Featured image of post Biden yönetimi, güvenliği geliştirmek için CSP'leri görebilir, ancak gerçek mağaracı? Kendi kendini güvende
Cloud Security

Biden yönetimi, güvenliği geliştirmek için CSP'leri görebilir, ancak gerçek mağaracı? Kendi kendini güvende

Yönetim, bulut sağlayıcıları için siber saldırganlara karşı güvenlik güçlendirmek için görünse de, Amazon, Microsoft ve Google gibi uzmanlar kadının üzerine olduğunu söylüyorlar.

image

Resim: Maksym Yemelyanov/Adobe Stock Başkan Joe Biden’in yönetimi, son zamanlarda serbest bırakıldı Ulusal Siber Güvenlik Stratejisi De ki: kritik sektörler Telekomünikasyon, enerji ve sağlık gibi, bulut servis sağlayıcılarının siber güvenlik ve dayanıklılığına güveniyor.

Yine de, Son raporlar Yönetimin büyük bulut servis sağlayıcılarının büyük bir tehdit yüzeyi oluşturabileceği konusunda endişeleri vardır - bir saldırganın kamu ve özel altyapı ve hizmetleri bozabileceğinden biri.

Bu endişe, sektörün monolithic doğası ile tartışmak zordur. Araştırma firması Gartner, en son incelediğinde, dünya çapında bulut altyapısı-as-a-service pazar payına bakın, Amazon’u ilk başta 35.4 milyar dolarlık geliri 2021’de, piyasa payının geri kalanıyla:

  • Amazon: % 38.9%

  • Microsoft: % 21.1%

  • Alibaba: % 95%

  • Google: 7.1%

  • Huawei: %6,6) The The The The The The The The The The The The The Synergy Group Birlikte, Amazon, Microsoft ve Google, üç ay içinde bulut altyapı gelirlerinin üçte ikisi için hesaplandığını bildirdi. 30 Eylül 2022, piyasanın% 80’inden fazlasını kontrol eden sekiz en büyük sağlayıcıyla, üç merkezi web gelirini tercüme etti.

    Jump to:

  • Bulut servis sağlayıcılarına odaklanın?

  • Bulut sağlayıcıları zaten yeterince teklif sunuyor

  • Bulut müşterileri güvenlik uygulamak zorunda

  • Büyük bulut tabanlı tehditlere karşı savunmak için müşteriler üzerinde

  • Bulut operasyonlarınıza büyük tehditler

  • Etik hack, bulutta ve on-premiseste güvenli operasyonlar olabilir Bulut servis sağlayıcılarına odaklanın?

Yönetim Raporu, yönetimin raporunu belirtti Tehdit aktörleri Bulut, alan kayıtları, barındırma ve e-posta sağlayıcıları da, istismarlar, koordinat işlemleri ve casusları yürütmek için diğer hizmetleri kullanın. Ek olarak, güvenli tasarım ilkelerinin benimsenmesini sağlamak için düzenlemeler önermiştir ve bu düzenlemeler “ beklenen siber güvenlik uygulamaları veya sonuçları” tanımlayacaktır. ""

Ayrıca, yönetimdeki boşlukları bulut bilişim endüstrisinde daha iyi siber güvenlik uygulamaları sürmek ve diğer temel üçüncü taraf hizmetleri ve endüstri, kongre ve düzenleyiciler ile onları kapatmak için çalışacaklar.”

Eğer yönetim, küresel web’in büyük bataklıkları aracılığıyla trafiği kontrol eden CSP’ler ile güvenlik uygulamalarını düzenlemek için bir göz ile konuşuyorsa, CSP’ler zaten yerinde güçlü güvenlik protokollerine sahip olabilir, Chris Winckless, üst düzey yönetmen analisti Gartner.

“Cloud sağlayıcıları, yaptıklarında son derece güvenli olmanın tüm kanıtlarından görünüyor, ancak bunu nasıl yaptıkları konusunda şeffaflık eksikliği endişe verici” dedi Winckless.

Görmek: Bulut güvenliği, araçların çoğalması ile hampered, “ Ağaçlar için en iyisi” problemine sahiptir. (Teknoloji)

Bununla birlikte, Winckless ayrıca dayanıklılık için limitler olduğunu ve buck sonunda müşterinin masasında topraklar olduğunu söyledi.

“ Bulutun kullanımı güvenli değildir, ya bireysel kiracılardan, iyi yapılandırmayın veya resiliency için tasarlanmamış veya ceza / devlet aktörlerinden yararlanabilen, esneklik modeli için ödeme yapabilir.” dedi.

