纳兹·福拉迪拉德(Nazy Fouladirad)是Tevora的总裁和首席运营官,Tevora是一家全球领先的网络安全咨询公司。她致力于为全国和全球的组织创建更安全的商业和在线环境。她热衷于服务社区,并担任当地非营利组织的董事会成员。
將業務運營元素轉移到雲端可以是企業的一大步驟。它使企業能夠快速擴展應用程序和服務,而保持組織的敏捷性,以應對市場需求的變化。然而,雲端採用的增加也可能在誰負責管理數據安全方面增加了一定的混亂。不幸的是,許多企業假設當客戶數據不再在他們手中時,他們不再對其保護負責。但這是一個危險的假設。共享責任模型(SRM)被引入以幫助企業和其雲端提供商在數據安全方面明確界定責任。以下,我們將更清楚地闡述這個模型的構成以及它如何幫助您加強企業的安全態勢。什麼是共享責任模型(SRM)?有很多原因使企業決定將業務運營的部分或全部轉移到雲端。無需手動配置伺服器和數據庫或其他基礎設施元素,可以幫助企業減少開支和減輕內部團隊的負擔。然而,企業有時會忘記,「管理」這些基礎設施的責任不等於「數據安全」的責任。SRM將責任分配在雲端服務提供商(CSP)和其合作的企業之間。它基本上概述了哪些安全方面歸屬於哪一方,以及如何管理和實施安全措施。了解「雲端中的」和「雲端之外的」SRM圍繞著兩個關鍵術語建構:OF the Cloud和IN the Cloud。當我們談論OF the Cloud的要求時,我們指的是CSP負責的內容。在這種情況下,您可以將CSP視為一棟公寓樓的房東。他們負責整棟樓的安全,包括各種安全防護、安全門和入口協議,以及確保水、電等公共設施正常運作。在雲端環境中,這意味著安裝和維護所有網絡設備以及解決任何基礎服務需求,以保持環境的順暢運行。作為雲端客戶,您負責IN the Cloud的元素。例如,如果您是公寓樓的一位租戶,卻不小心將門鎖未鎖,導致有人偷走您的個人物品,房東不一定會承擔責任。如果您在雲端存儲數據,您始終有一定的責任來保持其安全。雖然這不一定意味著所有責任都歸屬於您,但您仍然需要負責身份和訪問管理(IAM)、應用程序安全和網絡加固等事項。責任的滑動規模由於大多數雲端環境和其與CSP的關係的動態性質,SRM在責任分配方面運作著一個滑動規模,根據合作關係的類型,責任會在一定程度上發生變化。以下是三種常見的雲端模型及其差異: 基礎設施即服務(IaaS):此模型使CSP負責安全某些基礎雲端組件,包括物理數據中心、伺服器、存儲硬件和虛擬化層。雲端客戶負責以上所有內容,包括安全客戶操作系統(OS)、管理所有中間件和運行時環境以及保護應用程序代碼和其中的數據。 平台即服務(PaaS):此模型將更多責任轉移給CSP,後者負責管理任何操作系統、數據庫系統或運行時環境。他們還會維護平台本身。對於企業來說,這可以大大減少基礎設施管理的負擔,並使他們能夠更專注地管理和保護應用程序。 軟件即服務(SaaS):此模型是雲端用戶最為放鬆的格式,因為它將所有基礎設施責任轉移給CSP。然而,這並不意味著安全責任完全轉移。雲端用戶仍然需要管理用戶訪問、許可和安全設置的管理層面。 為什麼了解SRM很重要消除歧義雖然許多組織擔心其最大的雲端安全威脅是網絡攻擊者,但雲端關係中的誤解和溝通不畢也是一個問題。如果CSP和其客戶錯誤地假設另一方正在處理某些安全任務,則可能會導致客戶數據的嚴重漏洞。了解SRM有助於消除這種歧義,為雙方在制定服務級別協議(SLA)和遵循相互要求時提供更多透明度。避免過度委派陷阱許多新進雲端環境的企業誤解了雲端中的責任。由於他們支付的是「服務」,所以經常假設CSP代表企業處理一切。然而,在雲端安全方面,您不希望陷入過度委派的陷阱,特別是在CSP設置的行政安全控制方面。SRM幫助保持這些責任在視野中,並使企業在執行數據保護政策方面保持積極參與。填補合規性差距了解安全合規標準有時可能會使企業在雲端環境中感到困惑。