Dosiahnutie súladu s NIST v cloude: stratégie a úvahy

Obrázok od vs148 na Shutterstock

Navigácia vo virtuálnom bludisku dodržiavania predpisov v digitálnom priestore je skutočnou výzvou, ktorej čelia moderné organizácie, najmä pokiaľ ide o Rámec kybernetickej bezpečnosti Národného inštitútu pre štandardy a technológie (NIST)..

Táto úvodná príručka vám pomôže lepšie porozumieť NIST Kyber ochrana Rámec a ako dosiahnuť súlad s NIST v cloude. Poďme na to.

Čo je rámec kybernetickej bezpečnosti NIST?

Rámec kybernetickej bezpečnosti NIST poskytuje organizáciám náčrt, ako rozvíjať a zlepšovať svoje programy riadenia rizík kybernetickej bezpečnosti. Má byť flexibilný a pozostáva zo širokej škály aplikácií a prístupov, ktoré zohľadňujú jedinečné potreby každej organizácie v oblasti kybernetickej bezpečnosti.

Rámec sa skladá z troch častí – jadro, úrovne implementácie a profily. Tu je prehľad každého z nich:

Rámcové jadro

Rámcové jadro obsahuje päť primárnych funkcií, ktoré poskytujú efektívnu štruktúru riadenia rizík kybernetickej bezpečnosti:

  1. identifikovať: Zahŕňa rozvoj a presadzovanie a kybernetickej bezpečnosti ktorý načrtáva kybernetické bezpečnostné riziko organizácie, stratégie prevencie a riadenia kybernetických útokov a úlohy a zodpovednosti jednotlivcov s prístupom k citlivým údajom organizácie.
  2. protect: Zahŕňa vypracovanie a pravidelnú implementáciu komplexného plánu ochrany na zníženie rizika kybernetických útokov. To často zahŕňa školenia v oblasti kybernetickej bezpečnosti, prísne kontroly prístupu, šifrovanie, penetračné testovaniea aktualizáciu softvéru.
  3. Zistiť: Zahŕňa vývoj a pravidelnú implementáciu vhodných aktivít na čo najrýchlejšie rozpoznanie kybernetického bezpečnostného útoku.
  4. Odpovedať: Zahŕňa vypracovanie komplexného plánu, ktorý načrtáva kroky, ktoré treba podniknúť v prípade kybernetického útoku. 
  5. Obnoviť: Zahŕňa vývoj a implementáciu vhodných činností na obnovenie toho, čo bolo ovplyvnené incidentom, zlepšenie bezpečnostných postupov a pokračovanie v ochrane pred útokmi kybernetickej bezpečnosti.

V rámci týchto funkcií sú kategórie, ktoré špecifikujú aktivity kybernetickej bezpečnosti, podkategórie, ktoré rozdeľujú aktivity na presné výsledky, a informatívne referencie, ktoré poskytujú praktické príklady pre každú podkategóriu.

Úrovne implementácie rámca

Vrstvy implementácie rámca naznačujú, ako organizácia vníma a riadi riziká kybernetickej bezpečnosti. Existujú štyri úrovne:

  • Úroveň 1: Čiastočná: Nízka informovanosť a implementácia riadenia rizík kybernetickej bezpečnosti od prípadu k prípadu.
  • Úroveň 2: Informovanie o riziku: Povedomie o rizikách kybernetickej bezpečnosti a postupy riadenia existujú, ale nie sú štandardizované. 
  • Úroveň 3: Opakovateľné: Formálne celopodnikové politiky riadenia rizík a pravidelne ich aktualizujte na základe zmien v obchodných požiadavkách a prostredí hrozieb. 
  • Úroveň 4: Adaptívne: Proaktívne zisťuje a predpovedá hrozby a zlepšuje postupy kybernetickej bezpečnosti na základe minulých a súčasných aktivít organizácie a vyvíjajúcich sa hrozieb, technológií a praktík kybernetickej bezpečnosti.

