Postizanje usklađenosti s NIST-om u oblaku: strategije i razmatranja

Slika autora vs148 na Shutterstocku

Kretanje virtualnim labirintom usklađenosti u digitalnom prostoru pravi je izazov s kojim se moderne organizacije suočavaju, posebno u pogledu Nacionalni institut za standarde i tehnologiju (NIST) Cybersecurity Framework.

Ovaj uvodni vodič pomoći će vam da bolje razumijete NIST Cybersecurity Okvir i kako postići NIST usklađenost u oblaku. Uskočimo.

Što je NIST Cybersecurity Framework?

NIST Cybersecurity Framework daje pregled organizacijama za razvoj i poboljšanje svojih programa upravljanja rizikom kibernetičke sigurnosti. Zamišljeno je da bude fleksibilno, sastoji se od širokog spektra aplikacija i pristupa kako bi se odgovorilo na jedinstvene potrebe svake organizacije u pogledu kibernetičke sigurnosti.

Okvir se sastoji od tri dijela – Jezgre, Implementacijskih razina i Profila. Ovdje je pregled svakog od njih:

Jezgra okvira

Jezgra okvira uključuje pet primarnih funkcija za pružanje učinkovite strukture za upravljanje rizicima kibernetičke sigurnosti:

  1. Identificirati: Uključuje razvijanje i provođenje a politika kibernetičke sigurnosti koji ocrtava rizik kibernetičke sigurnosti organizacije, strategije za sprječavanje kibernetičkih napada i upravljanje njima te uloge i odgovornosti pojedinaca s pristupom osjetljivim podacima organizacije.
  2. Zaštititi: Uključuje razvoj i redovitu provedbu sveobuhvatnog plana zaštite za smanjenje rizika od kibernetičkih napada. To često uključuje obuku o kibernetičkoj sigurnosti, stroge kontrole pristupa, enkripciju, penetracijsko ispitivanje, i ažuriranje softvera.
  3. Otkriti: Uključuje razvoj i redovitu provedbu odgovarajućih aktivnosti za prepoznavanje kibernetičkog napada što je brže moguće.
  4. odgovori: Uključuje razvoj sveobuhvatnog plana koji opisuje korake koje treba poduzeti u slučaju kibernetičkog napada. 
  5. Oporavak: Uključuje razvoj i provedbu odgovarajućih aktivnosti za obnovu onoga na što je utjecao incident, poboljšanje sigurnosnih praksi i nastavak zaštite od kibersigurnosnih napada.

Unutar tih funkcija nalaze se kategorije koje određuju aktivnosti kibernetičke sigurnosti, potkategorije koje raščlanjuju aktivnosti na precizne ishode i informativne reference koje pružaju praktične primjere za svaku potkategoriju.

Razine implementacije okvira

Razine implementacije okvira pokazuju kako organizacija gleda na rizike kibernetičke sigurnosti i upravlja njima. Postoje četiri razine:

  • Razina 1: Djelomično: Niska svijest i implementira upravljanje rizikom kibernetičke sigurnosti od slučaja do slučaja.
  • Razina 2: Informirani o riziku: Svijest o riziku kibernetičke sigurnosti i prakse upravljanja postoje, ali nisu standardizirane. 
  • Razina 3: Ponovljivo: Formalne politike upravljanja rizikom za cijelu tvrtku i redovito ih ažurira na temelju promjena u poslovnim zahtjevima i okruženju prijetnji. 
  • Razina 4: Prilagodljivo: Proaktivno otkriva i predviđa prijetnje i poboljšava prakse kibernetičke sigurnosti na temelju prošlih i sadašnjih aktivnosti organizacije i razvoja kibernetičkih prijetnji, tehnologija i praksi.

Okvirni profil

Okvirni profil ocrtava usklađivanje središnjeg okvira organizacije s njezinim poslovnim ciljevima, tolerancijom rizika kibernetičke sigurnosti i resursima. Profili se mogu koristiti za opisivanje trenutnog i ciljanog stanja upravljanja kibersigurnošću. 

Trenutačni profil ilustrira kako se organizacija trenutno nosi s rizicima kibernetičke sigurnosti, dok ciljni profil detaljno opisuje rezultate koje organizacija treba da postigne ciljeve upravljanja rizikom kibernetičke sigurnosti.

Usklađenost s NIST-om u oblaku u odnosu na lokalne sustave

Iako se NIST Cybersecurity Framework može primijeniti na sve tehnologije, cloud computing je jedinstven. Istražimo nekoliko razloga zašto se usklađenost s NIST-om u oblaku razlikuje od tradicionalne lokalne infrastrukture:

Sigurnosna odgovornost

Kod tradicionalnih on-premise sustava, korisnik je odgovoran za svu sigurnost. U računalstvu u oblaku, sigurnosne odgovornosti dijele pružatelj usluga u oblaku (CSP) i korisnik. 

Dakle, dok je CSP odgovoran za sigurnost "u" oblaku (npr. fizički poslužitelji, infrastruktura), korisnik je odgovoran za sigurnost "u" oblaku (npr. podaci, aplikacije, upravljanje pristupom). 

Ovo mijenja strukturu NIST okvira, budući da zahtijeva plan koji uzima u obzir obje strane i povjerenje u CSP-ovo sigurnosno upravljanje i sustav te njegovu sposobnost da održi usklađenost s NIST-om.

Lokacija podataka

U tradicionalnim on-premise sustavima, organizacija ima potpunu kontrolu nad time gdje se pohranjuju njezini podaci. Nasuprot tome, podaci u oblaku mogu se pohraniti na različitim lokacijama na globalnoj razini, što dovodi do različitih zahtjeva sukladnosti na temelju lokalnih zakona i propisa. Organizacije to moraju uzeti u obzir kada održavaju NIST usklađenost u oblaku.

