9 Questions You Should Ask About Your Cloud Security

9 Questions You Should Ask About Your Cloud Security


FREDERICK, Md.–(FIL DE NEGOCIS)–En un breu vídeo explicatiu i comentari, Josh Stella, arquitecte en cap de Snyk i director general fundador de Fugue, una empresa SaaS de seguretat al núvol que desenvolupa primer, assessora els líders empresarials i de seguretat sobre per què confiar en els enfocaments de “seguretat de la casella de selecció” al núvol. els deixa vulnerables als atacs.

Perquè els líders empresarials i els professionals de la ciberseguretat adquireixin els coneixements necessaris per frustrar els pirates informàtics que s’orienten constantment a la seva infraestructura i aplicacions al núvol, han de pensar com el general George S. Patton (o més aviat com George C. Scott, l’actor que va guanyar el premi). Oscar al millor actor per la seva interpretació del general a la pel·lícula de 1970 “Patton”).

En una escena primerenca, la càmera se centra en un llibre que Patton està llegint del general alemany Erwin Rommel. La qüestió és mostrar com Patton no es basa únicament en la intel·ligència militar per planificar la propera batalla. Està sent proactiu a l’hora d’aprendre tant com pot sobre com pensa i opera el seu adversari. La següent escena mostra les tropes de Patton llançant un atac devastador contra tancs i infanteria alemanys. Mirant a través dels seus prismàtics, Patton somriu i crida “Rommel, magnífic (excepcional), he llegit el teu llibre!”

Els líders empresarials i de seguretat també han de ser proactius per obtenir el màxim de coneixement possible sobre les motivacions i tàctiques dels pirates informàtics. No confieu només en el que us diuen les vostres solucions de seguretat perquè això només us donarà una falsa sensació de seguretat. Cada dia, els pirates informàtics esquiven els perímetres de seguretat, travessen fronteres arbitràries i eluden solucions de seguretat per, finalment, aconseguir les dades que volen sense ser detectats.

Probablement els vostres adversaris no escriuran llibres sobre les seves metodologies perquè els estudieu. Així doncs, aquí hi ha nou preguntes que tots els alts executius (CISO, CIO, CEO) han de preguntar sobre la seva seguretat al núvol i que els seus equips de seguretat al núvol haurien de saber les respostes en tot moment.

1. Fins a quin punt està el nostre entorn al núvol de compliment?

Cap organització empresarial que opera al núvol té un entorn que compleixi al 100% les polítiques reguladores i de seguretat. Però aquells que estan fent seguretat al núvol correctament saben exactament on és el seu entorn i on no ho compleix. Asseguren que les excepcions són només això: excepcions a la regla i tenen un pla prioritari per complir-ho tot.

Heu de saber en tot moment on us trobeu pel que fa a la seguretat i el compliment del vostre entorn al núvol. El vostre equip de seguretat hauria de revisar periòdicament les polítiques internes de seguretat de l’empresa per assegurar-vos que aborden adequadament els vostres casos d’ús i els vectors d’atac emergents. Entendre el procés que fa servir el vostre equip per descobrir la infraestructura del núvol que no compleix, el procés de correcció que té implantat i el temps que triga a fer que un entorn compleixi.

2. Quantes vulnerabilitats hem identificat i eliminat?

La vostra postura de seguretat al núvol no és estàtica i hauria de millorar amb el temps a mesura que el vostre equip millori a l’hora d’identificar i solucionar problemes. Hauríeu de tenir informació sobre quantes vulnerabilitats de configuració incorrecta hi ha al vostre entorn i quantes es corregeixen al dia.

Com que aquest esforç generalment implica una gran quantitat de treball manual que inclou eines de supervisió i sistemes de venda d’entrades, voldreu aprofitar l’automatització per ajudar el vostre equip a abordar l’escala de complexitat dels entorns de núvol empresarials moderns. Treballeu amb professionals de la seguretat al núvol amb experiència en domini per entendre com es produeixen les principals violacions del núvol modernes i utilitzar aquest coneixement per crear una política com a codi (PaC) que es pot utilitzar per comprovar automàticament si aquestes mateixes condicions existeixen a la infraestructura del núvol de l’organització. PaC està dissenyat per comprovar altres codis i entorns en execució per detectar condicions no desitjades. Permet a totes les parts interessades del núvol operar de manera segura sense ambigüitat o desacord sobre les regles i com aplicar-les als dos extrems del cicle de vida del desenvolupament de programari (SDLC).

3. Quantes vulnerabilitats hem evitat que es desplegassin?

Saber quines vulnerabilitats està descobrint i solucionant el vostre equip de seguretat al vostre entorn al núvol és només una peça del trencaclosques de seguretat holístic. També voleu saber quins passos proactius està prenent l’equip de seguretat per reduir la freqüència d’instal·lacions de configuracions incorrectes. Si no es pot “girar cap a l’esquerra” a la seguretat del núvol, s’assegura que hi haurà un flux ininterromput de vulnerabilitats del núvol al vostre entorn, i un equip de seguretat jugant a un joc interminable de cops d’aigua.

