NIST atitikties pasiekimas debesyje: strategijos ir svarstymai
Naršyti virtualiame atitikties labirinte skaitmeninėje erdvėje yra tikras iššūkis, su kuriuo susiduria šiuolaikinės organizacijos, ypač susijusios su Nacionalinio standartų ir technologijų instituto (NIST) kibernetinio saugumo sistema.
Šis įvadinis vadovas padės geriau suprasti NIST Kibernetinė sauga Sistema ir kaip pasiekti NIST atitiktį debesyje. Įšokime.
Kas yra NIST kibernetinio saugumo sistema?
NIST kibernetinio saugumo sistemoje pateikiami metmenys organizacijoms kurti ir tobulinti savo kibernetinio saugumo rizikos valdymo programas. Jis turi būti lankstus, sudarytas iš daugybės taikomųjų programų ir metodų, kad būtų atsižvelgta į unikalius kiekvienos organizacijos kibernetinio saugumo poreikius.
Struktūrą sudaro trys dalys – pagrindinė, įgyvendinimo pakopos ir profiliai. Čia yra kiekvieno iš jų apžvalga:
Framework Core
„Framework Core“ apima penkias pagrindines funkcijas, kad būtų sukurta veiksminga kibernetinio saugumo rizikos valdymo struktūra:
- nustatyti: Apima kūrimą ir vykdymą a kibernetinio saugumo politika kuriame aprašoma organizacijos kibernetinio saugumo rizika, kibernetinių atakų prevencijos ir valdymo strategijos bei asmenų, turinčių prieigą prie slaptų organizacijos duomenų, vaidmenys ir atsakomybė.
- Apsaugoti: Apima visapusiško apsaugos plano kūrimą ir reguliarų įgyvendinimą, siekiant sumažinti kibernetinio saugumo atakų riziką. Tai dažnai apima kibernetinio saugumo mokymus, griežtą prieigos kontrolę, šifravimą, įsiskverbimo bandymai, ir programinės įrangos atnaujinimas.
- Aptikti: Apima atitinkamų veiksmų kūrimą ir reguliarų įgyvendinimą, kad būtų galima kuo greičiau atpažinti kibernetinio saugumo ataką.
- Atsakyti: Apima visapusiško plano, kuriame nurodomi veiksmai, kurių reikia imtis kibernetinio saugumo atakos atveju, kūrimą.
- Atsigauti: Apima atitinkamų veiksmų kūrimą ir įgyvendinimą, siekiant atkurti tai, ką paveikė incidentas, pagerinti saugumo praktiką ir toliau apsaugoti nuo kibernetinio saugumo atakų.
Šiose funkcijose yra kategorijos, nurodančios kibernetinio saugumo veiklą, subkategorijos, kurios suskirsto veiklą į tikslius rezultatus, ir informacinės nuorodos, kuriose pateikiami praktiniai kiekvienos subkategorijos pavyzdžiai.
Sistemos įgyvendinimo pakopos
Sistemos įgyvendinimo pakopos nurodo, kaip organizacija žiūri ir valdo kibernetinio saugumo riziką. Yra keturios pakopos:
- 1 pakopa: dalinis: Mažai žino ir įgyvendina kibernetinio saugumo rizikos valdymą kiekvienu konkrečiu atveju.
- 2 pakopa: informuota apie riziką: Kibernetinio saugumo rizikos suvokimo ir valdymo praktika egzistuoja, bet nėra standartizuota.
- 3 pakopa: kartojamas: Oficiali visos įmonės rizikos valdymo politika ir reguliariai jas atnaujinama atsižvelgiant į verslo reikalavimų ir grėsmių aplinkos pokyčius.
- 4 pakopa: prisitaikantis: Proaktyviai aptinka ir numato grėsmes bei tobulina kibernetinio saugumo praktikas, pagrįstas ankstesne ir dabartine organizacijos veikla bei besikeičiančiomis kibernetinio saugumo grėsmėmis, technologijomis ir praktika.