Skalabilnost i elastičnost

Okruženja u oblaku dizajnirana su tako da budu visoko skalabilna i elastična. Dinamička priroda oblaka znači da sigurnosne kontrole i politike također moraju biti fleksibilne i automatizirane, čineći usklađenost s NIST-om u oblaku složenijim zadatkom.

Višestanarstvo

U oblaku CSP može pohranjivati ​​podatke iz brojnih organizacija (multitenancy) na istom poslužitelju. Iako je to uobičajena praksa za javne poslužitelje u oblaku, uvodi dodatne rizike i složenosti za održavanje sigurnosti i usklađenosti.

Modeli usluga u oblaku

Podjela sigurnosnih odgovornosti mijenja se ovisno o vrsti modela usluge u oblaku koji se koristi – Infrastruktura kao usluga (IaaS), Platforma kao usluga (PaaS) ili Softver kao usluga (SaaS). To utječe na način na koji organizacija provodi Okvir.

Strategije za postizanje usklađenosti s NIST-om u oblaku

S obzirom na jedinstvenost računalstva u oblaku, organizacije moraju primijeniti posebne mjere kako bi postigle usklađenost s NIST-om. Evo popisa strategija za pomoć vašoj organizaciji u postizanju i održavanju usklađenosti s NIST Cybersecurity Frameworkom:

1. Shvatite svoju odgovornost

Napravite razliku između odgovornosti CSP-a i svojih vlastitih. CSP-ovi obično brinu o sigurnosti infrastrukture oblaka dok vi upravljate svojim podacima, korisničkim pristupom i aplikacijama.

2. Provodite redovite sigurnosne procjene

Povremeno procijenite svoju sigurnost u oblaku kako biste identificirali potencijal ranjivosti. Iskoristite alat pruža vaš CSP i razmislite o reviziji treće strane za nepristranu perspektivu.

3. Osigurajte svoje podatke

Upotrijebite snažne protokole šifriranja za podatke u mirovanju i prijenosu. Ispravno upravljanje ključem ključno je za izbjegavanje neovlaštenog pristupa. Također biste trebali postaviti VPN i vatrozid za povećanje zaštite mreže.

4. Implementirajte robusne protokole za upravljanje identitetom i pristupom (IAM).

IAM sustavi, kao što je višefaktorska provjera autentičnosti (MFA), omogućuju vam da odobrite pristup prema potrebi i spriječite neovlaštene korisnike da uđu u vaš softver i uređaje.

5. Kontinuirano nadzirite svoj rizik kibernetičke sigurnosti

Moć Sigurnosni sustavi za upravljanje informacijama i događajima (SIEM). i Intrusion Detection Systems (IDS) za stalni nadzor. Ovi vam alati omogućuju brzi odgovor na sva upozorenja ili kršenja.

6. Razvijte plan odgovora na incident

Razvijte dobro definiran plan odgovora na incident i osigurajte da je vaš tim upoznat s procesom. Redovito pregledavajte i testirajte plan kako biste osigurali njegovu učinkovitost.

7. Provodite redovite revizije i preglede

Voditi redovite sigurnosne revizije protiv NIST standarda i prilagodite svoja pravila i procedure u skladu s tim. Ovo će osigurati da su vaše sigurnosne mjere aktualne i učinkovite.

8. Obučite svoje osoblje

Opremite svoj tim potrebnim znanjem i vještinama o najboljim praksama sigurnosti u oblaku i važnosti usklađenosti s NIST-om.

9. Redovito surađujte sa svojim CSP-om

Redovito komunicirajte sa svojim CSP-om o njihovim sigurnosnim praksama i razmotrite sve dodatne sigurnosne ponude koje bi mogli imati.

10. Dokumentirajte sve sigurnosne zapise u oblaku

Vodite pedantne zapise o svim politikama, procesima i procedurama povezanim sa sigurnošću u oblaku. To može pomoći u demonstriranju usklađenosti s NIST-om tijekom revizija.

Iskorištavanje HailBytes za NIST usklađenost u oblaku

Dok pridržavajući se NIST Cybersecurity Framework je izvrstan način zaštite od kibersigurnosnih rizika i upravljanja njima, postizanje usklađenosti s NIST-om u oblaku može biti složeno. Srećom, ne morate se baviti samo složenošću kibernetičke sigurnosti u oblaku i usklađenosti s NIST-om.

Kao stručnjaci za sigurnosnu infrastrukturu u oblaku, HailBytes je ovdje da pomogne vašoj organizaciji u postizanju i održavanju usklađenosti s NIST-om. Pružamo alate, usluge i obuku za jačanje vaše kibersigurnosne pozicije. 

Naš je cilj učiniti sigurnosni softver otvorenog koda lakim za postavljanje i teškim za infiltraciju. HailBytes nudi niz kibernetičke sigurnosne proizvode na AWS-u kako bi vaša organizacija poboljšala sigurnost u oblaku. Također pružamo besplatne obrazovne resurse o kibersigurnosti kako bismo vama i vašem timu pomogli da razvijete dobro razumijevanje sigurnosne infrastrukture i upravljanja rizicima.

Autor

Zach Norton stručnjak je za digitalni marketing i stručni pisac na Pentest-Tools.com, s nekoliko godina iskustva u kibernetičkoj sigurnosti, pisanju i stvaranju sadržaja.

Usluge

Naša tvrtka

Naša adresa

Hailbytes

9511 Queens Guard Ct.

Laurel, dr. 20723

Telefon: (732) 771-9995

E-pošta: info@hailbytes.com

rješenja

FAQ o sigurnosti

Društveni mediji