Дасягненне адпаведнасці NIST у воблаку: стратэгіі і меркаванні
Навігацыя ў віртуальным лабірынце адпаведнасці ў лічбавай прасторы - гэта сапраўдная праблема, з якой сутыкаюцца сучасныя арганізацыі, асабліва ў дачыненні да Рамка кібербяспекі Нацыянальнага інстытута стандартаў і тэхналогій (NIST)..
Гэта ўводнае кіраўніцтва дапаможа вам лепш зразумець NIST кібербяспека Структура і як дасягнуць адпаведнасці NIST у воблаку. Заскочым.
Што такое NIST Cybersecurity Framework?
NIST Cybersecurity Framework дае план для арганізацый па распрацоўцы і ўдасканаленні сваіх праграм кіравання рызыкамі кібербяспекі. Ён павінен быць гнуткім і складаецца з шырокага спектру прыкладанняў і падыходаў для ўліку унікальных патрэб кожнай арганізацыі ў галіне кібербяспекі.
Структура складаецца з трох частак - ядра, узроўняў рэалізацыі і профіляў. Вось агляд кожнага з іх:
Ядро Framework
Ядро Framework уключае пяць асноўных функцый для забеспячэння эфектыўнай структуры для кіравання рызыкамі кібербяспекі:
- Ідэнтыфікаваць: Уключае ў сябе распрацоўку і забеспячэнне a палітыка кібербяспекі які апісвае рызыку кібербяспекі арганізацыі, стратэгіі прадухілення і барацьбы з кібератакамі, а таксама ролі і абавязкі асоб, якія маюць доступ да канфідэнцыяльных даных арганізацыі.
- Абараніць: Уключае распрацоўку і рэгулярную рэалізацыю комплекснага плана абароны для зніжэння рызыкі нападаў на кібербяспеку. Гэта часта ўключае навучанне кібербяспецы, строгі кантроль доступу, шыфраванне, тэставанне на пранікненне, і абнаўленне праграмнага забеспячэння.
- Выяўленне: Уключае ў сябе распрацоўку і рэгулярную рэалізацыю адпаведных мерапрыемстваў для як мага хутчэйшага распазнання кібербяспекі.
- Адказаць: Уключае ў сябе распрацоўку ўсёабдымнага плана з указаннем дзеянняў у выпадку атакі на кібербяспеку.
- Аднавіць: Уключае ў сябе распрацоўку і рэалізацыю адпаведных дзеянняў для аднаўлення таго, што пацярпела ад інцыдэнту, паляпшэння метадаў бяспекі і далейшай абароны ад нападаў на кібербяспеку.
Унутры гэтых функцый ёсць катэгорыі, якія вызначаюць дзейнасць у галіне кібербяспекі, падкатэгорыі, якія разбіваюць дзейнасць на дакладныя вынікі, і інфармацыйныя спасылкі, якія даюць практычныя прыклады для кожнай падкатэгорыі.
Узроўні рэалізацыі структуры
Узроўні рэалізацыі структуры паказваюць, як арганізацыя разглядае рызыкі кібербяспекі і кіруе імі. Ёсць чатыры ўзроўню:
- Узровень 1: часткова: Мала дасведчанасці і ўкараняе кіраванне рызыкамі кібербяспекі ў кожным канкрэтным выпадку.
- Узровень 2: Інфармаваны пра рызыку: Практыкі ўсведамлення рызык кібербяспекі і кіравання імі існуюць, але не стандартызаваны.
- Узровень 3: Паўтараецца: Афіцыйная агульнакампанійная палітыка кіравання рызыкамі і рэгулярна абнаўляе яе з улікам змяненняў у бізнес-патрабаваннях і ландшафте пагроз.
- Узровень 4: Адаптыўны: Аператыўна выяўляе і прагназуе пагрозы і ўдасканальвае практыку кібербяспекі на аснове мінулых і цяперашніх дзеянняў арганізацыі, а таксама новых пагроз, тэхналогій і практыкі кібербяспекі.
Рамачны профіль
Профіль Framework акрэслівае ўзгадненне ядра Framework Core з яе бізнес-мэтамі, устойлівасцю да рызыкі кібербяспекі і рэсурсамі. Профілі можна выкарыстоўваць для апісання бягучага і мэтавага стану кіравання кібербяспекай.
