Trí thông minh dữ liệu tạo

An ninh mạng

5 sự thật phũ phàng về tình trạng bảo mật đám mây năm 2024

Tái bản bởi Plato
Tái bản bởi Plato

Ngày:

Lượt xem: 0

Mặc dù bảo mật đám mây chắc chắn đã đi được một chặng đường dài kể từ thời kỳ đầu áp dụng đám mây ở miền Tây hoang dã, nhưng sự thật là vẫn còn một chặng đường dài phía trước trước khi hầu hết các tổ chức ngày nay thực sự hoàn thiện các biện pháp bảo mật đám mây của mình. Và điều này đang khiến các tổ chức phải trả giá rất đắt về các sự cố bảo mật.

Một nghiên cứu của Vanson Bourne đầu năm nay cho thấy gần một nửa số vụ vi phạm mà các tổ chức phải gánh chịu trong năm qua đều bắt nguồn từ đám mây. Nghiên cứu tương tự cho thấy một tổ chức trung bình đã mất gần 4.1 triệu USD do vi phạm đám mây trong năm ngoái.

Dark Reading gần đây đã gặp cha đỡ đầu của bảo mật không tin cậy, John Kindervag, để thảo luận về tình trạng bảo mật đám mây ngày nay. Khi còn là nhà phân tích tại Forrester Research, Kindervag đã giúp khái niệm hóa và phổ biến mô hình bảo mật không tin cậy. Hiện anh ấy là nhà truyền giáo chính tại Illumio, nơi mà trong phạm vi tiếp cận của mình, anh ấy vẫn rất ủng hộ chính sách không tin cậy, giải thích rằng đó là một cách quan trọng để thiết kế lại bảo mật trong kỷ nguyên đám mây. Theo Kindervag, các tổ chức phải đối mặt với những sự thật phũ phàng sau đây để đạt được thành công với việc này.

1. Bạn không trở nên an toàn hơn chỉ bằng cách truy cập vào đám mây

Kindervag cho biết, một trong những quan niệm sai lầm lớn nhất hiện nay về đám mây là nó vốn đã an toàn hơn hầu hết các môi trường tại chỗ.

“Có một sự hiểu lầm cơ bản về đám mây rằng bằng cách nào đó, nó vốn có nhiều tính bảo mật hơn, rằng bạn sẽ an toàn hơn khi truy cập đám mây chỉ bằng hành động truy cập đám mây,” ông nói.

Vấn đề là mặc dù các nhà cung cấp đám mây siêu quy mô có thể rất giỏi trong việc bảo vệ cơ sở hạ tầng, nhưng khả năng kiểm soát và trách nhiệm đối với tình hình bảo mật của khách hàng mà họ có lại rất hạn chế.

“Rất nhiều người nghĩ rằng họ đang giao dịch vụ bảo mật cho nhà cung cấp dịch vụ đám mây. Họ nghĩ rằng họ đang chuyển giao rủi ro,” ông nói. “Trong an ninh mạng, bạn không bao giờ có thể chuyển giao rủi ro. Nếu bạn là người giám sát dữ liệu đó, thì bạn luôn là người giám sát dữ liệu đó, bất kể ai đang giữ dữ liệu đó cho bạn.”

Đây là lý do tại sao Kindervag không thích cụm từ thường được lặp đi lặp lại “chia sẻ trách nhiệm,” mà anh ấy nói có vẻ như có sự phân công lao động và nỗ lực 50-50. Anh ấy thích cụm từ “cái bắt tay không đều,” được đặt ra bởi đồng nghiệp cũ của anh ấy tại Forrester, James Staten.

“Đó là vấn đề cơ bản, đó là mọi người nghĩ rằng có một mô hình trách nhiệm chung và thay vào đó là một cái bắt tay không đồng đều,” ông nói.

2. Khó quản lý các biện pháp kiểm soát bảo mật gốc trong thế giới lai

Trong khi đó, hãy nói về những biện pháp kiểm soát bảo mật đám mây gốc được cải tiến mà các nhà cung cấp đã xây dựng trong thập kỷ qua. Mặc dù nhiều nhà cung cấp đã làm rất tốt việc cung cấp cho khách hàng nhiều quyền kiểm soát hơn đối với khối lượng công việc, danh tính và khả năng hiển thị của họ, nhưng chất lượng đó lại không nhất quán. Như Kindervag nói, “Một số tốt, một số thì không.” Vấn đề thực sự đối với tất cả chúng là khó quản lý chúng trong thế giới thực, ngoài sự cô lập trong môi trường của một nhà cung cấp duy nhất.

