Najlepsze praktyki w zakresie utrzymywania bezpieczeństwa firmy w chmurzeKeeping Your Firm Safe in the CloudKeeping Your Firm Safe in the Cloud

Wejście do chmury nie oznacza, że możesz odpocząć od kwestii bezpieczeństwa Twojej firmy, a w rzeczywistości powinno tylko sprawić, że będziesz bardziej sumienny.

To był kluczowy temat przedstawiony przez Trey’a James’a, szefa usługi hostingowej Xcentric, który podczas swojej sesji «Najlepsze praktyki w zakresie bezpieczeństwa w chmurze» (âCloud Security Best Practicesâ) na konferencji Thomson Reuters Synergy w Orlando na Florydzie, 5 listopada, postanowił rozwiać pewne powszechne błędne przekonania na temat bezpieczeństwa w chmurze.

Nic dziwnego, że jednym z częstych pytań, przed którymi staje James, jest pytanie, czy dzisiaj jest więcej naruszeń niż w poprzednim roku. Jego odpowiedź brzmi «tak», ale tylko dlatego, że w większości państw istnieje obecnie wymóg, że jeśli firma zostanie naruszona, to incydent musi zostać zgłoszony. A jeśli zostało ono zgłoszone, naruszenie danych w firmie jest uważane za warte opublikowania, dlatego też kwestia ta jest bardziej widoczna.

Target, eBay, Adobe, JP Morgan Chase â wszyscy ucierpieli z powodu naruszenia danych, a firmy księgowe nie są odporne.

â Mamy narzędzia i mamy wiedzę, aby być tak bezpiecznym, jak tylko można być; trzeba tylko pokryć niektóre standardowe bazy, â» James powiedział.

James omówił powody, dla których hakerstwo ma miejsce (powody finansowe), oraz że istnieją ceny rynkowe za dane uwierzytelniające, takie jak kody zabezpieczające na kartach debetowych, kartach kredytowych i kontach PayPal.

â Nikt nie przychodzi po twoją kartę kredytową lub numer konta bankowego; ludzie chcą [większą] skalę,â» powiedział James. â» It’s not some person in a basement targeting you.â»

Być może największym mitem dotyczącym chmury jest to, że jest ona z natury mniej bezpieczna niż tradycyjne sieci. James podkreślił, że posiadanie twoich serwerów za zamkniętymi drzwiami nie jest bezpieczne, ponieważ każdy, kto wchodzi do twojej firmy może mieć dostęp do informacji o twoich klientach.

A jeśli musisz mieć swoje serwery na miejscu, upewnij się, że zamykasz drzwi, zabezpieczasz je na podłodze, przykrywasz je w klatce, a jeśli osoba sprzątająca musi wejść do tego pokoju w nocy, ktoś musi jej towarzyszyć.

♪ You are so much more secure if you are using a provider that actually stands behind what they do,♪

James omówił znaczenie aktualizacji firewalla w twojej firmie, który opisuje jako âbasically antywirus dla twojej sieci.â»

âIt’s a security blanket and if you don’t maintain a firewall, you are only as good as its last update. Większość z tych dobrych zaktualizuje się, aby pojawić się w nocy lub ustawić harmonogram. Jeśli Twój firewall jest w ciągu trzech lat, to prawdopodobnie aktualizuje się automatycznie, â» powiedział, dodając, że firmy, które nie używają IDS lub IPS zapory sieciowe powinny poważnie rozważyć przejście w tym kierunku.

Firm Threats

Największe zagrożenie dla bezpieczeństwa danych występuje wtedy, gdy użytkownicy omijają plany i procedury firmy, które zostały wprowadzone w celu ochrony.

Ten powiedzieć, CryptoLocker być złośliwy oprogramowanie który móc nie tylko wszystkie twój kartoteka, ale the kartoteka twój kartoteka łączyć â che móc ogromny headache firma. Ono być często niespodziewany i tam być żadny prawdziwy ochrona inny niż być świadomy.

Dla tych, którzy nie podejrzewają, często jest to e-mail, który przychodzi w poszukiwaniu oficjalnych â niektóre związane z podatkami lub istotnych treści biznesowych, na przykład, a nawet czasami dysk zip. W takich przypadkach osoba odbierająca nie powinna klikać na otwarcie wiadomości i zacząć klikać na linki w treści wiadomości lub jej załączniku. Zamiast tego powinna poświęcić dodatkową minutę lub dwie na podwójne sprawdzenie, czy oczekuje wiadomości od kogoś, kogo nie zna. Samo zapytanie może zaoszczędzić wiele godzin na straconej pracy i pieniędzy.