雖然所有CSP都有遵循特定合規框架的責任,但雲端用戶在這方面也有一定的責任。SRM概述了CSP在基礎設施管理方面的責任,同時也要求雲端用戶對其應用程序和服務的構建和運行負責,特別是在客戶數據的存儲和訪問方面。共享責任模型如何改善您的安全態勢明確歸屬並防止誤解在您的內部和外部環境中,所有安全任務都應該明確建立安全責任。SRM使得消除安全責任的灰色地帶變得更加容易,並允許您在內部和與CSP之間建立一致的治理。關於安全準備的正式文件有助於減少可被利用的漏洞數量,並消除基於假設的安全規劃。優化內部安全資源了解雲端提供商在安全基礎設施管理方面的角色,使得保持安全團隊專注於對企業最重要的領域變得更加容易。這使您可以將資源密集型的過程,如伺服器修補或數據庫管理,委派給CSP,使您的團隊能夠更專注於保護應用程序代碼、設計和實施新的用戶訪問策略。強制數據和身份中心雲端基礎設施組件可以在數據泄露事件中被替換,但您的財務穩定性和商業聲譽可能會遭受不可逆轉的損害。應用SRM幫助企業減少對CSP的依賴,更加關注開發重要的安全原則,這些原則可以應用於管理員和組織中的其他關鍵利益相關者。強制安全優先配置大多數新的雲端服務提供了可配置的安全設置。然而,缺乏關於雲端配置漏洞的認識可能會導致未來的重大安全風險。SRM幫助企業關注安全優先配置,優先考慮行業合規性而非速度和便利性。許多安全框架現在圍繞SRM政策建立,確保新的虛擬機或數據庫配置在部署前滿足嚴格的要求。此外,外部滲透測試服務旨在了解SRM的要求,並在運行主動漏洞評估時,了解企業如何履行其相關責任。利用這些服務可以幫助組織壓力測試其安全組、IAM策略和數據加密方法,以確保它們符合最佳行業標準。通過審計日誌提高可視性由於SRM通常涉及雲端提供商和其客戶之間的合作和透明度,因此它有助於使每個人都更加了解其安全加固的有效性。安全審計和主動監控都是強制執行SRM政策的基本元素,適用於CSP和雲端客戶。現在有許多雲端原生和第三方工具可供企業使用,以監控其雲端安全的整體強度,並快速有效地應對新興的安全風險。這一切意味著更積極的安全規劃,幫助減少安全事件的發生並降低數據泄露的風險。將雲端安全放在首位將共享責任模型作為核心戰略的一部分對於您的企業增長至關重要。了解和承認您在雲端安全方面的角色有助於您避免對責任的危險假設,並使您更加積極地參與保護所有數字攻擊面的安全。
所有形式的网络攻击对组织都构成危险。即使小规模的数据泄露也可能导致耗时且昂贵的日常运营中断。企业面临的最具破坏性的网络犯罪形式之一是勒索软件攻击。这种攻击在设计和传播方式上都非常复杂。仅仅访问一个网站或下载一个受损文件就可能使整个组织陷入停顿状态。为了对抗勒索软件攻击,需要仔细规划和严格的网络安全准备。强大的端点安全任何用于访问您的业务网络或相邻系统的设备都被称为“端点”。虽然所有企业都有多个端点需要注意,但具有分散团队的组织往往有更多需要跟踪和保护的端点。这通常是由于远程工作员工从个人笔记本电脑和移动设备访问公司资产所致。企业需要管理的端点越多,攻击者找到可利用的入口点的可能性就越高。为了有效地减轻这些风险,首先需要确定所有潜在的访问点。然后,企业可以使用端点检测和响应(EDR)解决方案和访问控制来帮助降低未经授权的个体冒充合法员工的风险。制定最新的自带设备(BYOD)政策也很重要,当 提高网络安全性时,这些政策概述了员工在使用自己的设备进行业务相关活动时的最佳实践,无论他们是在办公室还是远程工作。这包括避免使用公共Wi-Fi网络,在不使用时保持设备锁定,并保持安全软件更新。更好的密码策略和多因素身份验证无论他们是否意识到,员工都是抵御 勒索软件攻击的第一道防线。配置不当的用户凭证和糟糕的密码管理习惯可能会轻易增加组织面临安全漏洞的风险。虽然大多数人喜欢在创建容易记住的密码时拥有相当的灵活性,但作为企业,建立某些需要遵循的最佳实践至关重要。