Защита ваших облачных активов: С чего начать?

При обеспечении безопасности динамических облачных сред возможность непрерывного обнаружения и оценки облачных активов позволяет быстро обнаруживать проблемы по мере обнаружения новых уязвимостей и изменений вашей среды. Вот что вам нужно знать, чтобы начать работу.

Облачные сервисы и приложения эластичны, рентабельны и, что более важно, позволяют быстро реагировать на потребности клиентов и управлять постоянно растущим количеством удаленных сотрудников. Фактически, 81% организаций имеют хотя бы одно приложение или часть своей инфраструктуры в облаке.

Но с преимуществами гибкости и эффективности возникает проблема защиты ваших активов и рабочих нагрузок в облаке. Если уроки, извлеченные из громких нарушений нас чему-то и научили, так это тому, что владелец данных, несет полную ответственность за свои облачные активы, а не поставщики облачных услуг.

С ростом числа новых уязвимостей в сетях, конечных точках и облачных средах мы осознаем, что устаревшие инструменты управления уязвимостями (VM) не подходят для сегодняшнего сложного ИТ-ландшафта и не могут защитить современную поверхность атаки. С 2015 по 2020 год количество зарегистрированных CVEs увеличивалось в среднем на 36,6% в год. Необходимо эффективное решение, которое поможет расставить приоритеты в исправлениях с учетом рисков, которые они представляют для каждой отдельно взятой организации.

С чего же начать? Прежде всего начать стоит с пристального внимания к людям, процессам и технологиям, и именно в таком порядке. Почему? Поскольку у вас может быть развернута лучшая технология, но если ваша команда безопасности не коммуницирует с вашей облачной командой или если у вас нарушены бизнес-процессы, вы не сможете защитить все, что вам нужно, в облаке.

Три вызова безопасности, которые нужно решить в первую очередь:

1. Люди недостаточно общаются друг с другом. Во многих компаниях команда безопасности и команда по работе с облаками работают в разрозненных бизнес-подразделениях. Согласно недавнему исследованию Forrester Consulting, проведенному по заказу Tenable, только половина из более чем 400 опрошенных руководителей службы безопасности заявили, что они работают с другими командами, чтобы согласовать цели снижения рисков с потребностями бизнеса. Когда ваши команды не работают вместе, вам сложно защищать, контролировать и получать доступ к своим облачным активам, что ставит под угрозу вашу безопасность.
2. В бизнес-процессах есть пробелы: В традиционной локальной сети относительно легко отслеживать рабочие нагрузки и приложения. В облачных средах трудно понять, насколько велик периметр охвата активов может быть. Это связано с тем, что не-ИТ-функции, такие как маркетинг и разработчики, часто создают (а иногда и забрасывают, забывают) облачные активы, что затрудняет реалистичное представление всей вашей облачной инвентаризации.
3. «Вы не можете защитить то, о чем не знаете!»:Хотя это почти клише, это все еще очень применимо, когда дело доходит до защиты облачных ресурсов. Организации испытывают трудности с обнаружением и оценкой эфемерных (краткосрочных) активов в динамических облачных средах. Согласно исследованию Forrester, только 44% из более чем 800 опрошенных руководителей сферы безопасности и бизнеса заявили, что их команда безопасности имеет хорошее видение наиболее важных активов своей организации. Тем не менее, даже когда активы обнаруживаются, собственное исследование Tenable показывает, что только 20% из них фактически оцениваются на предмет риска. Почему? Потому что традиционный метод управления уязвимостями для облака сложен и требует много времени. Необходимо установить сканеры и агенты, а обнаружение новых уязвимостей может задерживаться на несколько недель. Короче говоря, традиционная ИТ-безопасность не успевает за скоростью облака.