Aby uniknąć tego typu naruszenia danych, James sugeruje, co następuje:

  • Sprawdź w polu «Od» i «Toâ» wiadomości e-mail.
  • Sprawdź dwukrotnie treść komunikatu pod kątem oczywistych rozbieżności.
  • Należy unikać klikania na linki w wiadomościach e-mail. Zamiast tego należy zawisnąć.
  • Upewnij się, że oprogramowanie AV jest aktualne.
  • Tworzenie kopii zapasowych ważnych danych. Nie istnieje żadne znane narzędzie do odszyfrowywania plików zaszyfrowanych przez CryptoLocker.
  • Nigdy nie otwieraj linków bezpośrednio z wiadomości e-mail.
  • Tworzenie, publikowanie i szkolenie w zakresie zasad korzystania z poczty elektronicznej.

James powiedział, że ważne jest, aby firmy zrozumiały, że nawet jeśli ich dane mogą znajdować się w chmurze, to nadal obowiązkiem firmy jest podjęcie środków bezpieczeństwa i przeszkolenie wszystkich w firmie w zakresie ochrony danych. Partnerzy nie są od tego zwolnieni, ponieważ mogą być znani z tego, że często omijają szkolenia.

Aby zminimalizować problemy z siecią Wi-Fi, James zaleca wyłączenie funkcji autokorekty, weryfikację połączenia z siecią Wi-Fi, korzystanie z wirtualnej sieci prywatnej (VPN) i dwuczynnikowe uwierzytelnianie, jeśli to możliwe.Jeśli chodzi o zarządzanie siecią, James radzi egzekwowanie surowych zasad dotyczących haseł za pośrednictwem domeny opartej na Active Directory, zautomatyzować Patch Windows, rutynowo aktualizować zaporę sieciową, otrzymywać regularne raporty oraz zaplanować testy penetracyjne.

Drzwi wejściowe do naruszenia bezpieczeństwa to jednak twoje hasło.

To są referencje, powiedział James. âYour credentials are the holy grail to everything else. Z odpowiednimi poświadczeniami, mogę spojrzeć na dane podatkowe, informacje o kartach kredytowych, informacje rządowe, i każdy zapis.â»

James odradza ponowne używanie haseł w wielu miejscach, używanie wspólnego słowa słownikowego i zapisywanie haseł. Sugeruje, aby dokładnie przyjrzeć się, jak trudne są Twoje pytania dotyczące bezpieczeństwa podczas procesu logowania. Przypomniał słuchaczom, jak łatwo jest znaleźć czyjeś nazwisko panieńskie lub szkolną maskotkę â wspólne podpowiedzi na pytanie bezpieczeństwa. Zamiast używać prawdziwych informacji, wymyślaj odpowiedzi. James wskazuje również na LastPass, wtyczkę, która zapamiętuje Twoje hasła i bezpiecznie synchronizuje się na wszystkich urządzeniach.

James zaleca również użycie unikalnego adresu e-mail do odzyskiwania haseł, ponieważ jeśli haker wie, dokąd idzie resetowanie hasła, to jest to linia ataku. Zamiast tego utwórz specjalne konto e-mail na te okazje i upewnij się, że wybrałeś nazwę użytkownika, która nie jest powiązana z Twoim prawdziwym nazwiskiem.

Na zakończenie, James przedstawił następującą listę pytań, które powinny znaleźć się na liście kontrolnej bezpieczeństwa dostawcy usług w chmurze.

  • Czy centrum danych dostawcy przeprowadza coroczny audyt SOC2?
  • Czy usługodawca przeprowadza coroczny audyt SOC2 w zakresie własnej działalności?
  • W jaki sposób przechowywane są zewnętrzne kopie zapasowe?
  • Jak wygląda bezpieczeństwo fizyczne dostawcy w porównaniu z obecnym środowiskiem IT?
  • Czy dostępne jest uwierzytelnianie dwuczynnikowe?
  • Czy dostawca oferuje usługi zarządzania infrastrukturą na miejscu (firewalle, laptopy, komputery stacjonarne, drukarki itp.)?