El vostre equip té seguretat integrada en canalitzacions d’integració contínua i lliurament continu (CI/CD)? El vostre equip està comprovant la infraestructura com a codi (un mitjà per crear i desplegar la infraestructura del núvol de manera programàtica) per trobar i corregir les configuracions incorrectes abans del desplegament, quan fer-ho és més ràpid, fàcil i segur? Si les respostes aquí són “no”, pot ser que la infraestructura com a codi i canalitzacions CI/CD no s’hagin adoptat. Però si s’utilitzen, almenys hi hauria d’haver un pla per incorporar seguretat en aquests processos.

4. Estem assegurant el pla de control de l’API del núvol?

Totes les violacions del núvol segueixen el mateix patró: compromís del pla de control. El pla de control és la superfície de les interfícies de programació d’aplicacions (API) que configura i opera el núvol. Les API són el principal motor de la computació en núvol; penseu-los com a “intermediaris de programari” que permeten que diferents aplicacions interactuïn entre elles. El pla de control de l’API és la col·lecció d’API que s’utilitzen per configurar i operar el núvol.

Els pirates informàtics busquen configuracions incorrectes. Malauradament, la indústria de la seguretat segueix un pas darrere dels pirates informàtics perquè moltes solucions de proveïdors no protegeixen els seus clients contra atacs dirigits al pla de control del núvol. Francament, la majoria se centren en les caselles de selecció que fan que els alts executius i els equips de seguretat se sentin millor, fins que són piratejats. És un teatre de seguretat que predomina massa al nostre negoci.

Avaluar el risc de radi d’explosió de qualsevol possible esdeveniment de penetració a causa d’una configuració incorrecta, vulnerabilitats de l’aplicació, claus API al codi font, etc., requereix experiència en arquitectura de seguretat al núvol per identificar i evitar els defectes de disseny que els atacants exploten cada dia. La seguretat al núvol es basa en el coneixement, i les infraccions es produeixen quan els defensors no tenen un coneixement total del seu entorn i no poden negar als atacants el descobriment d’aquest coneixement.

5. Quant d’arrossegament a la productivitat està creant la seguretat?

El núvol es refereix a la velocitat d’innovació, i la seguretat és el principal factor que limita la velocitat de la velocitat dels equips i de l’èxit que pot tenir la transformació digital. Els desenvolupadors d’aplicacions estan esperant la infraestructura que necessiten per desplegar? Els equips de DevOps estan esperant que la seguretat revisi i aprovi la seva infraestructura? Esteu invertint massa hores d’enginyeria al núvol en tasques manuals de seguretat i compliment que requereixen temps quan podrien estar creant més valor per a la vostra empresa i els vostres clients?

Mesurar periòdicament el rendiment del desenvolupador i de DevOps ajudarà a identificar els retards a causa de processos de seguretat insuficients que afecten la productivitat i la moral.

6. Com estem expressant les polítiques de seguretat?

Hi ha dues respostes a aquesta pregunta: les vostres polítiques de seguretat estan escrites en llenguatge humà i revisades per humans, o feu servir PaC. Si la resposta és la primera, els vostres entorns al núvol no poden ser adequadament segurs. Es necessita temps per revisar manualment les polítiques i aplicar-les al vostre entorn en un moment en què les infraccions del núvol triguen uns minuts a executar-se. I el risc d’error humà i de diferències d’interpretació és sempre present.

Amb PaC, les màquines interpretaran amb precisió una política de la mateixa manera cada vegada en temps real, el que significa que podeu avaluar contínuament molta més infraestructura de núvol de la que qualsevol exèrcit d’humans podria esperar fer. Si l’aplicació de la política de seguretat ha de canviar d’un desplegament a un altre, podeu expressar aquestes excepcions com a codi perquè tot estigui ben documentat. Quan implementeu l’automatització de seguretat mitjançant PaC, es poden trobar i solucionar problemes en desenvolupament o desplegament, abans d’arribar a la producció.

7. Amb quina rapidesa podem respondre als esdeveniments del dia zero?

La fallada de Log4J a principis d’any va enviar equips de seguretat a tot arreu lluitant per respondre. Aquest tipus d’esdeveniments de “dia zero” requereixen que els equips avaluïn amb rapidesa i precisió on hi ha vulnerabilitats i la seva gravetat per prioritzar la vostra resposta i esforç de correcció. La reacció a aquest tipus d’explotacions de dia zero requereix que els equips aprofundeixin més del que solen fer perquè sovint s’utilitzen les vulnerabilitats de les aplicacions per penetrar en l’entorn de la infraestructura del núvol i, finalment, comprometre el pla de control del núvol.

Els equips no només han de ser capaços d’identificar ràpidament les vulnerabilitats de les aplicacions, sinó també d’avaluar el radi potencial d’explosió que presenta cada instància de la vulnerabilitat per tal d’assignar la gravetat i prioritzar la correcció en conseqüència.

