Imperva Skyfence pokazuje brak widoczności aplikacji w chmurze

Podobne dokumenty
Włącz autopilota w zabezpieczeniach IT

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

Insider Threat Management - czyli jak skutecznie zapobiegać zagrożeniom wewnętrznym?

Zabezpieczenie i monitorowanie dostępu do Office 365 Wstęp

Ochrona biznesu w cyfrowej transformacji

26 listopada 2015, Warszawa Trusted Cloud Day Spotkanie dla tych, którzy chcą zaufać chmurze

Workplace by Facebook. Twoja bezpieczna, firmowa sieć społecznościowa

Powstrzymywanie zaawansowanych, ukierunkowanych ataków, identyfikowanie użytkowników wysokiego ryzyka i kontrola nad zagrożeniami wewnętrznymi

SIŁA PROSTOTY. Business Suite

Wprowadzenie do Kaspersky Value Added Services for xsps

Najwyższa jakość ochrony na każdym poziomie.

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

2.11. Monitorowanie i przegląd ryzyka Kluczowe role w procesie zarządzania ryzykiem

Porady dla Office 365: Jak zapewnić bezpieczeństwo przez pośredników zabezpieczeń dostępu do chmury (CASB)

Reforma ochrony danych osobowych RODO/GDPR

Zwiększ mobilność małej firmy. z usługą Microsoft Office 365 ZWIĘKSZ MOBILNOŚĆ MAŁEJ FIRMY Z USŁUGĄ MICROSOFT OFFICE 365 1

OCHRONA PRZED RANSOMWARE. Konfiguracja ustawień

CYBER GUARD PRZEWODNIK PO PRODUKCIE

Zagrożenia związane z udostępnianiem aplikacji w sieci Internet

[1/15] Chmury w Internecie. Wady i zalety przechowywania plików w chmurze

Usługa skanowania podatności infrastruktury IT Banków oraz aplikacji internetowych

Bezpieczeństwo cybernetyczne

Bezpieczeństwo danych i systemów informatycznych. Wykład 1

OCHRONA PRZED RANSOMWARE

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

Technologia Automatyczne zapobieganie exploitom

Zagrożenia bezpieczeństwa informacji. dr inż. Wojciech Winogrodzki T-Matic Grupa Computer Plus Sp. z o.o.

Wszechstronne urządzenie. z wbudowanymi wszystkimi funkcjami. zapory ogniowej i technologiami. zabezpieczeń. Symantec Gateway Security SERIA 5400

Efektywne zarządzanie infrastrukturą IT, inwentaryzacja sprzętu i oprogramowania oraz ochrona danych przed wyciekiem dzięki wdrożeniu Axence nvesion

POLITYKA PRYWATNOŚCI

!!!!!!!!!!! PORTFOLIO: Analiza zachowań użytkowników serwisów internetowych. Autorzy: Marek Zachara

PTV MAP&GUIDE INTERNET V2 ŁATWE PRZESTAWIENIE SIĘ

AppSense - wirtualizacja użytkownika

Bezpieczeństwo dla wszystkich środowisk wirtualnych

GSMONLINE.PL. T-Mobile wprowadza platformę T-Mobile Cloud - aktualizacja Polski T-

X-CONTROL -FUNKCJONALNOŚCI

Rozdział I Zagadnienia ogólne

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

WZMOCNIJ SWOJĄ POWIERZCHNIĘ ATAKU. F-Secure Radar - zarządzanie lukami w zabezpieczeniach

bla bla Guard podręcznik użytkownika

S Y S T E M D O Z A R Z Ą D Z A N I A U R Z Ą D Z E N I A M I M O B I L N Y M I

Instrukcja zarządzania RODO. w Liceum Ogólnokształcącym im. Komisji Edukacji Narodowej w Gogolinie

Rynek ERP. dr inż. Andrzej Macioł

Xopero Backup Appliance

Procesowa specyfikacja systemów IT

HP Service Anywhere Uproszczenie zarządzania usługami IT

01. Bezpieczne korzystanie z urządzeń i systemów teleinformatycznych przez pracowników instytucji finansowych

Symantec Enterprise Security. Andrzej Kontkiewicz

AGRODZIENNICZEK.PL POLITYKA PRYWATNOŚCI I PLIKÓW COOKIES. wersja obowiązująca od r.