Rámcový profil

Rámcový profil načrtáva zosúladenie základného rámca organizácie s jej obchodnými cieľmi, toleranciou rizika kybernetickej bezpečnosti a zdrojmi. Profily možno použiť na popis súčasného a cieľového stavu riadenia kybernetickej bezpečnosti. 

Aktuálny profil ilustruje, ako organizácia v súčasnosti zvláda riziká kybernetickej bezpečnosti, zatiaľ čo cieľový profil podrobne opisuje výsledky, ktoré organizácia potrebuje na dosiahnutie cieľov riadenia rizík kybernetickej bezpečnosti.

Súlad s NIST v cloude vs. On-Premise Systems

Rámec kybernetickej bezpečnosti NIST možno použiť na všetky technológie, cloud computing je jedinečný. Pozrime sa na niekoľko dôvodov, prečo sa súlad NIST v cloude líši od tradičnej lokálnej infraštruktúry:

Bezpečnostná zodpovednosť

Pri tradičných on-premise systémoch je za všetku bezpečnosť zodpovedný používateľ. V cloud computingu sa zodpovednosť za bezpečnosť delí medzi poskytovateľa cloudových služieb (CSP) a používateľa. 

Zatiaľ čo CSP zodpovedá za bezpečnosť „cloudu“ (napr. fyzických serverov, infraštruktúry), za bezpečnosť „v“ cloude (napr. údaje, aplikácie, riadenie prístupu) zodpovedá používateľ. 

To mení štruktúru rámca NIST, pretože si vyžaduje plán, ktorý berie do úvahy obe strany a dôveruje v riadenie bezpečnosti a systém CSP a jeho schopnosť udržiavať súlad s NIST.

Umiestnenie údajov

V tradičných on-premise systémoch má organizácia úplnú kontrolu nad tým, kde sú jej údaje uložené. Na rozdiel od toho môžu byť cloudové údaje uložené na rôznych miestach globálne, čo vedie k rôznym požiadavkám na dodržiavanie predpisov na základe miestnych zákonov a nariadení. Organizácie to musia brať do úvahy pri udržiavaní súladu s NIST v cloude.

Škálovateľnosť a elasticita

Cloudové prostredia sú navrhnuté tak, aby boli vysoko škálovateľné a elastické. Dynamická povaha cloudu znamená, že bezpečnostné kontroly a politiky musia byť tiež flexibilné a automatizované, vďaka čomu je dodržiavanie NIST v cloude zložitejšou úlohou.

Viacnásobný nájom

V cloude môže CSP ukladať údaje z mnohých organizácií (multitenancia) na ten istý server. Aj keď je to bežná prax pre verejné cloudové servery, prináša ďalšie riziká a zložitosti pre zachovanie bezpečnosti a súladu.

Modely cloudových služieb

Rozdelenie bezpečnostných zodpovedností sa mení v závislosti od typu použitého modelu cloudovej služby – Infrastructure as a Service (IaaS), Platform as a Service (PaaS) alebo Software as a Service (SaaS). To ovplyvňuje spôsob, akým organizácia implementuje rámec.

Stratégie na dosiahnutie súladu s NIST v cloude

Vzhľadom na jedinečnosť cloud computingu musia organizácie uplatniť špecifické opatrenia na dosiahnutie súladu s NIST. Tu je zoznam stratégií, ktoré vašej organizácii pomôžu dosiahnuť a udržať súlad s rámcom kybernetickej bezpečnosti NIST:

1. Pochopte svoju zodpovednosť

Rozlišujte medzi povinnosťami CSP a vašimi vlastnými. Poskytovatelia internetových služieb sa zvyčajne starajú o bezpečnosť cloudovej infraštruktúry, zatiaľ čo vy spravujete svoje údaje, prístup používateľov a aplikácie.

2. Vykonávajte pravidelné hodnotenia bezpečnosti

Pravidelne vyhodnocujte svoje zabezpečenie cloudu, aby ste identifikovali potenciál zraniteľnosti. Využite náradie poskytuje váš CSP a zvážte audit tretej strany pre objektívny pohľad.