8. Tots els equips tenen el que necessiten per tenir èxit?

No hi ha sitges en la seguretat empresarial moderna. La seguretat requereix un enfocament integrat que transcorre entre equips i centres de costos, la qual cosa requereix lideratge executiu i patrocini per fer-ho bé. Per exemple, un enfocament de seguretat de canvi a l’esquerra requereix que els desenvolupadors i DevOps assumeixin una certa responsabilitat per trobar i solucionar problemes abans del cicle de vida del desenvolupament de programari. Però si la inversió en seguretat no reflecteix aquestes noves prioritats, hi haurà friccions que posaran en perill l’esforç.

L’èxit de seguretat depèn del patrocini executiu amb inversions adequades tant de pressupost com de temps.

9. Com serà el fracàs?

Més enllà dels CISO, veig massa pocs executius que realment es fan aquesta pregunta. No és difícil d’imaginar: tingueu en compte la violació del núvol que va afectar Imperva, una de les principals empreses de productes de seguretat, que finalment va provocar que el CEO abandonés. Després hi ha l’incompliment de Capital One, encara una de les més grans que ha colpejat mai una gran institució financera. I l’incompliment de Twitch a principis d’any, que va afectar no només Twitch, sinó també el pare Amazon. A diferència de la derrota del general Patton del general Rommel, no hi haurà victòries per als líders empresarials, només la recerca constant per evitar el fracàs.

La seguretat al núvol és una empresa eterna, com unir-se a un gimnàs i ser rigorós a l’hora d’utilitzar aquesta subscripció de manera coherent per mantenir-se en forma i mantenir-se en forma. Heu d’implementar una política que requereixi informes coherents sobre la postura de seguretat al núvol de la vostra organització. No voleu lluitar amb preguntes sobre què s’està fent per identificar i corregir vulnerabilitats, quantes es van eliminar la setmana passada o el mes passat, i on podeu estar exposats a una nova vulnerabilitat que està fent els titulars de les notícies; voleu respostes.

Sobre Josh Stella

Josh Stella és l’arquitecte en cap de Snyk i una autoritat tècnica en seguretat al núvol. Josh aporta 25 anys d’experiència en TI i seguretat com a director general fundador de Fugue, arquitecte principal de solucions d’Amazon Web Services i assessor de la comunitat d’intel·ligència dels EUA. La missió personal de Josh és ajudar les organitzacions a entendre com la configuració del núvol és la nova superfície d’atac i com les empreses han de passar d’una postura defensiva a una preventiva per assegurar la seva infraestructura de núvol. Va escriure el primer llibre sobre “Infraestructura immutable” (publicat per O’Reilly), té nombroses patents de tecnologia de seguretat al núvol i acull una sèrie educativa de classes magistrals de seguretat al núvol. Connecteu-vos amb Josh a LinkedIn i mitjançant Fugue a www.fugue.co.

Sobre Fuga

Fugue (part de Snyk) és una empresa SaaS de seguretat i compliment al núvol que permet a empreses regulades com AT&T, Red Ventures i SAP NS2 garantir la seguretat contínua al núvol i guanyar-se la confiança i la confiança dels clients, líders empresarials i reguladors. Fugue permet als desenvolupadors i als equips de seguretat automatitzar l’aplicació de les polítiques del núvol i moure’s més ràpidament al núvol que mai. Des del 2013, Fugue ha estat pionera en l’ús de l’automatització de seguretat al núvol basada en polítiques i ha obtingut la patent sobre la política com a codi per a la infraestructura del núvol. Per obtenir més informació, connecteu-vos amb Fugue a www.fugue.co, GitHub, LinkedIn i Twitter.

Tots els noms de marques i noms de productes són marques comercials o marques comercials registrades de les seves respectives empreses.

Etiquetes: Fugue, Snyk, seguretat al núvol, SaaS, compliment, Josh Stella, política com a codi, ciberseguretat, núvol, automatització de la seguretat al núvol, pla de control del núvol, configuració de xarxa, configuració del núvol, configuració incorrecta del núvol, violació de dades, pirates informàtics, interfície de programació d’aplicacions, API, aplicació de polítiques de núvol





Source link

Related post

Open House: What steps can be taken to check the rising cases of suicides among youths? : The Tribune India

Open House: What steps can be taken to check…

Education institution should set up helplines To begin with, it should be made clear that stress is a physical reaction to…
Here are the top 25 start-ups to work for in India

Here are the top 25 start-ups to work for…

It’s also great to see young professionals embracing India’s startup ecosystem, with 56% of all hires at the top 25 startups…
Micro:bit launches new Python Editor to help more children learn text-based coding languages

Micro:bit launches new Python Editor to help more children learn…

Micro:bit Educational Foundation, the educational nonprofit on a mission to improve children’s digital skills, today announced that it’s even easier for…

Leave a Reply

Your email address will not be published.