее уязвима. Хотя повсеместное внедрение защиты самого высокого уровня, конечно, будет излишним, компании должны обезопасить свои конфиденциальные данные — в противном случае они подвергаются риску потери интеллектуальной собственности и наложению нормативных штрафов. По этой причине в первую очередь необходимо определить, какая именно информация подлежит защите. Для обнаружения и классификации данных обычно используют специальный механизм. Установите комплексное решение, которое сможет обнаружить и защитить конфиденциальную информацию в вашей сети, на конечных устройствах и в облаке, и при этом обеспечит необходимый уровень гибкости и мобильности для вашей организации. 2. Как осуществляется доступ к данным и их хранение? Несмотря на то, что конфиденциальные данные можно хранить в облаке, такая возможность не является чем-то очевидным. По данным отчета McAfee за 2019 г. «О внедрении облака и рисках» (Cloud Adoption and Risk Report), 21% всех файлов в облаке содержат конфиденциальную информацию. Эксперты отмечают резкий рост этого показателя по сравнению с прошлым годом1. Хотя большая часть этой информации хранится в хорошо зарекомендовавших себя корпоративных облачных сервисах типа Box, Salesforce и Office365, важно понимать, что ни одно из этих решений не гарантирует 100% безопасности. Ввиду этого важно изучить разрешения и контекст доступа к данным в вашей облачной среде и внести необходимые корректировки. В некоторых случаях придется удалить конфиденциальные данные, уже размещенные в облаке, или поместить их в карантин. 3. Кто может делиться данными и каким образом? По сравнению с предыдущим годом объемы обмена конфиденциальными данными увеличились более чем на 50%.1 Какой бы продуманной ни была ваша стратегия по снижению угроз, нельзя только реагировать на инциденты: риски такого подхода слишком велики. Необходимо разработать политику контроля доступа и обеспечить ее применение еще до попадания данных в облако. Возможность редактировать документы должна быть только у небольшого числа сотрудников, большинству будет достаточно их просмотра. Аналогично, не всем пользователям, у которых есть доступ к определенным данным, следует дать разрешение на обмен ими. Необходимо создать группы и настроить права, чтобы пересылать такую информацию мог только узкий круг лиц с соответствующими полномочиями. Это существенно ограничит распространение конфиденциальных данных. 4. Не полагайтесь на шифрование облачного сервиса. Комплексное шифрование на уровне файлов должно быть основой всех мер по обеспечению безопасности в облаке. Хотя шифрование данных силами поставщиков облачных услуг защищает их от третьих сторон, у провайдеров при этом появляется доступ к вашим ключам шифрования. Для максимальной защиты компаниям необходимо внедрить современные криптографические решения с собственными ключами и применять их до загрузки данных в облако. Устраните внутренние угрозы облачной безопасности 5. Использование облака сотрудниками должно быть прозрачным. Даже если в вашей организации действует корпоративная стратегия по облачной безопасности, ваши сотрудники могут пользоваться облаком по собственному усмотрению. Большинство людей заводят учетные записи в Dropbox или пользуются онлайн-сервисами для конвертации файлов без предварительной консультации со специалистами ИТ. Чтобы оценить потенциальные риски работы сотрудников с облаком, проверьте журналы прокси-сервера, брандмауэра и системы управления информацией о безопасности и событиями безопасности (SIEM). Это позволит получить полное представление о том, какие облачные сервисы используются, и определить их ценность для сотрудников/организации в сравнении с рисками полного или частичного развертывания систем в облаке. Также следует помнить, что теневое использование — это не только доступ к новым или неразрешенным сервисам с известных конечных устройств. Компаниям также нужна стратегия по борьбе с перемещением данных из доверенных облачных решений на неконтролируемые ими смартфоны, планшеты и ноутбуки. Поскольку в облачный сервис можно зайти с любого подключенного к интернету устройства, неконтролируемая личная техника создает пробел в любой стратегии безопасности. Чтобы ограничить скачивание файлов на несанкционированные устройства, можно сделать проверку безопасности обязательным предварительным условием такого скачивания. 6. Составьте список безопасных сервисов. Хотя большинство сотрудников используют облачные сервисы в рабочих целях и с законными намерениями, некоторые из них неизбежно найдут и установят сомнительные решения. Из 1935 облачных сервисов, которые доступны для среднестатистической организации, 173 относятся к приложениям с высоким риском1. Знание того, какие решения используются в вашей компании, позволит разработать соответствующие политики безопасности. 