“Cần rất nhiều người để làm điều đó và họ khác nhau trên mỗi đám mây. Tôi nghĩ mọi công ty mà tôi đã nói chuyện trong 5 năm qua đều có mô hình đa đám mây và kết hợp, cả hai đều diễn ra cùng một lúc,” anh nói. “Kết hợp, 'Tôi đang sử dụng nội dung và đám mây tại chỗ của mình, đồng thời tôi đang sử dụng nhiều đám mây và tôi có thể đang sử dụng nhiều đám mây để cung cấp quyền truy cập vào các dịch vụ vi mô khác nhau cho một ứng dụng.' Cách duy nhất bạn có thể giải quyết vấn đề này là có một biện pháp kiểm soát bảo mật có thể được quản lý trên tất cả các đám mây.”

Ông nói, đây là một trong những yếu tố quan trọng thúc đẩy các cuộc thảo luận về việc chuyển không tin cậy sang đám mây.

“Không có niềm tin nào hoạt động bất kể bạn đặt dữ liệu hoặc tài sản ở đâu. Nó có thể ở trên đám mây. Nó có thể là tại chỗ. Nó có thể ở điểm cuối,” ông nói.

3. Danh tính sẽ không cứu được đám mây của bạn

Ngày nay, với sự chú trọng quá nhiều vào việc quản lý danh tính trên đám mây và sự chú ý không cân xứng vào thành phần nhận dạng trong mô hình không tin cậy, điều quan trọng là các tổ chức phải hiểu rằng danh tính chỉ là một phần của bữa sáng cân bằng cho việc không tin cậy vào đám mây.

Kindervag nói: “Phần lớn câu chuyện về không tin cậy là về danh tính, danh tính, danh tính”. “Danh tính rất quan trọng, nhưng chúng tôi sử dụng danh tính trong chính sách mà không có sự tin cậy nào. Đó không phải là kết thúc, là tất cả. Nó không giải quyết được mọi vấn đề.”

Ý của Kindervag là với mô hình không tin cậy, thông tin xác thực không tự động cấp cho người dùng quyền truy cập vào bất kỳ thứ gì dưới ánh mặt trời trong một đám mây hoặc mạng nhất định. Chính sách giới hạn chính xác những gì và khi nào quyền truy cập được cấp cho các tài sản cụ thể. Kindervag là người đề xuất phân khúc lâu năm — mạng, khối lượng công việc, tài sản, dữ liệu — rất lâu trước khi ông bắt đầu vạch ra mô hình không tin cậy. Như ông giải thích, trọng tâm của việc xác định quyền truy cập không tin cậy theo chính sách là chia mọi thứ thành “bề mặt bảo vệ”, vì mức độ rủi ro của các loại người dùng khác nhau truy cập vào từng bề mặt bảo vệ sẽ xác định các chính sách sẽ được đính kèm với bất kỳ thông tin xác thực nhất định nào.

“Nhiệm vụ của tôi là khiến mọi người tập trung vào những gì họ cần bảo vệ, đặt những thứ quan trọng đó vào các bề mặt bảo vệ khác nhau, chẳng hạn như cơ sở dữ liệu thẻ tín dụng PCI của bạn phải nằm trên bề mặt bảo vệ của chính nó. Cơ sở dữ liệu nhân sự của bạn phải ở trên bề mặt bảo vệ riêng. HMI cho hệ thống IoT hoặc hệ thống OT của bạn phải ở trên bề mặt bảo vệ riêng,” ông nói. “Khi chia vấn đề thành những phần nhỏ vừa ăn, chúng tôi giải quyết từng phần một và thực hiện từng phần một. Nó làm cho nó có khả năng mở rộng và khả thi hơn nhiều.”

4. Quá nhiều công ty không biết họ đang cố gắng bảo vệ điều gì

Khi các tổ chức quyết định cách phân chia các bề mặt bảo vệ của họ trên đám mây, trước tiên họ cần xác định rõ ràng những gì họ đang cố gắng bảo vệ. Điều này rất quan trọng vì mỗi tài sản, hệ thống hoặc quy trình sẽ có rủi ro riêng và điều đó sẽ quyết định các chính sách truy cập cũng như biện pháp thắt chặt xung quanh nó. Người ta đùa rằng bạn sẽ không xây một căn hầm trị giá 1 triệu USD để chứa vài trăm xu. Đám mây tương đương với điều đó sẽ cung cấp rất nhiều biện pháp bảo vệ xung quanh tài sản đám mây được cách ly khỏi các hệ thống nhạy cảm và không chứa thông tin nhạy cảm.

Kindervag cho biết việc các tổ chức không có ý tưởng rõ ràng về những gì họ đang bảo vệ trên đám mây hoặc hơn thế nữa là điều cực kỳ phổ biến. Trên thực tế, hầu hết các tổ chức ngày nay thậm chí không nhất thiết phải có ý tưởng rõ ràng về những gì có trong đám mây hoặc những gì kết nối với đám mây, chưa nói đến những gì cần bảo vệ. Ví dụ, một nghiên cứu của Liên minh bảo mật đám mây cho thấy chỉ có 23% tổ chức có khả năng hiển thị đầy đủ về môi trường đám mây. Và nghiên cứu của Illumio từ đầu năm nay cho thấy 46% tổ chức không có cái nhìn đầy đủ về khả năng kết nối các dịch vụ đám mây của tổ chức họ.