这包括确保员工创建更长、更独特的密码,利用多因素身份验证(MFA)安全功能,并在全年定期刷新其凭证。数据备份和恢复定期备份数据库和系统可以提高业务在重大网络攻击面前的运营恢复力。在组织受到勒索软件攻击且关键数据无法访问的情况下,可以依靠备份来恢复系统。虽然这个过程可能需要一些时间,但它比支付赎金更可靠。规划备份时,需要遵循3-2-1规则,即: 拥有 三个 数据库的最新副本 使用 两个 不同的数据存储格式(内部、外部等) 至少保留 一个 副本在现场外存储 遵循这一最佳实践可以降低所有备份都被泄露的可能性,并为成功恢复系统提供最好的机会。网络分段和访问控制勒索软件最具挑战性的方面之一是其快速传播到其他连接系统的能力。限制这种能力的可行策略是将网络分段,打破它们成为更大网络中较小、孤立的字符串。网络分段使得即使一个系统被泄露,攻击者也无法直接访问其他系统。这使得恶意软件传播变得更加困难。维持严格的访问控制政策是降低攻击面另一种方式。访问控制系统限制了用户在系统中任意时刻的自由访问量。在这种系统中,最佳实践是确保无论谁,只要他们有足够的权限来访问他们需要的信息就足够了——不多也不少。漏洞管理和渗透测试为了为您的业务创建一个更安全的数字环境,定期扫描系统以发现可能出现的新漏洞至关重要。虽然企业可能会花费大量时间实施各种安全措施,但随着组织的增长,这些措施可能不像以前那样有效。然而, 识别业务基础设施中的安全漏洞对许多组织来说可能非常耗时。与渗透测试合作伙伴合作可以填补这一空白。渗透测试服务在帮助企业准确指出其安全系统哪里存在缺陷方面具有不可估量的价值。通过模拟现实世界的攻击,渗透测试人员可以帮助企业看到哪里存在最大的安全弱点,并优先进行调整以最大限度地提高对抗勒索软件攻击的保护。数据安全合规和道德人工智能实践实施新安全协议时,需要考虑各种因素。勒索软件攻击不仅会破坏日常运营,还可能导致 数据安全合规问题,从而引发一系列法律问题并对您的声誉造成不可逆转的损害。因此,确保所有关键业务数据使用主动加密协议至关重要。这基本上使数据对未经授权的访问者不可访问。虽然这本身并不能阻止网络犯罪者访问被盗数据,但可以帮助保护信息不被出售给未经授权的第三方。使用数据加密也可能已经成为您业务的必要要求,具体取决于监管您的行业的监管机构。另一个需要考虑的问题是,虽然人工智能启用的安全解决方案越来越广泛使用,但在实施它们时,需要遵循 特定的合规标准。了解使用数据驱动技术的影响将有助于确保您能够在不违反数据隐私权的情况下最大限度地利用它们的优势。更好地保护您的业务保护您的业务免受勒索软件攻击需要采取主动的风险管理和预防措施。通过遵循讨论的策略,您将能够降低受到攻击的可能性,并在需要时拥有正确的协议。
當一個組織開始擴張時,它們很可能會面臨許多運營挑戰。雖然所有的企業都有自己獨特的障礙需要克服,但今天所有組織都面臨的一個最常見的問題是網絡威脅。考慮到全球網絡犯罪的激增,很可能大多數組織在近期內會面臨至少一次重大安全威脅。了解如何充分準備和應對這種情況,特別是勒索軟體攻擊,對於確保企業能夠有效地降低其風險至關重要。認識勒索軟體攻擊的日益增加的危險網絡安全已經成為許多組織的日益關注的問題 – 而且這是有道理的。最近的報告顯示,71%的全球企業面臨過某種形式的勒索軟體攻擊,趨勢並沒有像專家希望的那樣減慢。網絡犯罪如此猖獗的原因之一是支持數字攻擊的技術的發展。下一代AI工具和自動化編碼腳本使得即使沒有經驗的網絡犯罪者也能夠輕易地計劃和發動高級別的攻擊。當談到勒索軟體時,它主要是一個數字遊戲,對於網絡攻擊者來說。雖然有些組織認真對待數字威脅並實施了安全措施來保護自己,但還有很多組織缺乏充分的安全協議來保護自己的組織。許多企業缺乏資源或必要的安全預算,導致他們在面臨勒索軟體攻擊時更容易支付贖金,以盡量減少對自己組織的損害。