1) Определите, данные какого типа допустимо размещать в облаке. 2) Составьте список безопасных облачных приложений, которыми могут пользоваться сотрудники 3) Проинформируйте сотрудников о передовых практиках в сфере облачной безопасности, мерах предосторожности и инструментах, которые необходимы для безопасной работы с этими приложениями. 7. Помните о важной роли конечных устройств. Большинство пользователей применяют для доступа к облаку веб-браузер, поэтому компаниям необходимо внедрить эффективные инструменты для защиты клиентской стороны и обеспечить своевременное обновление браузеров, чтобы предотвратить эксплуатацию их уязвимостей. Это ключевые компоненты облачной безопасности. Для полноценной защиты устройств конечных пользователей установите современные специализированные решения, например брандмауэры, особенно если ваша компания работает по модели IaaS или PaaS. 8. Смотрите в будущее. Новые облачные сервисы появляются в интернете довольно часто, а связанные с ними риски постоянно увеличиваются, что затрудняет разработку и обновление соответствующих политик вручную. Хотя спрогнозировать, к каким облачным приложениям будут обращаться сотрудники, слишком трудно, вы можете автоматически обновлять политики веб-доступа с помощью информации о профиле риска того или иного сервиса. Это позволит заблокировать доступ к такому облаку или вывести на экран предупреждение для пользователя. Ремедиацию замкнутого цикла (применение политик на основании общей категории риска облачного сервиса или его отдельных характеристик) необходимо интегрировать с защищенным веб-шлюзом или брандмауэром. Система будет автоматически обновлять и применять политики без нарушения работы существующей технологической среды. 9. Обеспечьте защиту от неосторожных пользователей и злоумышленников. Среди угроз безопасности, с которыми компании сталкиваются ежемесячно, по вине персонала происходят в среднем 14,8 инцидентов. В 94,3% организаций внутрисистемные угрозы возникают как минимум раз в месяц. Они неизбежны: вопрос лишь в том, когда эта проблема затронет вас. Угрозы такого рода включают в себя как непреднамеренное раскрытие (т. е., скажем, случайная пересылка документа с конфиденциальными сведениями), так и собственно вредоносную активность — например, когда менеджер по продажам скачивает полную версию клиентской базы перед уходом к конкурентам. И неосторожные сотрудники, и взломщики могут совершать действия, указывающие на злоумышленное использование облачных данных. Для отслеживания аномальных явлений и предотвращения внутренних и внешних утечек данных используйте решения с технологиями машинного обучения и анализа поведения пользователей. 10. Доверяйте. Но проверяйте. Пользователи, которые пытаются получить доступ к конфиденциальным данным в облаке с нового устройства, должны проходить дополнительную проверку. Возможное решение — автоматическое требование двухфакторной аутентификации во всех сценариях облачного доступа с высоким риском. Специализированные решения по облачной безопасности могут запросить у пользователя дополнительный идентифицирующий атрибут в режиме реального времени; они работают с имеющимися поставщиками идентификаторов и факторами аутентификации (аппаратными токенами, мобильными программными токенами или текстовыми сообщениями), которые знакомы конечным пользователям.
Дополнительная информация • McAfee 2019 Cloud Adoption and Risk Report О компании: McAfee — компания, обеспечивающая киберзащиту в пространстве (от устройства до облака). Опираясь на принципы сотрудничества и взаимодействия, специалисты McAfee создают корпоративные и потребительские решения, которые делают мир безопаснее. Наша целостная, автоматизированная и открытая платформа безопасности и "облачный" подход к созданию решений безопасности позволят всем вашим продуктам сосуществовать и обмениваться информацией об угрозах в любой точке цифрового ландшафта. Здесь автоматизация сочетается с человеческим разумом, что позволяет более эффективно оптимизировать рабочие процессы. Ваша команда освободится от ненужной оперативной нагрузки. Мы поможем организовать безопасность на территории и в облаке с помощью единой системы управления. Все ваши продукты по безопасности адаптируются к новым угрозам и будут работать в синергии, в целях повышения защиты на протяжении всего жизненного цикла угроз. http://www.mcafee.com
Контактное лицо: Алексей
Компания: McAfee
Добавлен: 17:08, 20.12.2019
Количество просмотров: 327
Страна: Россия
Компания «РОББО», российский производитель образовательной робототехники, организатор Scratch-Олимпиады, подвела итоги 8-й Международной Scratch-Олимпиады по креативному программированию. Финал 2024 года прошел в онлайн формате с 28 сентября по 4 октября. Итоговый протокол опубликован 14 ноября на creativeprogramming.org.