Umowa użytkownika. 1. Uprawnienia. 2. Logowanie do platformy szkoleń elektronicznych

Administratorzy kontrolują systemy IT, a kto kontroluje administratorów?

Sieci bezprzewodowe WiFi

Jak uchronić Twój biznes przed cyberprzestępczością

Informatyka Śledcza jako narzędzie zabezpieczania i analizy wrażliwych danych

POLITYKA E-BEZPIECZEŃSTWA

Czy ochrona sieci jest nadal wyzwaniem, czy tylko jednorazową usługą?

trendów, które zmieniają IT (technologię informatyczną)

2016 Proget MDM jest częścią PROGET Sp. z o.o.

SAFETICA 7 OCHRONA PRZED WYCIEKIEM DANYCH (DLP)

Krótka historia wielu korzyści.

Historia naszego klienta. Rozwiązanie FAMOC MDM zwiększa bezpieczeństwo mobilne w Credit Agricole Bank Polska

Kraków Wrocław Poznań Warszawa Gdańsk CLOUD SERVICES & DATA CENTER

Metodologia ochrony informacji w systemach klasy desktop oraz na urządzeniach przenośnych

Czym jest Samsung KNOX? Bezpieczny telefon. -Zabezpieczenie służbowych danych i aplikacji - Środowisko pracy dla biznesu

IBM QRadar. w Gartner Magic Quadrant

Luki w bezpieczeństwie aplikacji istotnym zagrożeniem dla infrastruktury krytycznej

POLITYKA PRYWATNOŚCI

Rozwiązania HP Pull Print

Polityka ochrony danych osobowych w programie Norton Community Watch

System statlook nowoczesne zarządzanie IT w praktyce SPRZĘT * OPROGRAMOWANIE * INTERNET * UŻYTKOWNICY

Czy technologie XX wieku mają szanse z cyberprzestępczością XXI wieku?

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

Zarządzanie ryzykiem Klasyfikacja Edukacja. Maciej Iwanicki, Symantec Łukasz Zieliński, CompFort Meridian

Możliwość dodawania modułów pozwala na dopasowanie oprogramowania do procesów biznesowych w firmie.

ZAŁĄCZNIK NR 1 DO REGULAMINU SERWISU ZNANEEKSPERTKI.PL POLITYKA OCHRONY PRYWATNOŚCI

Axence nvision Nowe możliwości w zarządzaniu sieciami

Software Updater F-Secure Unikatowe narzędzie, które chroni firmy przed znanymi zagrożeniami

Agenda. Rys historyczny Mobilne systemy operacyjne

Kaspersky Security Network

Rok po RODO. Cyberbezpieczeństwo w sferze ochrony danych

1 Ochrona Danych Osobowych

Bezpieczeństwo dziś i jutro Security InsideOut

Instrukcja zarządzania systemem informatycznym STORK Szymon Małachowski

Polityka Bezpieczeństwa Informacji Urzędu Miejskiego w Zdzieszowicach

Twórz mobilne aplikacje biznesowe dzięki SAP Mobile Platform

Dystrybutor w Polsce: VigilancePro. All Rights Reserved, Copyright 2005 Hitachi Europe Ltd.

OCHRONA SIECI DLA KAŻDEJ CHMURY

bezpieczeństwo na wszystkich poziomach

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Urzędzie Miasta Lublin

Symantec Backup Exec System Recovery 7.0 Server Edition. Odtwarzanie systemu Windows w ciągu najwyżej kilkudziesięciu minut nie godzin czy dni

Marcin Soczko. Agenda

III Etap konkursu TWOJA FIRMA TWOJA SZANSA NA SUKCES

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI (1) z dnia 29 kwietnia 2004 r.

VENDIO SPRZEDAŻ kompleksowa obsługa sprzedaży. dcs.pl Sp. z o.o. vendio.dcs.pl info@dcs.pl Warszawa,

Bezpieczeństwo danych (kradzież, nieautoryzowana edycja) Bezpieczeństwo IT (sniffing, spoofing, proxy anonimizujące, tunelowanie i przekierowanie

Serwis nie zbiera w sposób automatyczny żadnych informacji, z wyjątkiem informacji zawartych w plikach cookies.