Бягучы профіль паказвае, як арганізацыя ў цяперашні час спраўляецца з рызыкамі кібербяспекі, у той час як мэтавы профіль паказвае вынікі, неабходныя арганізацыі для дасягнення мэт кіравання рызыкамі кібербяспекі.
Адпаведнасць NIST у воблаку супраць лакальных сістэм
У той час як NIST Cybersecurity Framework можа прымяняцца да ўсіх тэхналогій, хмарных вылічэнняў з'яўляецца унікальным. Давайце вывучым некалькі прычын, чаму адпаведнасць NIST у воблаку адрозніваецца ад традыцыйнай лакальнай інфраструктуры:
Адказнасць за бяспеку
У традыцыйных лакальных сістэмах карыстальнік нясе адказнасць за ўсю бяспеку. У воблачных вылічэннях адказнасць за бяспеку падзяляецца паміж пастаўшчыком хмарных паслуг (CSP) і карыстальнікам.
Такім чынам, у той час як CSP адказвае за бяспеку «ў» воблаку (напрыклад, фізічных сервераў, інфраструктуры), карыстальнік адказвае за бяспеку «ў» воблаку (напрыклад, даныя, прыкладанні, кіраванне доступам).
Гэта змяняе структуру NIST Framework, паколькі патрабуецца план, які ўлічвае абодва бакі і давярае сістэме кіравання бяспекай CSP і яе здольнасці падтрымліваць адпаведнасць NIST.
Размяшчэнне дадзеных
У традыцыйных лакальных сістэмах арганізацыя мае поўны кантроль над тым, дзе захоўваюцца яе даныя. У адрозненне ад гэтага, воблачныя даныя могуць захоўвацца ў розных месцах па ўсім свеце, што прыводзіць да розных патрабаванняў адпаведнасці на аснове мясцовых законаў і правілаў. Арганізацыі павінны ўлічваць гэта пры падтрыманні адпаведнасці NIST у воблаку.
Маштабаванасць і эластычнасць
Воблачныя асяроддзя распрацаваны так, каб быць вельмі маштабуемымі і эластычнымі. Дынамічны характар воблака азначае, што сродкі кантролю і палітыкі бяспекі таксама павінны быць гнуткімі і аўтаматызаванымі, што робіць выкананне патрабаванняў NIST у воблаку больш складанай задачай.
Шматкватэрнасць
У воблаку CSP можа захоўваць даныя шматлікіх арганізацый (мультырэнтабельнасць) на адным серверы. Нягледзячы на тое, што гэта звычайная практыка для агульнадаступных хмарных сервераў, яна стварае дадатковыя рызыкі і складанасці для падтрымання бяспекі і адпаведнасці.
Мадэлі воблачнага сэрвісу
Падзел абавязкаў па бяспецы змяняецца ў залежнасці ад тыпу выкарыстоўванай мадэлі воблачнага сэрвісу - інфраструктура як паслуга (IaaS), платформа як паслуга (PaaS) або праграмнае забеспячэнне як паслуга (SaaS). Гэта ўплывае на тое, як арганізацыя ўкараняе Рамку.
Стратэгіі дасягнення адпаведнасці NIST у воблаку
Улічваючы ўнікальнасць хмарных вылічэнняў, арганізацыям неабходна прымяняць пэўныя меры для дасягнення адпаведнасці NIST. Вось спіс стратэгій, якія дапамогуць вашай арганізацыі дасягнуць і падтрымліваць адпаведнасць NIST Cybersecurity Framework:
1. Зразумейце сваю адказнасць
Размяжоўвайце абавязкі CSP і свае ўласныя. Як правіла, CSP забяспечваюць бяспеку воблачнай інфраструктуры, пакуль вы кіруеце сваімі дадзенымі, доступам карыстальнікаў і праграмамі.
2. Праводзіце рэгулярныя ацэнкі бяспекі
Перыядычна ацэньвайце бяспеку воблака, каб вызначыць патэнцыял ўразлівасці. Выкарыстоўвайце інструменты прадастаўлены вашым CSP і разгледзьце аўдыт трэціх асоб для бесстаронняга пункту гледжання.