3. Zabezpečte svoje údaje

Využívajte silné šifrovacie protokoly pre dáta v pokoji a pri prenose. Správna správa kľúčov je nevyhnutná, aby sa zabránilo neoprávnenému prístupu. Mali by ste tiež nastaviť VPN a firewally na zvýšenie ochrany vašej siete.

4. Implementujte robustné protokoly riadenia identity a prístupu (IAM).

Systémy IAM, ako je viacfaktorová autentifikácia (MFA), vám umožňujú udeliť prístup na základe potreby vedieť a zabrániť neoprávneným používateľom vstúpiť do vášho softvéru a zariadení.

5. Neustále monitorujte svoje kybernetické bezpečnostné riziko

Vplyv Systémy správy bezpečnostných informácií a udalostí (SIEM). a Intrusion Detection Systems (IDS) pre priebežné monitorovanie. Tieto nástroje vám umožňujú rýchlo reagovať na akékoľvek upozornenia alebo porušenia.

6. Vypracujte plán reakcie na incidenty

Vypracujte dobre definovaný plán reakcie na incidenty a uistite sa, že váš tím je oboznámený s procesom. Plán pravidelne kontrolujte a testujte, aby ste zaistili jeho účinnosť.

7. Vykonávať pravidelné audity a kontroly

Vedenie pravidelné bezpečnostné audity proti štandardom NIST a podľa toho upravte svoje zásady a postupy. Zabezpečíte tak aktuálnosť a účinnosť vašich bezpečnostných opatrení.

8. Vyškolte svoj personál

Vybavte svoj tím potrebnými znalosťami a zručnosťami o osvedčených postupoch zabezpečenia cloudu a význame dodržiavania NIST.

9. Pravidelne spolupracujte so svojím CSP

Pravidelne komunikujte so svojím CSP o jeho bezpečnostných postupoch a zvážte všetky ďalšie ponuky zabezpečenia, ktoré môžu mať.

10. Zdokumentujte všetky záznamy o zabezpečení cloudu

Uchovávajte si dôkladné záznamy o všetkých politikách, procesoch a postupoch súvisiacich so zabezpečením cloudu. To môže pomôcť pri preukazovaní súladu s NIST počas auditov.

Využitie HailBytes pre súlad s NIST v cloude

Zatiaľ čo v súlade s rámcom kybernetickej bezpečnosti NIST je vynikajúci spôsob ochrany pred rizikami kybernetickej bezpečnosti a ich riadenia, pričom dosiahnutie súladu s NIST v cloude môže byť zložité. Našťastie nemusíte riešiť zložitosť cloudovej kybernetickej bezpečnosti a dodržiavania NIST sami.

Ako špecialisti na cloudovú bezpečnostnú infraštruktúru, HailBytes je tu, aby pomohla vašej organizácii dosiahnuť a udržať súlad s NIST. Poskytujeme nástroje, služby a školenia na posilnenie vašej pozície v oblasti kybernetickej bezpečnosti. 

Naším cieľom je zabezpečiť, aby sa bezpečnostný softvér s otvoreným zdrojovým kódom dal ľahko nastaviť a bolo ťažké ho infiltrovať. HailBytes ponúka celý rad produkty kybernetickej bezpečnosti na AWS pomôcť vašej organizácii zlepšiť zabezpečenie cloudu. Poskytujeme tiež bezplatné vzdelávacie zdroje v oblasti kybernetickej bezpečnosti, ktoré vám a vášmu tímu pomôžu rozvinúť dôkladné pochopenie bezpečnostnej infraštruktúry a riadenia rizík.

autor

Zach Norton je špecialista na digitálny marketing a odborný spisovateľ na Pentest-Tools.com s niekoľkoročnými skúsenosťami v oblasti kybernetickej bezpečnosti, písania a tvorby obsahu.

Služby

Naša spoločnosť

Naša adresa

Hailbajty

9511 Queens Guard Ct.

Laurel, MD 20723

Telefón: (732) 771-9995

E-mail: info@hailbytes.com

riešenie

Časté otázky týkajúce sa bezpečnosti

Sociálne siete