“Mọi người không nghĩ về những gì họ thực sự đang cố gắng đạt được, những gì họ đang cố gắng bảo vệ,” ông nói. Kindervag giải thích: Đây là một vấn đề cơ bản khiến các công ty lãng phí rất nhiều tiền bảo mật mà không thiết lập biện pháp bảo vệ phù hợp trong quy trình. “Họ sẽ đến gặp tôi và nói 'Không tin cậy gì cả' và tôi sẽ hỏi, 'Chà, bạn đang cố gắng bảo vệ điều gì vậy?' và họ sẽ nói, 'Tôi chưa nghĩ về điều đó', và câu trả lời của tôi là 'Chà, vậy thì bạn thậm chí còn chưa gần đến mức bắt đầu quá trình không tin cậy. '”

5. Các ưu đãi phát triển trên nền tảng đám mây đã hết hiệu lực

Thực tiễn DevOps và phát triển bản địa trên nền tảng đám mây đã được nâng cao đáng kể thông qua tốc độ, khả năng mở rộng và tính linh hoạt mà nền tảng và công cụ đám mây mang lại. Khi bảo mật được xếp lớp một cách thích hợp vào hỗn hợp đó, những điều tốt đẹp có thể xảy ra. Nhưng Kindervag nói rằng hầu hết các tổ chức phát triển không được khuyến khích hợp lý để biến điều đó thành hiện thực — điều đó có nghĩa là cơ sở hạ tầng đám mây và tất cả các ứng dụng dựa trên nó đều gặp rủi ro trong quá trình này.

“Tôi muốn nói rằng những người làm ứng dụng DevOps là Ricky Bobbys của lĩnh vực CNTT. Họ chỉ muốn đi nhanh. Tôi nhớ đã nói chuyện với người đứng đầu bộ phận phát triển của một công ty, người cuối cùng đã bị xâm phạm và tôi đã hỏi anh ấy rằng anh ấy đang làm gì về vấn đề bảo mật. Và anh ấy nói: 'Không có gì, tôi không quan tâm đến vấn đề an ninh'”, Kindervag nói. “Tôi hỏi, 'Sao bạn có thể không quan tâm đến vấn đề an ninh?' và anh ấy nói 'Bởi vì tôi không có KPI cho việc đó. KPI của tôi yêu cầu tôi phải thực hiện 5 lần đẩy mỗi ngày trong nhóm của mình và nếu tôi không làm điều đó, tôi sẽ không nhận được tiền thưởng.'”

Kindervag cho biết đây là minh họa cho một trong những vấn đề lớn, không chỉ trong AppSec mà còn trong việc chuyển sang mức độ tin cậy bằng 0 đối với đám mây và hơn thế nữa. Quá nhiều tổ chức đơn giản là không có cơ cấu khuyến khích phù hợp để biến điều đó thành hiện thực - và trên thực tế, nhiều tổ chức có những khuyến khích sai trái dẫn đến việc khuyến khích các hoạt động không an toàn.

Đây là lý do tại sao ông là người ủng hộ việc xây dựng các trung tâm xuất sắc không tin cậy trong các doanh nghiệp, bao gồm không chỉ các nhà công nghệ mà còn cả lãnh đạo doanh nghiệp trong quá trình lập kế hoạch, thiết kế và ra quyết định đang diễn ra. Anh ấy nói, khi các nhóm đa chức năng này gặp nhau, anh ấy đã thấy “cơ cấu khuyến khích thay đổi theo thời gian thực” khi một giám đốc điều hành kinh doanh đầy quyền lực bước tới để nói rằng tổ chức sẽ đi theo hướng đó.

Kindervag nói: “Các sáng kiến ​​không tin cậy thành công nhất là những sáng kiến ​​có sự tham gia của các nhà lãnh đạo doanh nghiệp”. “Tôi có một trường hợp ở một công ty sản xuất, nơi phó chủ tịch điều hành - một trong những lãnh đạo cao nhất của công ty - trở thành người đấu tranh cho việc chuyển đổi không tin cậy trong môi trường sản xuất. Việc đó diễn ra rất suôn sẻ vì không có chất ức chế.”

tại chỗ_img

Tin tức mới nhất

tại chỗ_img

Bản quyền @ 2024 Plato Technologies Inc.

Trò chuyện trực tiếp với chúng tôi (chat)

Chào bạn! Làm thế nào để tôi giúp bạn?