3. Абараніце свае дадзеныя
Выкарыстоўвайце надзейныя пратаколы шыфравання для даных у стане спакою і перадачы. Каб пазбегнуць несанкцыянаванага доступу, важна правільнае кіраванне ключамі. Вы таксама павінны наладзіць VPN і брандмаўэры для павышэння абароны вашай сеткі.
4. Укараніць надзейныя пратаколы ідэнтыфікацыі і кіравання доступам (IAM).
Сістэмы IAM, такія як шматфактарная аўтэнтыфікацыя (MFA), дазваляюць прадастаўляць доступ на аснове неабходнасці ведаць і прадухіляць несанкцыянаваны доступ карыстальнікаў да вашага праграмнага забеспячэння і прылад.
5. Пастаянна кантралюйце рызыку кібербяспекі
Рычаг Сістэмы бяспекі інфармацыі і кіравання падзеямі (SIEM). і сістэмы выяўлення ўварванняў (IDS) для пастаяннага кантролю. Гэтыя інструменты дазваляюць вам аператыўна рэагаваць на любыя папярэджанні або парушэнні.
6. Распрацуйце план рэагавання на інцыдэнты
Распрацуйце дакладна вызначаны план рэагавання на інцыдэнт і пераканайцеся, што ваша каманда знаёмая з працэсам. Рэгулярна праглядайце і правярайце план, каб пераканацца ў яго эфектыўнасці.
7. Праводзіце рэгулярныя аўдыты і агляды
Праводзіць рэгулярныя праверкі бяспекі у адпаведнасці са стандартамі NIST і адпаведным чынам скарэкціруйце сваю палітыку і працэдуры. Гэта забяспечыць актуальныя і эфектыўныя меры бяспекі.
8. Навучыце свой персанал
Аснашце сваю каманду неабходнымі ведамі і навыкамі аб перадавой практыцы бяспекі ў воблаку і важнасці адпаведнасці NIST.
9. Рэгулярна супрацоўнічайце са сваім CSP
Рэгулярна кантактуйце са сваім CSP наконт іх метадаў бяспекі і разглядайце любыя дадатковыя прапановы бяспекі, якія яны могуць мець.
10. Задакументуйце ўсе запісы бяспекі ў воблаку
Вядзіце дбайныя запісы ўсіх палітык, працэсаў і працэдур, звязаных з воблачнай бяспекай. Гэта можа дапамагчы ў дэманстрацыі адпаведнасці NIST падчас аўдытаў.
Выкарыстанне HailBytes для адпаведнасці NIST у воблаку
У той час як прытрымліваючыся NIST Cybersecurity Framework гэта выдатны спосаб абароны і кіравання рызыкамі кібербяспекі, дасягненне адпаведнасці NIST у воблаку можа быць складаным. На шчасце, вам не трэба вырашаць толькі складанасці воблачнай кібербяспекі і адпаведнасці NIST.
Як спецыялісты ў воблачнай інфраструктуры бяспекі, HailBytes тут, каб дапамагчы вашай арганізацыі дасягнуць і падтрымліваць адпаведнасць NIST. Мы прапануем інструменты, паслугі і навучанне для ўмацавання вашай пазіцыі кібербяспекі.
Наша мэта складаецца ў тым, каб зрабіць праграмнае забеспячэнне бяспекі з адкрытым зыходным кодам простым у наладжванні і складаным для пранікнення. HailBytes прапануе масіў прадукты кібербяспекі на AWS каб дапамагчы вашай арганізацыі палепшыць бяспеку воблака. Мы таксама прапануем бясплатныя адукацыйныя рэсурсы па кібербяспецы, каб дапамагчы вам і вашай камандзе развіць глыбокае разуменне інфраструктуры бяспекі і кіравання рызыкамі.
аўтар
Зак Нортан - спецыяліст па лічбавым маркетынгу і аўтар-эксперт у Pentest-Tools.com, з некалькімі гадамі вопыту работы ў галіне кібербяспекі, напісання і стварэння кантэнту.