Zakres wymagań dotyczących Dokumentacji Systemu

Zdobywanie fortecy bez wyważania drzwi.

14. Sprawdzanie funkcjonowania systemu zarządzania bezpieczeństwem i higieną pracy

Polityka bezpieczeństwa. przetwarzania danych osobowych. w Urzędzie Miejskim w Węgorzewie

Transkrypt:

Zrozumienie ryzyk płynących z sankcjonowanych i niesankcjonowanych aplikacji działających w chmurze i w jaki sposób odzyskać kontrolę Wstęp Firmowe zasoby informacyjne są bardziej narażone na ataki niż kiedykolwiek wcześniej. Podczas gdy wielu managerów i kierowników działów IT koncentruje się na zagrożeniach dla zasobów informacyjnych w swoich centrach danych, mogą oni jednocześnie przegapić największe i najbardziej znaczące problemy w widoczności i zarządzaniu ryzykiem w organizacjach. Czy Państwa organizacja pozwala pracownikom na przyjęcie aplikacji i usług działających w chmurze bez żadnego zaangażowania ze strony działu IT? Czy widzą Państwo jakie aplikacje są stosowane i gdzie znajdują się Państwa dane? Jaki jest profil ryzyka każdej działającej w chmurze aplikacji oraz usługi stosowanej do współpracy, produktywności oraz przetwarzania przez pracowników z każdego działu w firmie? Aplikacje działające w chmurze, takie jak Dropbox, Box, Salesforce, Office 365 czy Google Apps ułatwiają użytkownikom tworzenie konta, ale organizacji IT trudno jest odebrać dostęp do nich w momencie, kiedy użytkownicy zaczną na nich polegać. Niniejsza biała księga omawia problem istotnego braku widoczności oraz zwiększonego ryzyka dla firmy związanych z trendem infrastruktury IT ze strefy cienia, nazwy obejmującej cały zakres problemów, od wykorzystania przez pracowników przy pracy ich własnych urządzeń mobilnych do tworzenia indywidualnych kont w aplikacjach chmurowych dla działań związanych z pracą, takich jak aplikacje biurowe, e-maile, udostępnianie dokumentów czy zarządzanie relacjami z klientami. Ponadto księga ta zajmie się tym, dlaczego tradycyjne elementy zabezpieczenia środowiska IT na terenie firmy nie zapewniają wymaganej widoczności działań użytkowników. Zajmie się też ryzykiem wykorzystania aplikacji w chmurze, oznaczającym, że organizacje nie mogą zając się zagrożeniami i odpowiedzieć na zagrożenia wycelowane w konta. Na konkurencyjnym rynku przedsiębiorstwa chcą wykorzystać zalety operacyjne i przewagi kosztowe chmury. Jeżeli mają one umożliwić bezpieczne i produktywne wykorzystanie aplikacji i usług działających w chmurze, to wymagane jest inne podeście. Liderzy we wszystkich branżach obchodzą działy IT korzystając z aplikacji w chmurze (określanych również nazwą oprogramowanie jako usługi, SaaS) i płacą za nie jak za prenumeratę czasopisma. Kiedy dana usługa nie jest już potrzebna, mogą przerwać prenumeratę i nie pozostaje im niewykorzystany sprzęt kurzący się w rogu. DARYL PLUMMER, ANALITYK FIRMY GARTNER 2

