Doseganje skladnosti z NIST v oblaku: strategije in premisleki

Slika vs148 na Shutterstocku

Krmarjenje po virtualnem labirintu skladnosti v digitalnem prostoru je pravi izziv, s katerim se soočajo sodobne organizacije, zlasti glede Okvir kibernetske varnosti Nacionalnega inštituta za standarde in tehnologijo (NIST)..

Ta uvodni vodnik vam bo pomagal bolje razumeti NIST Cybersecurity Okvir in kako doseči skladnost z NIST v oblaku. Skočimo noter.

Kaj je NIST Cybersecurity Framework?

NIST Cybersecurity Framework ponuja oris organizacijam za razvoj in izboljšanje svojih programov za obvladovanje tveganj kibernetske varnosti. Naj bi bil prilagodljiv, sestavljen iz široke palete aplikacij in pristopov za upoštevanje edinstvenih potreb vsake organizacije glede kibernetske varnosti.

Ogrodje je sestavljeno iz treh delov – jedra, izvedbenih stopenj in profilov. Tukaj je pregled vsakega:

Jedro ogrodja

Okvirno jedro vključuje pet primarnih funkcij za zagotavljanje učinkovite strukture za obvladovanje tveganj kibernetske varnosti:

  1. Prepoznajte: Vključuje razvoj in uveljavljanje a politiko kibernetske varnosti ki opisuje tveganje kibernetske varnosti organizacije, strategije za preprečevanje in obvladovanje kibernetskih napadov ter vloge in odgovornosti posameznikov z dostopom do občutljivih podatkov organizacije.
  2. Zaščititi: Vključuje razvoj in redno izvajanje celovitega načrta zaščite za zmanjšanje tveganja napadov na kibernetsko varnost. To pogosto vključuje usposabljanje o kibernetski varnosti, strog nadzor dostopa, šifriranje, preskušanje penetracijein posodabljanje programske opreme.
  3. Zaznaj: Vključuje razvoj in redno izvajanje ustreznih dejavnosti za čim hitrejše prepoznavanje napada na kibernetsko varnost.
  4. Odgovorite: Vključuje razvoj celovitega načrta, ki opisuje korake, ki jih je treba sprejeti v primeru napada na kibernetsko varnost. 
  5. Obnovite: Vključuje razvoj in izvajanje ustreznih dejavnosti za obnovitev tega, na kar je vplival incident, izboljšanje varnostnih praks in nadaljnjo zaščito pred napadi kibernetske varnosti.

Znotraj teh funkcij so kategorije, ki določajo dejavnosti kibernetske varnosti, podkategorije, ki dejavnosti razčlenjujejo na natančne rezultate, in informativne reference, ki nudijo praktične primere za vsako podkategorijo.

Stopnje izvajanja ogrodja

Stopnje izvajanja ogrodja kažejo, kako si organizacija ogleduje in upravlja tveganja kibernetske varnosti. Obstajajo štiri stopnje:

  • Stopnja 1: delno: Nizka ozaveščenost in izvaja obvladovanje tveganj kibernetske varnosti za vsak primer posebej.
  • 2. stopnja: obveščeni o tveganju: Prakse ozaveščanja o tveganjih kibernetske varnosti in upravljanja z njimi obstajajo, vendar niso standardizirane. 
  • Stopnja 3: Ponovljivo: Uradne politike obvladovanja tveganj za celotno podjetje in jih redno posodablja na podlagi sprememb v poslovnih zahtevah in pokrajini groženj. 
  • Stopnja 4: Prilagodljivo: Proaktivno zaznava in predvideva grožnje ter izboljšuje prakse kibernetske varnosti na podlagi preteklih in sedanjih dejavnosti organizacije ter razvijajočih se groženj, tehnologij in praks kibernetske varnosti.

Okvirni profil

Okvirni profil opisuje usklajenost okvirnega jedra organizacije z njenimi poslovnimi cilji, toleranco tveganja kibernetske varnosti in viri. Profili se lahko uporabljajo za opis trenutnega in ciljnega stanja upravljanja kibernetske varnosti. 

Trenutni profil ponazarja, kako se organizacija trenutno spopada s tveganji kibernetske varnosti, medtem ko ciljni profil podrobno opisuje rezultate, ki jih mora organizacija doseči, da doseže cilje obvladovanja tveganj kibernetske varnosti.

Skladnost z NIST v oblaku v primerjavi s sistemi na mestu uporabe

Čeprav je ogrodje kibernetske varnosti NIST mogoče uporabiti za vse tehnologije, računalništvo v oblaku je edinstven. Raziščimo nekaj razlogov, zakaj se skladnost z NIST v oblaku razlikuje od tradicionalne infrastrukture na mestu uporabe:

Varnostna odgovornost

Pri tradicionalnih sistemih na mestu uporabe je za vso varnost odgovoren uporabnik. Pri računalništvu v oblaku si varnostne odgovornosti delita ponudnik storitev v oblaku (CSP) in uporabnik. 

Torej, medtem ko je CSP odgovoren za varnost "v" oblaku (npr. fizičnih strežnikov, infrastrukture), je uporabnik odgovoren za varnost "v" oblaku (npr. podatki, aplikacije, upravljanje dostopa). 

To spremeni strukturo ogrodja NIST, saj zahteva načrt, ki upošteva obe strani in zaupa v varnostno upravljanje in sistem CSP ter njegovo sposobnost ohranjanja skladnosti z NIST.

Lokacija podatkov

V tradicionalnih sistemih na mestu uporabe ima organizacija popoln nadzor nad tem, kje so shranjeni njeni podatki. Nasprotno pa se lahko podatki v oblaku shranjujejo na različnih lokacijah po vsem svetu, kar vodi do različnih zahtev glede skladnosti na podlagi lokalnih zakonov in predpisov. Organizacije morajo to upoštevati pri ohranjanju skladnosti z NIST v oblaku.

