یک برنامه بازی CISO برای امنیت ابر

CISO ها هنوز با مفروضات بد و رویکردهای قدیمی با مشکل مواجه هستند. آنها باید از روز اول در تصمیم گیری برای رفع نیازهای تجاری منحصر به فرد شرکت کنند.

از آنجایی که کسب‌وکارها به طور فزاینده‌ای به فضای ابری مهاجرت می‌کنند، افسران ارشد امنیت اطلاعات (CISOs) با چالش‌های حیاتی متعددی در تضمین امنیت ابر قوی مواجه می‌شوند. باور نمی کنی؟ کارشناسان این موضوع را در اجلاس امنیت و مدیریت ریسک گارتنر برجسته کردند. a> گارتنر افزایش قابل توجهی ۲۴ درصدی در هزینه های امنیت ابری را پیش بینی می کند و آن را به عنوان سریع ترین بخش در حال رشد در بازار جهانی امنیت و مدیریت ریسک قرار می دهد.

تطبیق، تنظیم، اجرا

نکته اصلی این است که تغییر به محاسبات ابری نیازمند بازنگری اساسی در امنیت است. سازمان‌ها تلاش می‌کنند تا ابر را در عملیات‌های تجاری استاندارد ادغام کنند، با این حال، این انتقال دارای مشکلات بیشتری نسبت به آنچه اکثر CISO ها می‌دانند دارد. من این را در تحقیقاتم و تجربه خود به عنوان مشاور برای ۲۰ سال، ابر و قبل از آن دیده‌ام.

مشکلاتی که در محیط‌های IT سنتی وجود داشته‌اند در فضای ابری وجود دارند، مانند مدیریت، پیکربندی نادرست، زنجیره‌های تامین ناامن و خطوط لوله، از دست دادن یا خروج داده‌ها، و شکست در اسرار و مدیریت کلید. ابر خطرات منحصر به فردی را معرفی می کند، از جمله دید محدود، سطوح حمله پویا، تکثیر هویت، و سوء تفاهم در مورد مسئولیت مشترک، انطباق، مقررات و حاکمیت. و این فقط نوک کوه یخ است.

بیشتر CISO ها به من می گویند که هنوز دقیقاً متوجه نشده اند که چه چیزی باید تغییر کند. بسیاری از ارائه دهندگان ابر در مورد کارهای مورد نیاز برای ایمن سازی استقرار ابر خود گمراه می شوند. من توصیه‌های زیادی بر خلاف آن نوشته‌ام، اما هرگز ایده خوبی نیست که به کسی که مشکل دارد، بگویید «به تو گفتم»، بنابراین باید بفهمیم که چگونه بهتر عمل کنیم.

مدل مسئولیت مشترک

بسیاری از CISOها و تیم‌های امنیتی نیاز به توضیح در مورد مدل مسئولیت مشترک دارند که توسط ارائه‌دهندگان بزرگ ابر عمومی مانند Amazon Web Services (AWS) و Microsoft Azure استفاده می‌شود. این مدل مسئولیت‌های امنیتی ارائه‌دهنده ابر و مشتری را مشخص می‌کند و معمولاً از سال ۲۰۰۸ در اولین اسلاید هر ارائه امنیتی ابری قرار دارد.

چالش‌ها اغلب از مفروضات مرتبط با فناوری و میزان تعهدات امنیتی ارائه‌دهندگان ابر ناشی می‌شوند. انطباق، قابل مشاهده بودن داده های حساس، تداوم کسب و کار، و توافق نامه های سطح خدمات گیج کننده (SLA) به مشکلاتی تبدیل شده اند که CISO ها آن را نمی بینند. همانطور که یکی از دوستان CISO من پس از ۱۲ سال کار با امنیت ابری گفت: “این هرگز در مورد “مسئولیت مشترک” نبود، همیشه تمام مسئولیت من بود، دوره.

CISO ها اغلب در مدیریت امنیت ابر با چندین مشکل کلیدی مواجه می شوند:

• خطوط تجاری نیازهای امنیتی را به اندازه کافی برآورده نکرده اند.
• این ابر پیچیده‌تر از آنچه در ابتدا درک می‌شد است.
• ابتکارات استراتژی ابری، معماری، یا تحول اغلب بدون ورودی از CISO انجام می‌شوند، که سپس انتظار می‌رود که همه آن را ایمن کند.
• شکست در همکاری با CIOها برای ادغام امنیت در مهندسی پلتفرم و ایجاد خطوط لوله توسعه تنگناها با فرآیندهای امنیتی قدیمی.
• الگوهای امنیتی قدیمی برای فناوری های جدید اعمال می شود.

هیچ جایگزینی برای کار سخت (خسته کننده) وجود ندارد

من چندین استراتژی را برای پیمایش این چالش ها توصیه می کنم. استفاده از ابزارهای خودکار برای مدیریت امنیت محیط ابری بسیار مهم است. اتوماسیون دوست شماست. علاوه بر این، ایجاد حاکمیت امنیت ابری قوی می تواند به اولویت بندی هشدارها و لبه های سرویس ایمن کمک کند. دویدن در دایره‌ها برای هر ناهنجاری مقیاس نمی‌پذیرد، و احتمال اینکه «پسری که گریه می‌کرده گرگ» شوید، باعث رخنه می‌شود.

تجمیع تلاش‌های امنیتی و تلاش برای تغییر ناپذیری نیز بهترین شیوه‌های ضروری هستند. علاوه بر این، مهارت مجدد و ارتقاء مهارت نیروی کار امنیتی برای انطباق با چشم انداز در حال تحول امنیت ابری حیاتی است. بیشتر تخلفات ناشی از فقدان آموزش و نه کمبود فناوری است. CISO ها می دانند که می توانند بهترین فناوری امنیت ابری موجود را داشته باشند، اما نمی توانند احمقانه را برطرف کنند. پیکربندی‌های نادرست علت اصلی نفوذ ابر هستند.

البته، برای نیازهای منحصر به فرد شما باید به مسائل خاصی پرداخت. CISO ها اغلب ایده های خوبی را از تحلیلگران و شرکت های مشاوره اتخاذ می کنند که برای آنها مناسب نیست. امنیت ابری هرگز یک راه حل “یک اندازه مناسب برای همه” نیست، و باید برای همه سیستم ها سیستمی باشد و در آخرین مرحله استقرار نصب نشود. شرکت‌ها اغلب به مشکل می‌خورند، زیرا امنیت به‌دلیل پیوند ضعیف و در نتیجه ناکارآمد است.

ای کاش یک فرمول جادویی برای ارائه به CISOهایی که به دنبال امنیت ابری بهتر هستند، داشتم، اما این در مورد انجام کارها هوشمندانه و هدفمند برای برنده شدن در بازی است. مردم از شنیدن آن متنفرند – این به معنای برنامه ریزی و تحقیق خسته کننده تر است. اما هیچ جایگزینی وجود ندارد.