Ocena braku widoczności Większość organizacji nie chce implementować ogólnych zasad zabraniających wykorzystania osobistych urządzeń oraz aplikacji chmurowych. Zapewniają one odczuwalne korzyści, pozwalając firmom na zmniejszenie wydatków inwestycyjnych oaz na elastyczne przydzielanie zasobów do współpracy, przetwarzania i opracowywania informacji. Możliwość uzyskania przez użytkowników dostępu z dowolnego miejsca i w dowolnym czasie zwiększa produktywność, podczas gdy dla firm ekonomia skali aplikacji chmurowych owocuje niższymi kosztami eksploatacji oraz możliwością skoncentrowania się na głównym obszarze działalności. Wiele organizacji chętnie korzysta z sektora publicznych usług w chmurze, którego wartość według firmy Gartner w roku 2016 wzrośnie do 210 miliardów dolarów, obejmując szybko rozrastające się obszary oprogramowania jako usługa, takie jak oprogramowanie biurowe, tworzenie treści cyfrowych czy informacje biznesowe. Wprawdzie firmy sobie zdają sprawę z wykorzystania aplikacji w chmurze i pozwalają na ich użycie w niektórych zastosowaniach, ale większość z nich drastycznie niedoszacowuje liczbę niesankcjonowanych aplikacji chmurowych wykorzystywanych przez użytkowników. Jedno z badań ustaliło, że firmy niedoszacowywały wykorzystanie aplikacji w chmurze o 90%. Ten brak widoczności dodatkowo jest pogarszany przez wykorzystanie do działań związanych z pracą niezarządzanych urządzeń osobistych. Ewidentnie istnieją znaczące braki widoczności i kontrolowania aplikacji chmurowych, kiedy firmy nie mogą zobaczyć działań użytkowników na niezarządzanych urządzeniach uzyskujących dostęp do niesankcjonowanych aplikacji chmurowych, ale istnieją również inne scenariusze uniemożlwiające działowi IT zobaczenie problemów, w tym: Autoryzowani użytkownicy uzyskujący dostęp do zatwierdzonych aplikacji chmurowych z niezarządzanego urządzenia końcowego Autoryzowani użytkownicy nadużywający swoich przywilejów w krytycznych dla działalności firmy aplikacjach chmurowych takich jak Salesforce, NetSuite, czy Office 365 Byli pracownicy nadal mający dostęp do aplikacji chmurowych zawierających dane krytyczne dla działalności firmy Ustawienia bezpieczeństwa i konfiguracji aplikacji działającej w chmurze niespełniające najlepszych praktyk w branży czy wytycznych wewnętrznych firmy Monitorowanie w czasie rzeczywistym i kontrola nad dokumentami dzielonymi przez aplikacje do współpracy w chmurze takie jak Google Apps, OneDrive oraz Box Identyfikacja i śledzenie administratorów aplikacji chmurowych, krytyczne z uwagi na fakt, że administratorzy mają możliwość tworzenia i edycji pozwoleń użytkownika, zmiany konfiguracji czy pobierania lub usuwania całych zestawów danych. Na przykład administratorzy AWS mogą zmienić konfigurację infrastruktury produkcyjnej bez kompletnej ścieżki audytu wszystkich ich działań. Dział IT może nie kontrolować punktu końcowego lub aplikacji chmurowej, ale nadal odpowiada za zasoby informacyjne swojej firmy. Na przykład: wielu dostawców usług oferuje interfejsy programowania, ale to nadal firma odpowiada za ustawianie atrybutów bezpieczeństwa dla developerów, za kontrolowanie dostępu do punktów końcowych oraz za zapewnienie zgodności dla danych w chmurze.? Przed jakimi wyzwaniami stają więc firmy starające się zapewnić i utrzymać widoczność, zarządzać ryzykiem oraz chronić przed skoncentrowanymi na koncie zagrożeniami dla aplikacji i usług działających w chmurze? 3