HRlink, разработчик сервиса кадрового ЭДО, автоматизировал кадровые процессы одного из лидеров российского FMCG-рынка компании «Юниливер Русь». Внедрение платформы позволило повысить эффективность работы HR-департамента – доля подписанных документов в среднем теперь составляет 97%.
Компания «Аэродиск», российский разработчик и производитель решений в области хранения данных и виртуализации, выпустил OpenSource-версию системы управления виртуализацией ИТ-инфраструктуры — Open vAIR.
«Газинформсервис» принял участие в ежегодной конференции компании «Аквариус» «AQ PRO Время решений». В рамках мероприятия, где эксперты и представители ИТ-индустрии обсуждали актуальные технологические вызовы в сфере отечественной электроники и программного обеспечения, «Газинформсервис» представил ряд докладов, посвящённых решениям для повышения информационной безопасности.
Разработка отечественной компании «Газинформсервис» — защищённая система управления базами данных (СУБД) Jatoba — интегрирована с программной платформой видеоконференцсвязи (ВКС) TrueConf Enterprise.
Планируете внедрение ERP, но не знаете с чего начать?
Начали настраивать 1С:ERP самостоятельно, но что-то пошло не так?
Не удовлетворены результатом внедрения другого интегратора?
Тогда регистрируйтесь на наш вебинар
«Как заказчику подготовиться к внедрению 1С:ERP на производственном предприятии»
21 ноября в 11:00
ЗАРЕГИСТРИРОВАТЬСЯ – (ССЫЛКА)
Платформа управления данными «N3.Аналитика», разработанная специалистами компании «Нетрика Медицина», позволяет органам управления здравоохранением Ставропольского края планомерно улучшать доступность и качество медицинской помощи
Компания Pragmatic Tools, разработчик программных продуктов для цифровой трансформации ИТ-инфраструктуры, и группа компаний MONT, один из крупнейших дистрибьюторов программного обеспечения в России, договорились о сотрудничестве
ООО «ПМП ТЕХ» объявляет о своей номинации и признании «Лучшим предприятием отрасли 2023» в ежегодной премии, организованной Центром аналитических исследований. Эта награда стала итогом всесторонней аналитики и оценки компании, проведенной на основании данных, полученных от федеральных статистических органов и налоговой службы РФ.
В связи с переходом на insource поддержку SAP-систем ритейлер внедрил observability платформу GMonit, которая позволила улучшить осведомленность о текущем состоянии вендорских решений, обеспечить их стабильность и эффективность работы.
Облачный провайдер Nubes и компания VolgaBlob подписали соглашение о стратегическом сотрудничестве. Тем самым они обеспечили возможность развернуть платформу Smart Monitor для своих клиентов.
Команда разработчиков российской системы для мониторинга и анализа бизнес-процессов Optimining рассказала о возможностях продукта участникам Форума All-over-IP & Digital Transformation 2024.
Эксперты «Рейтинга Рунета» считают приемлемым налог на рекламу в интернете в размере 3%. Эту цифру озвучил в качестве обсуждаемой заместитель председателя комитета Госдумы по информационной политике Антон Горелкин в своем телеграм-аккаунте.
«Рейтинг Рунета» разработал бот, упрощающий поиск подрядчика. Теперь заказчики могут найти разработчика сайта или PR-агентство за пару минут, ответив на несколько простых вопросов. С момента возникновения идеи до реализации прошло 10 месяцев. Стоимость разработки составила 1,3 млн рублей.