Bulut sağlayıcıları zaten yeterince teklif sunuyor

Chris Doman, bulut olayı yanıt firması Cado Security’nin başlıca teknoloji görevlisi, büyük bulut servis sağlayıcılarının bulut altyapısını yönetmek ve korumak için zaten en iyisidir.

Güvenlik kapsama alanı

  • 2023 için Top siber güvenlik tehditleri

  • En İyi IT varlık yönetimi yazılımı

  • En kapsamlı taşınabilir siber güvenlik cihazıyla tanışın

  • E-postanızı şifreleme, şifre yönetimi ve daha fazla (TechRepublic Premium) ile nasıl güvence altına alın

    “Onların yeteneklerini sorgulamak ve ABD hükümetinin, yönetmelik ve güvenlik rehberliği açısından daha iyi olacağını söylemek yanıltıcı olacaktır,” dedi Doman.

Bulut sağlayıcılar üzerindeki “know-your-customer” gereksinimleri iyi niyetli olabilir, ancak saldırganların kanun uygulamalarından daha ileri giden hizmetleri kullanmasına engel olur, dedi.

Bulut altyapısı için en büyük tehdit fiziksel felaket, teknoloji başarısızlıkları değil, Doman dedi.

“Finansal hizmetler endüstrisi, birden fazla bulut sağlayıcının herhangi bir başarısızlık noktalarından kaçınması için bir sektörü nasıl çeşitlendirdiğinin büyük bir örneğidir” dedi Doman. “Critical altyapı varlıkları buluta yönelik modernleşme planları hakkında düşünmek gerekir. Çoğu kritik altyapı kuruluşu tamamen çoklu buluta gitmek için bir konumda değildir, maruz kalma noktaları. ""

Bulut müşterileri güvenlik uygulamak zorunda

Biden yönetimi bulut ve internet altyapısı sağlayıcıları ile “U.S. altyapısının değerli kullanımı, hükümetle kötü niyetli kullanım raporlarını paylaşıyor” ve “bu sistemlerin kötüye kullanılması ve … Kötü niyetli aktörlerin ilk etapta bu kaynaklara erişmesini daha zor," bunu yaparken zorluklar yaratabilir.

Mike Beckley, kurucu ve baş teknoloji yetkilisi süreç otomasyon firması Appian, hükümetin hükümet sistemlerinin kırılganlığı üzerindeki alarmı haklı olarak dile getirdiğini söyledi.

“Ancak, daha büyük bir probleme sahiptir ve bu, yazılımlarının çoğu bizden veya Microsoft veya Salesforce veya Palantir’den değil, bu konuda,” dedi Beckley. “Özel sözleşmelerde düşük maliyetli bir teklifci tarafından yazılır ve bu nedenle, ticari sağlayıcı olarak çalıştığımız kuralları ve kısıtlamaların çoğu tarafından gizlice yazılır.

“Hükümet her gün satın almayı düşünüyorsa, en az deneyim ya da en az nitelikli ya da hatta yeni kütüphaneler ve kodları yüklemek için hakları ve izinleri olan en kötü yüklenici. Bu özel kod boru hatlarının her biri her proje için inşa edilmeli ve bu nedenle sadece bunu yapan ekip kadar iyi. ""

Büyük bulut tabanlı tehditlere karşı savunmak için müşteriler üzerinde

Erkek faktörleri görmek Amazon, Google ve Microsoft gibi CSP’ler için büyük bir sorudur, dedi Mike Britton, Abnormal Güvenlik Genel Sekreteri.

“Ultimately, bulut dış sunucular için sadece başka bir fantezi kelimedir ve bu dijital alan şimdi bir metadır - dolarda pennies için petabaylar saklayabilirim,” dedi Britton. “Şimdi her şeyin API ve internet tabanlı olduğu bir dünyada yaşıyoruz, bu yüzden eski günlerde olduğu gibi bir engel yok.

SEE: Top 10 açık kaynak güvenliği ve operasyonel riskler (Teknoloji)

“ Paylaşılan bir sorumluluk matrisi var, bulut sağlayıcısının donanım işletim sistemi yamaları gibi sorunlarla başa çıktığı, ancak müşterinin kamuoyunun ne ile karşı karşıya olduğunu ve tercih ettiğini bilmek sorumluluğu. Bir “hayır” eşdeğer olsaydı iyi olacağını düşünüyorum, “Bunu yapmak demek istedin mi? ” depolama kovaları kamu yapmak gibi eylemler söz konusu olduğunda.