Czy znasz odpowiedzi na te pytania o aplikacje w chmurze? Jakie aplikacje są stosowane i przez kogo? Gdzie są najbardziej narażone moje dane w chmurze? Kim jest 10 najaktywniejszych użytkowników? Kto stosuje usługi udostępniania plików? Jakie działania użytkownika są podejrzane? Ile aplikacji chmurowych jest stosowanych na całym świecie? Gdzie występują wycieki danych w chmurze? Gdzie znajdują się moje dane w chmurze? Kto pobiera dane wrażliwe na niezarządzane urządzenia? Wyzwania dla firm W ciągu wielu lat firmy IT rozwinęły wiedzę oraz najlepsze praktyki dla kontroli nad centrami danych, ale stoją przed rozlicznymi wyzwaniami przy próbie rozwiązania kwestii martwych pól widoczności oraz kontroli powodowanych przez zastosowanie aplikacji w chmurze. Wiele tradycyjnych praktyk zarządzania ryzykiem nie jest skutecznych dla scenariuszy w chmurze. Ewidentnie ryzyko, którym można zarządzać wewnątrz centrum danych, gdzie dział IT ma dostęp do aplikacji oraz infrastruktury nie może być nawet zrozumiane w przypadku aplikacje i usługi w chmurze, kiedy infrastruktura nie jest już pod jego kontrolą. Spójrzmy bliżej na te krytyczne wyzwania. Tradycyjne kontrole bezpieczeństwa nie obejmują aplikacji działających w chmurze Większość tradycyjnych kontroli bezpieczeństwa nie została zaprojektowana z myślą o zapewnieniu firmom widoczności wykorzystania aplikacji chmurowych oraz powiązanych z tym zagrożeń. Podczas gdy istniejąca infrastruktura może zostać wykorzystana w połączeniu z odpowiednimi narzędziami bezpieczeństwa w chmurze, aby pozwolić firmom na odkrywanie aplikacji działającej w chmurze, to jednak nie zapewnia widoczności i kontroli wymaganej przez wszechstronne rozwiązanie. Ochrona brzegowa od dawna była pierwszą linią obrony firm i nadal zapewnia istotny punkt kontroli dla dostępu do sieci, ale zapory nie są w stanie kontrolować dostępu do usług umieszczonych poza nimi, takich jak aplikacje SaaS czy publiczne usługi chmurowe. Firmy nie mogą całkowicie polegać na zaporach przy hybrydowych aplikacjach obejmujących środowiska wewnętrzne oraz środowiska dostawców usług w chmurze. 4

Narzędzia zapobiegania wyciekom danych (DLP)zostały zaprojektowane z myślą o zapobieganiu wyciekom danych firmowych wynikających z nieautoryzowanego dzielenia się danymi. Ten system kontroli istniał zanim aplikacje chmurowe stały się popularne, kiedy firmy koncentrowały się na wyciekach danych z przenośnych nośników danych, takich jak pendrive USB czy pliki przesyłane przez e-mail. Ale chmura spowodowała, że udostępnianie danych niewłaściwym osobom stało się dużo łatwiejsze. Jeżeli jakaś firma przechowuje pliki w chmurze, to tradycyjne produkty DLP nie będą wiedzieć, jakie dane są udostępniane na zewnątrz i kto je udostępnia. Ochrona punktów końcowych stoi przed podobnymi wyzwaniami, co ochrona brzegowa; wiele urządzeń działa poza granicami IT firmy. Niezarządzane punkty końcowe są narażone na naruszenia bezpieczeństwa oraz inne exploity, które mogą ukraść dane uwierzytelniające uprawnionego użytkownika. A firmy nie mogą wymuszać ochrony punktów końcowych na urządzeniach osobistych użytkowników, uzyskujących dostęp do niesankcjonowanych aplikacji w chmurze przez publiczne sieci komórkowe i bezprzewodowe sieci komputerowe. Szyfrowanie od dawna było uznawane za podstawę zabezpieczenia danych, ale jest skuteczne wyłącznie, kiedy zostanie prawidłowo wdrożone i nie chroni danych w przypadku kradzieży danych uwierzytelniających. Dostęp do danych uwierzytelniających uprawnionego użytkownika oznacza, że atakujący mają dostęp do niezaszyfrowanych danych tekstowych oraz, w zależności od poziomu przywilejów użytkownika, do możliwości eksportowania danych. Nawet Gartner ostrzega, że szyfrowanie chmury nie jest uniwersalnym rozwiązaniem, często zakłóca pracę usług w chmurze i nie jest pierwszym priorytetem firmy przy opracowywaniu strategii zapewniającej prywatność oraz długoterminowe bezpieczeństwo danych w chmurze. Nawet mimo stosowania szyfrowania wystąpiło wiele naruszeń bezpieczeństwa. Brak widoczności kto co robi Brak widoczności ryzyka i wzorów wykorzystania aplikacji w chmurze to znaczące wyzwanie dla przedsiębiorstw. Aplikacje w chmurze, o których dział IT nie wie owocują powstaniem zasobów informacyjnych, które nie są kontrolowane i nie podlegają firmowym procesom zarządzania, kontroli jakości i spełniania wymogów prawnych. Firmy wymagają widoczności wykorzystania kont aplikacji w chmurach, w tym informacji o tym, kto wykorzystuje jakie aplikacje w chmurze, ich działy, lokalizacje oraz wykorzystywane urządzenia. Krytycznie istotne jest, aby wiedziały, którzy użytkownicy są administratorami dla każdej z aplikacji działających w chmurze, ponieważ mają oni przywileje, które należy ściśle śledzić. Na przykład porzucone konta tworzą ryzyko nieautoryzowanego dostępu po opuszczeniu firmy przez pracownika lub użytkownika zewnętrznego. Widoczność metod użytkowania, w tym bezczynności kont, pozwala personelowi IT na usuwanie kont, dla których dostęp nie jest już wymagany lub potrzebny, albo też kiedy użytkownik nie pracuje już dla danej firmy. Rozpowszechnienie zarządzanych i niezarządzanych punktów końcowych Zjawisko BYOD (korzystania z własnych urządzeń) zaowocowało kilkoma nowymi zagrożeniami dla firm. Najbardziej znaczącym wyzwaniem jest ograniczenie dostępu do aplikacji w chmurze do zdefiniowanego zestawu punktów końcowych, kiedy zasady dostępu są oparte o to, czy punkt końcowy jest zarządzany czy niezarządzany. Polityka zarządzanych punktów końcowych może pozwolić użytkownikom na uzyskanie dostępu, modyfikację i zapisywanie danych na swoich urządzeniach. Ale urządzenia niezarządzane wymagają bardziej restryktywnych zasad, zapobiegających utracie kontroli przez firmę nad jej danymi, na przykład przez blokowanie możliwości modyfikowania i pobierania danych. Ponadto firmy muszą zapobiegać wykorzystaniu przez atakujących skradzionych danych uwierzytelniających do uzyskania dostępu do aplikacji w chmurze. Ważnym jest zauważenie, że dostawcy aplikacji w chmurze nie rozróżniają urządzeń zarządzanych i niezarządzanych i nie zapewniają skutecznych możliwości kontrolowania punktów końcowych. Nawet jeżeli w firmie stosowane jest rozwiązanie do zarządzania urządzeniami mobilnymi (MDM), to nie może ono ograniczać dostępu do aplikacji w chmurze z niezarządzanych urządzeń. 5