Razširljivost in elastičnost

Okolja v oblaku so zasnovana tako, da so zelo razširljiva in elastična. Dinamična narava oblaka pomeni, da morajo biti tudi varnostni nadzor in politike prilagodljivi in ​​avtomatizirani, zaradi česar je skladnost z NIST v oblaku bolj zapletena naloga.

Več najemno

V oblaku lahko CSP shranjuje podatke iz številnih organizacij (multitenancy) v isti strežnik. Čeprav je to običajna praksa za javne strežnike v oblaku, predstavlja dodatna tveganja in zapletenosti pri ohranjanju varnosti in skladnosti.

Modeli storitev v oblaku

Delitev varnostnih odgovornosti se spreminja glede na vrsto uporabljenega modela storitve v oblaku – infrastruktura kot storitev (IaaS), platforma kot storitev (PaaS) ali programska oprema kot storitev (SaaS). To vpliva na to, kako organizacija izvaja okvir.

Strategije za doseganje skladnosti z NIST v oblaku

Glede na edinstvenost računalništva v oblaku morajo organizacije uporabiti posebne ukrepe za doseganje skladnosti z NIST. Tukaj je seznam strategij za pomoč vaši organizaciji pri doseganju in ohranjanju skladnosti z NIST Cybersecurity Framework:

1. Zavedajte se svoje odgovornosti

Razlikujte med odgovornostmi CSP in svojimi. Običajno CSP skrbijo za varnost infrastrukture v oblaku, medtem ko vi upravljate svoje podatke, uporabniški dostop in aplikacije.

2. Izvajajte redne varnostne ocene

Občasno ocenite svojo varnost v oblaku, da prepoznate potencial ranljivosti. Uporabite orodja posreduje vaš CSP in razmislite o reviziji tretje osebe za nepristransko perspektivo.

3. Zavarujte svoje podatke

Uporabite močne šifrirne protokole za podatke v mirovanju in na poti. Pravilno upravljanje ključev je bistvenega pomena za preprečevanje nepooblaščenega dostopa. Moral bi tudi nastavite VPN in požarni zidovi za večjo zaščito omrežja.

4. Implementirajte robustne protokole za upravljanje identitete in dostopa (IAM).

Sistemi IAM, kot je večfaktorska avtentikacija (MFA), vam omogočajo, da odobrite dostop na podlagi potrebe po seznanitvi in ​​preprečite nepooblaščenim uporabnikom vstop v vašo programsko opremo in naprave.

5. Nenehno spremljajte tveganje kibernetske varnosti

Vzvod Sistemi za upravljanje varnostnih informacij in dogodkov (SIEM). in sistemi za zaznavanje vdorov (IDS) za stalno spremljanje. Ta orodja vam omogočajo, da se takoj odzovete na vsa opozorila ali kršitve.

6. Razvijte načrt za odzivanje na incidente

Razvijte natančno opredeljen načrt odzivanja na incident in zagotovite, da je vaša ekipa seznanjena s postopkom. Redno pregledujte in testirajte načrt, da zagotovite njegovo učinkovitost.

7. Izvajajte redne revizije in preglede

Ravnanje redne varnostne preglede v skladu s standardi NIST in temu primerno prilagodite svoje politike in postopke. Tako boste zagotovili, da so vaši varnostni ukrepi aktualni in učinkoviti.

8. Usposobite svoje osebje

Opremite svojo ekipo s potrebnim znanjem in veščinami o najboljših praksah varnosti v oblaku in pomembnosti skladnosti z NIST.

9. Redno sodelujte s svojim CSP

Redno se povezujte s svojim CSP glede njihovih varnostnih praks in razmislite o morebitnih dodatnih varnostnih ponudbah.

10. Dokumentirajte vse varnostne zapise v oblaku

Vodite natančno evidenco vseh politik, procesov in postopkov, povezanih z varnostjo v oblaku. To lahko pomaga pri dokazovanju skladnosti z NIST med revizijami.

Izkoriščanje HailBytes za skladnost z NIST v oblaku

Medtem ko je v skladu z NIST Cybersecurity Framework je odličen način za zaščito in obvladovanje tveganj kibernetske varnosti, doseganje skladnosti z NIST v oblaku pa je lahko zapleteno. Na srečo se vam ni treba ukvarjati samo s kompleksnostjo kibernetske varnosti v oblaku in skladnosti z NIST.

Kot strokovnjaki za varnostno infrastrukturo v oblaku, HailBytes je tu, da pomaga vaši organizaciji doseči in vzdrževati skladnost z NIST. Ponujamo orodja, storitve in usposabljanje za krepitev vaše kibernetske varnosti. 

Naš cilj je narediti odprtokodno varnostno programsko opremo enostavno za namestitev in težko infiltrirano. HailBytes ponuja vrsto izdelki za kibernetsko varnost na AWS da bi vaši organizaciji pomagali izboljšati varnost v oblaku. Ponujamo tudi brezplačne izobraževalne vire o kibernetski varnosti, da vam in vaši ekipi pomagamo gojiti dobro razumevanje varnostne infrastrukture in obvladovanja tveganj.

Avtor

Zach Norton je specialist za digitalno trženje in strokovni pisec pri Pentest-Tools.com z večletnimi izkušnjami na področju kibernetske varnosti, pisanja in ustvarjanja vsebin.

Storitve

Naše podjetje

Naš naslov

Hailbytes

9511 Queens Guard Ct.

Laurel, MD 20723

Telefon: (732) 771-9995

E-pošta: info@hailbytes.com

rešitve

Pogosta vprašanja o varnosti

Social Media