“Bir S3 depolama kovasındaki 50 terabayını yönetin ve yanlışlıkla bunu halka açık hale getirmek, kendinizi ayağında vuruyor. Bu nedenle, bulut güvenlik duruş yönetimi çözümleri faydalıdır. Ve bulut hizmetlerinin tüketicileri siparişte iyi süreçlere sahip olmalıdır. ""

Bulut operasyonlarınıza büyük tehditler

Check Point Security’s 2022 Bulut Güvenliği raporu, bulut güvenliği için önde gelen tehditleri listeledi.

Yanlışlar

Bulut veri ihlallerinin öncü bir nedeni, organizasyonların bulut güvenlik duruş yönetimi Stratejiler bulut tabanlı altyapılarını yanlış yapılandırmalardan korumak için yetersizdir.

Una Yetkili erişim

Ağ çevresi dışında Bulut tabanlı dağıtımlar ve doğrudan halka açık internetten erişim kolay hale getirir.

Insecure arabirimleri ve APIs

CSP’ler genellikle müşterileri için bir dizi uygulama programlama arayüzü ve arayüz sağlar, Check Point’e göre, ancak güvenlik, bulut tabanlı altyapıları için arayüzleri güvenceye almış olup olmadığına bağlıdır.

Hijacked hesaplar

Sürpriz değil, şifre güvenliği zayıf bir bağlantıdır ve genellikle şifre yeniden kullanımı ve fakir şifre kullanımı gibi kötü uygulamalar içerir. Bu problem, phishing ataklarının ve veri ihlallerinin etkisini abartır, çünkü birden farklı hesaplarda tek bir çalınan şifrenin kullanılmasına olanak sağlar.

görünürlük eksikliği

Bir organizasyonun bulut kaynakları, şirket ağı dışında bulunur ve şirketin sahip olmadığı altyapı üzerinde çalışır.

“Sonuç olarak, ağ görünürlük elde etmek için birçok geleneksel araç bulut ortamları için etkili değildir,” Check Point belirtti. “Ve bazı organizasyonlar eksik bulut odaklı güvenlik araçları . Bu, bulut tabanlı kaynaklarını izleme ve onları saldırılara karşı koruma yeteneğini sınırlayabilir. ""

Dış veri paylaşımı

Bulut verileri kolayca paylaşıyor, bir e-posta daveti ile bir ortaklığa veya paylaşılan bir bağlantı aracılığıyla. Bu veri paylaşımının kolaylığı bir güvenlik riski oluşturur.

Mali

İçerdekiler perimeter içinde olmasına rağmen, kötü niyetli biri bir organizasyonun ağına ve içerdiği hassas kaynakların bazılarına izin verebilir.

“ Bulutta, kötü niyetli bir içeriden algılama daha da zor,” dedi CheckPoint’in raporu. Bulut dağıtımları ile, şirketler temel altyapılarını kontrol etmiyor, birçok geleneksel güvenlik çözümü daha az etkili hale getiriyor. ""

Cyber büyük işletme olarak saldırıyor

Siber suç hedefleri çoğunlukla kârlılığa dayanmaktadır. İnternetten halka erişilebilir olan bulut tabanlı altyapı uygunsuz bir şekilde güvence altına alınabilir ve hassas ve değerli veriler içerebilir.

Denial-of-service saldırıları

Bulut, birçok organizasyonun işi yapabilme yeteneği için gereklidir. Bulutu iş-kritik verileri depolamak ve önemli içsel ve müşteri odaklı uygulamaları yürütmek için kullanırlar.

Etik hack, bulutta ve on-premiseste güvenli operasyonlar olabilir

Organizasyonlar için kendi perimetrelerini güvence altına almak ve iç ve dış ortamlardaki normal bir testin düzenli bir kısmını yürütmek önemlidir.

Eğer web kalem testi ve daha fazlası için etik hack becerilerini geliştirmek istiyorsanız, bu kapsamlı TechRepublic Academy Academy’yi kontrol edin Etik hackleme kursu paketi .

Bir daha okuyun: Güvenlik risklerini nasıl en aza indirmek için: Bu en iyi uygulamaları başarı için takip edin (Teknoloji)

image

 ###  Cybersecurity Insider Newsletter

Organizasyonunuzun BT güvenlik savunmalarını en son siber güvenlik haber, çözümleri ve en iyi uygulamaları tutarak güçlendirin.

Salı ve Perşembe günleri teslim edildi Bugün kaydolun

© 2024 BilbyTech