Framework Profilis
„Framework Profile“ apibūdina organizacijos pagrindų suderinimą su jos verslo tikslais, kibernetinio saugumo rizikos toleranciją ir išteklius. Profiliai gali būti naudojami apibūdinti esamą ir tikslinę kibernetinio saugumo valdymo būseną.
Dabartinis profilis iliustruoja, kaip organizacija šiuo metu valdo kibernetinio saugumo riziką, o tiksliniame profilyje išsamiai aprašomi rezultatai, kurių organizacijai reikia norint pasiekti kibernetinio saugumo rizikos valdymo tikslus.
NIST atitiktis debesyje ir vietinėse sistemose
Nors NIST kibernetinio saugumo sistema gali būti taikoma visoms technologijoms, Debesis kompiuterija yra unikalus. Panagrinėkime keletą priežasčių, kodėl NIST atitiktis debesyje skiriasi nuo tradicinės vietinės infrastruktūros:
Atsakomybė už saugumą
Naudojant tradicines vietines sistemas, vartotojas yra atsakingas už visą saugumą. Debesijos kompiuterijoje atsakomybės už saugumą dalijasi debesijos paslaugų teikėjas (CSP) ir vartotojas.
Taigi, nors CSP yra atsakingas už debesies (pvz., fizinių serverių, infrastruktūros) saugumą, vartotojas yra atsakingas už saugumą debesyje (pvz., duomenys, programos, prieigos valdymas).
Tai pakeičia NIST Framework struktūrą, nes reikia plano, kuriame būtų atsižvelgiama į abi šalis ir pasitikima CSP saugos valdymu ir sistema bei jos gebėjimu išlaikyti NIST atitiktį.
Duomenų vieta
Tradicinėse vietinėse sistemose organizacija visiškai kontroliuoja, kur saugomi jos duomenys. Priešingai, debesų duomenys gali būti saugomi įvairiose pasaulio vietose, todėl gali būti taikomi skirtingi atitikties reikalavimai, pagrįsti vietiniais įstatymais ir taisyklėmis. Organizacijos turi į tai atsižvelgti palaikydamos NIST atitiktį debesyje.
Mastelio keitimas ir elastingumas
Debesų aplinkos sukurtos taip, kad būtų labai keičiamos ir elastingos. Dinamiškas debesies pobūdis reiškia, kad saugos kontrolė ir politika taip pat turi būti lankstūs ir automatizuoti, todėl NIST atitiktis debesyje yra sudėtingesnė užduotis.
Daugiabučiai
Debesyje CSP gali saugoti daugelio organizacijų (daugiafunkcinių paslaugų) duomenis tame pačiame serveryje. Nors tai yra įprasta viešųjų debesijos serverių praktika, tai kelia papildomų pavojų ir sudėtingumo užtikrinant saugumą ir atitiktį.
Cloud Service modeliai
Saugumo atsakomybės pasiskirstymas keičiasi priklausomai nuo naudojamo debesijos paslaugų modelio tipo – Infrastructure as a Service (IaaS), Platform as a Service (PaaS) ar Software as a Service (SaaS). Tai turi įtakos tam, kaip organizacija įgyvendina Struktūrą.
Strategijos, kaip pasiekti NIST atitiktį debesyje
Atsižvelgiant į debesų kompiuterijos unikalumą, organizacijos turi taikyti konkrečias priemones, kad atitiktų NIST. Pateikiame sąrašą strategijų, kurios padės jūsų organizacijai pasiekti ir išlaikyti atitiktį NIST kibernetinio saugumo sistemai:
1. Supraskite savo atsakomybę
Atskirkite CSP ir savo pareigas. Paprastai CSP rūpinasi debesų infrastruktūros saugumu, kai tvarkote duomenis, vartotojo prieigą ir programas.