Ponadto istotnym jest podkreślenie, że zarządzane urządzenia są nadal podatne na nadużycia ze strony pracowników, na ataki oraz na kradzież. Widoczność wzorów wykorzystania oraz profili urządzeń dla zarówno zarządzanych jak i niezarządzanych punktów końcowych umożliwia proaktywne wdrażanie zasad oraz zabezpieczenie kont. Zagrożenia wewnętrzne Zagrożenie ze strony pracowników zawsze stanowiło dla firm szczególne wyzwanie. Zabezpieczenie się przed złymi intencjami autoryzowanych użytkowników może być trudne, ponieważ najczęściej korzystają oni z zatwierdzonych urządzeń i mogą wiedzieć, jakie są progi bezpieczeństwa dla alarmów i zawiadomień. Aby wykryć podejrzane zachowanie pracowników, firmy potrzebują ogólnego podglądu na normalne wzory wykorzystania przy wykonywaniu przydzielonych im obowiązków. Ponadto szczegółowe profile działalności innych osób w tym samym wydziale tworzą wartość podstawową pozwalającą na wykrywanie zachowań sygnalizujących działanie w złym zamiarze. Podobnie byli pracownicy stanowią znaczące ryzyko, ponieważ możliwe jest, że pomimo usunięcia ich praw dostępu z systemu firmowego będą mogli uzyskać dostęp do aplikacji w chmurze zawierających krytyczne dla działania firmy dane. Firma PricewaterhouseCoopers ustaliła, że liczba incydentów związanych z bezpieczeństwem spowodowanych przez byłych pracowników wzrosła z 27% w 2013 do 30% w 2014. Podobne ryzyko związane jest z wykonawcami i konsultantami, ponieważ mogą oni nadal mieć dostęp do aplikacji w chmurze, do których nie mają upoważnienia. Atakujący przechodzą w chmurę Krytyczne zagrożenia dla firm obejmują zewnętrzne ataki wykorzystujące różne exploity do kradzieży danych uwierzytelniających do konta w celu podszycia się pod pracowników firmy i kradzieży danych wrażliwych. Najnowszy raport z incydentów naruszeń danych Verizon jasno pokazuje, że atakujący z zewnątrz skupiają się na kradzieży danych uwierzytelniających do chmury w celu pozyskania danych wrażliwych. W rzeczy samej, firma Verizon zgłosiła, że kradzież danych uwierzytelniających stoi za największą liczbą naruszeń bezpieczeństwa danych. Co jest jeszcze bardziej niepokojące, raport ustalił, że przeciętny czas potrzebny na odkrycie udanego ataku to dni czy nawet miesiące. Istotnym jest, że atakujący mają tyle czasu na pozyskanie danych, ile im tylko potrzeba, w szczególności uwzględniając fakt, że niektóre przejęcia systemu mogą zająć jedną minutę lub mniej. Spójrzmy na anatomię zagrożeń skoncentrowanych na koncie w celu zrozumienia, w jaki sposób atakujący może ukraść dane uwierzytelniające w celu uzyskania dostępu do usług i aplikacji w chmurze. Phishing profilowany użytkowników z przywilejami Phishing profilowany to dobrze znana technika ataku przez inżynierię społeczną, stosowana przez hackerów w celu kradzieży danych uwierzytelniających użytkownika z przywilejami. Technika ta jest szczególnie skuteczna teraz, kiedy dostęp do kont w chmurze można uzyskać z dowolnego miejsca globu, co czyni jeszcze łatwiejszym pozyskanie danych wrażliwych z przechwyconych kont osób realizujących krytyczne dla działalności ich firm funkcje i wykorzystanie ich do oszustw. Ataki phishingu profilowanego stają się coraz częstsze, ponieważ są nadzwyczaj skuteczne. Ten będący połączeniem inżynierii społecznej z exploitem technicznym atak zaczyna się od identyfikacji celów na serwisach społecznościowych, takich jak LinkedIn. Podstawowym celem takiego ataku są dane uwierzytelniające użytkownika. Przy pomocy phishingu profilowanego, atakujący może skoncentrować się na administratorach SaaS firmy i starannie przygotować e-mail wyglądający jak pochodzący od dostawcy danej usługi SaaS. Administratorzy SaaS mogą mieć mniejszą świadomość zagrożeń i mogą, na przykład, kliknąć na łącze resetowania hasła wysłane przez e-mail. Dostawcy aplikacji w chmurze często uznają te rodzaje incydentów za wchodzące w zakres odpowiedzialności firmy, a nie problem z ich aplikacją. 6