Защита ваших облачных активов: 3 важных шага

1. Организуйте свои команды взаимодействия в облаке: устранение разрозненности отделов и создание среды для совместной работы для ваших команд — важный первый шаг к постоянной видимости и контролю над вашими облачными активами. Согласно исследованию Forrester, руководители служб безопасности, ориентированные на бизнес, в восемь раз чаще, чем их более разрозненные коллеги, могут быть уверены в своей способности сообщать об уровне безопасности или рисках своей организации. При разговоре с членами команды, которые используют облако, важно сформулировать влияние угроз кибербезопасности в контексте их бизнес-потребностей и использовать такие ключевые слова, как «масштабируемость», «гибкость», «качество» и «непрерывность» в ваши разговоры. Возможно, было бы полезно проводить регулярные обзорные совещания и доводить показатели эффективности работы группы безопасности до сведения заинтересованных сторон в бизнесе. Если разрешение на административные права является проблемой, придумайте творческие обходные пути, такие как создание согласованного набора разрешений для использования ИТ-безопасностью, возможно, даже реализация его с использованием общего облачного собственного формата, такого как создание шаблона CloudFormation. Такой подход дает бизнес-результаты, необходимые группе безопасности, а также снижает уровень усилий, необходимых для администратора облака.
2. Обеспечьте хорошие практики гигиены облачной безопасности: разработка лучших практик безопасности, которые могут не отставать от скорости облака, является еще одним важным шагом в защите ваших облачных активов. Включение этих передовых методов в общую культуру вашей компании может помочь вам облегчить административную нагрузку и закрыть бреши в безопасности бизнес-процессов. Например, реализация стратегии тегирования для всех ваших облачных ресурсов может предоставить вам эффективный способ управления ресурсами, контроля затрат и снижения рисков. Как только принудительное исполнение вступит в силу, разработчики могут наслаждаться свободой развертывания тестовых сред; группа безопасности может отслеживать, что создается, и тратить меньше времени на поиск активов и владельцев для решения проблем безопасности. Еще одна хорошая практика гигиены облака — связать все ваши дочерние учетные записи с соответствующим количеством родительских учетных записей в облаке. Это дает администраторам целостное представление обо всем вашем облачном массиве, позволяя им эффективно снижать киберриски и понимать уязвимость вашей организации в любой облачной среде.
3. Обнаружение и постоянная оценка уязвимостей являются ключевой: способность выявлять и быстро оценивать облачные активы — следующий важный шаг в защите и безопасности вашей постоянно меняющейся и расширяющейся облачной среды. Если вы используете облачные сервисы, такие как Amazon Web Services (AWS), обнаружение облачных активов в реальном времени может не только помочь максимизировать ценность ваших существующих инвестиций, но и дать вам полную видимость активов, которые вы могли или не могли знать ранее. Как только вы хорошо понимаете, что у вас есть, в режиме, близком к реальному, вам понадобится подход к оценке, который может непрерывно оценивать облако по мере развертывания новых активов или обнаружения новых уязвимостей.

Традиционный метод управления уязвимостями в облаке может быть трудным и трудоемким. Здесь может помочь Tenable’s Frictionless Assessment компании Tenable. В отличие от других инструментов управления уязвимостями, Frictionless Assessment — теперь доступный в Tenable.io — использует собственные инструменты AWS, включая агент AWS Systems Manager (SSM), для непрерывного обнаружения и оценки экземпляров Elastic Compute Cloud (EC2) на предмет уязвимостей без необходимости настройки сканирования, управления учетными данными или установки агентов. Это позволяет вам быстро обнаруживать проблемы безопасности по мере обнаружения новых уязвимостей и изменений вашей среды, когда экземпляры постоянно вращаются вверх и вниз. Он обеспечивает представление облачной среды почти в реальном времени для точной инвентаризации активов и уязвимостей в любой момент времени. И это особенно эффективно при обнаружении и оценке эфемерных (краткосрочных) активов в динамических облачных средах.

Frictionless Assessment была разработана для работы со скоростью облака. Но это еще не все. Как ключевой элемент управления уязвимостями на основе рисков, Frictionless Assessment обеспечивает всестороннее понимание уязвимостей, включая поддержку прогнозируемой приоритезации Tenable, чтобы помочь вам сосредоточиться на том, что действительно важно.

Если вы хотите узнать больше о том, как настроить полную программу управления уязвимостями на основе рисков за секунды и получить практические результаты за считанные минуты, посмотрите обзорное видео Frictionless Assessment Overview.

Источник: https://www.tenable.com/blog/protecting-your-cloud-assets-where-do-you-start