2. Atlikite reguliarius saugumo vertinimus
Periodiškai įvertinkite savo debesų saugą, kad nustatytumėte potencialą pažeidžiamumą. Pasinaudokite įrankiai teikia jūsų CSP, ir apsvarstykite trečiosios šalies auditą, kad būtų nešališka perspektyva.
3. Apsaugokite savo duomenis
Naudokite stiprius šifravimo protokolus duomenims ramybės būsenoje ir perduodamiems. Norint išvengti neteisėtos prieigos, būtina tinkamai valdyti raktus. Jūs taip pat turėtumėte nustatyti VPN ir ugniasienės, kad padidintumėte tinklo apsaugą.
4. Įdiekite patikimus tapatybės ir prieigos valdymo (IAM) protokolus
IAM sistemos, pvz., kelių veiksnių autentifikavimas (MFA), leidžia suteikti prieigą, kai reikia žinoti, ir neleidžia neteisėtiems vartotojams patekti į jūsų programinę įrangą ir įrenginius.
5. Nuolat stebėkite savo kibernetinio saugumo riziką
Sverto Saugumo informacijos ir įvykių valdymo (SIEM) sistemos ir įsibrovimo aptikimo sistemos (IDS), skirtos nuolatiniam stebėjimui. Šie įrankiai leidžia greitai reaguoti į visus įspėjimus ar pažeidimus.
6. Sukurkite reagavimo į incidentus planą
Sukurkite tiksliai apibrėžtą reagavimo į incidentus planą ir įsitikinkite, kad jūsų komanda yra susipažinusi su procesu. Reguliariai peržiūrėkite ir išbandykite planą, kad įsitikintumėte jo veiksmingumu.
7. Atlikite reguliarius auditus ir peržiūras
Vesti reguliarūs saugumo auditai neatitinka NIST standartų ir atitinkamai pakoreguokite savo politiką bei procedūras. Tai užtikrins, kad jūsų saugumo priemonės yra naujausios ir veiksmingos.
8. Treniruok savo darbuotojus
Suteikite savo komandai reikiamų žinių ir įgūdžių apie geriausią debesų saugos praktiką ir NIST atitikties svarbą.
9. Reguliariai bendradarbiaukite su savo CSP
Reguliariai susisiekite su savo CSP dėl jų saugos praktikos ir apsvarstykite bet kokius papildomus saugos pasiūlymus.
10. Dokumentuokite visus debesies saugos įrašus
Kruopščiai rašykite visas su debesų sauga susijusias strategijas, procesus ir procedūras. Tai gali padėti įrodyti NIST atitiktį audito metu.
„HailBytes“ panaudojimas NIST atitikčiai debesyje
O laikantis NIST kibernetinio saugumo sistemos yra puikus būdas apsisaugoti ir valdyti kibernetinio saugumo riziką, todėl pasiekti NIST atitiktį debesyje gali būti sudėtinga. Laimei, jums nereikia spręsti vien tik debesų kibernetinio saugumo ir NIST atitikties sudėtingumo.
Kaip debesų saugos infrastruktūros specialistai, Hailbaitai yra tam, kad padėtų jūsų organizacijai pasiekti ir išlaikyti NIST atitiktį. Teikiame įrankius, paslaugas ir mokymus, kad sustiprintume jūsų kibernetinio saugumo laikyseną.
Mūsų tikslas – kad atvirojo kodo saugos programinę įrangą būtų lengva nustatyti ir į ją būtų sunku įsiskverbti. „HailBytes“ siūlo daugybę kibernetinio saugumo produktai AWS padėti jūsų organizacijai pagerinti debesų saugą. Taip pat teikiame nemokamus kibernetinio saugumo mokymo išteklius, kurie padės jums ir jūsų komandai ugdyti tvirtą saugumo infrastruktūros ir rizikos valdymo supratimą.
autorius
Zachas Nortonas yra skaitmeninės rinkodaros specialistas ir ekspertas Pentest-Tools.com rašytojas, turintis kelerių metų patirtį kibernetinio saugumo, rašymo ir turinio kūrimo srityse.