遺憾的是,這種願意配合勒索要求的態度只會繼續助長攻擊的惡性循環。企業如何保護自己免受勒索軟體攻擊的影響?認識到企業面臨的危險只是半個戰役,當面臨新興的網絡威脅時。為了增加避免攻擊的可能性,企業需要實施一系列重要的措施。其中包括:徹底的安全規劃優先考慮組織對所有現有風險或系統漏洞的認識是降低網絡威脅的關鍵。這需要內部和外部支持,以及詳細的安全審計協議。安全審計是一項幫助企業識別重要的網絡安全漏洞和優先修復的基本練習。在受監管的行業中,這些審計對於確保企業符合特定的合規標準至關重要。這在醫療行業尤其如此,獲得HITRUST認證對於幫助企業避免非合規違規至關重要。安全審計應該是幫助企業評估其安全準備的每個方面的基本練習,從事件響應準備到恢復成功的能力,即使發生攻擊。評估供應商風險現代企業越來越依賴外部供應商和合作伙伴來幫助其成長。然而,雖然接受新AI技術或基於雲的服務可以帶來許多好處,但也可能引入需要考慮的漏洞。當您與第三方供應商合作時,必須認識到這基本上擴大了您企業的數字足跡。雖然這種方法本身沒有錯,但這種擴大的足跡也可能增加您的數字攻擊面,給網絡攻擊者提供新的攻擊點。完成徹底的供應商評估是一項企業應該采取的重要安全措施,以更好地了解其數字供應鏈中的安全漏洞。這不僅幫助組織更好地管理其整體風險配置,也幫助企業就其合作伙伴關係做出更好的決定。聘用外部協助雖然投資於一個很好的團隊或各種網絡安全工具是一個重要的步驟,但其真正的價值將在其有效性被驗證後顯現出來,即它們能夠抵禦真實的攻擊。然而,企業不需要等待攻擊發生,然後希望能夠應對。企業可以使用滲透測試服務,這提供了一種有價值的方式來評估組織的防禦能力,以對抗模擬的網絡攻擊。滲透測試人員與安全團隊合作,幫助他們識別出可以被利用和攻破的漏洞,就像真正的攻擊者一樣。這為企業提供了一種更安全的方式來驗證其安全系統的完整性,並提供了一份優先列表,以便在發現弱點時進行處理。企業應該採取哪些步驟來幫助它們從勒索軟體攻擊中恢復?很容易陷入這種思維模式:只有大型企業或知名品牌才會受到網絡犯罪者的攻擊。實際上,小型和中型企業往往是主要目標,因為它們通常具有較少的網絡安全預算,更容易支付贖金。無論您擁有的企業類型和規模是什麼,採取主動措施為可能的勒索軟體攻擊做好準備都是至關重要的。以下是您可以採取的幾個步驟:為最壞的情況做計劃在勒索軟體攻擊發生時決定支付贖金是一個高風險的決定。即使支付贖金後,只有大約60%的企業能夠成功恢復其加密數據。這使得這個選擇對於大多數組織來說是一個非常風險的選擇。避免需要做出這個艱難決定的一種方法是主動投資於網絡安全保險。這種財務安全網在需要恢復文件和數據庫時是一個必需的,可以潛在地節省企業數千美元來重建關鍵系統。創建詳細的災難恢復計劃在網絡安全方面採取主動的態度是至關重要的,當您想要將由重大安全事件引起的中斷降至最低時。與其認為您的企業不太可能遇到任何問題,不如採取前瞻性的態度,優先考慮重要的項目,例如全面性的災難恢復規劃。災難恢復計劃記錄了在網絡安全事件發生時將在恢復正常業務運營中發揮作用的所有個人或外部合作伙伴。它概述了所有需要遵守的協議、程序和關鍵時間表,以防止發生重大財務損失。與管理服務提供商合作許多公司缺乏資源來自行處理其業務安全,而無需外部幫助。與管理服務提供商(MSP)合作可以是一種有效的方式來加強其內部防禦,並在處理勒索軟體攻擊的後果時提供幫助。MSP聘用了熟練的安全專家,通常可以使用最先進的技術來最大限度地提高組織的網絡安全準備。通過利用他們的專業知識,組織可以確保其所有關鍵系統和網絡得到不間斷的、全天候的保護。不要讓您的企業成為受害者雖然網絡安全規劃可能是一個複雜的過程,但它是支持可持續業務成長的不可否認的重要元素。通過了解新興的威脅並採取必要的主動安全措施,您的企業將能夠有效地降低其數字攻擊面,並在發生最壞的情況時具備必要的協議來成功應對。