Ataki szkodliwego oprogramowania Zeus wiele wersji Ostatnio ataki wykorzystują do atakowania dostawców aplikacji w chmurze, takich jak Salesforce wersję bankowego szkodliwego oprogramowania Zeus. Exploit ten był wykorzystywany do atakowania niezarządzanych urządzeń użytkowników (takich jak komputer domowy) stosowanych poza normalnymi godzinami pracy. Podejście to pozwala atakującemu na obejście elementów kontroli wdrożonych przez firmę i podkreśla wyzwanie, jakie stanowi próba zabezpieczenia dostępu do aplikacji w chmurze w środowisku, w którym wszechobecny jest model BYOD (wykorzystywania własnych urządzeń). Zeus kradnie dane uwierzytelniające użytkownika przez zaatakowanie formularza logowania aplikacji SaaS. To szkodliwe oprogramowanie jest bardzo trudne do wykrycia, przez co jest największym botnetem w Internecie (szacunki mówią, że w samych Stanach zainfekowane jest około 3,6 miliona komputerów PC). Ponieważ większość dostawców usług w chmurze nie weźmie na siebie odpowiedzialności za konto przejęte przez atak poza ich usługą, odpowiedzialność za minimalizowanie tego ryzyka leży w zakresie odpowiedzialności firmy, nawet jeżeli nie zdaje ona sobie sprawy z zachowań dostępowych oraz urządzeń wykorzystywanych przez jej pracowników. Ponieważ przyjęcie aplikacji działających w chmurze jest mocno powiązane z polityką BYOD, a możliwość uzyskania dostępu do aplikacji w chmurze z dowolnego miejsca jest istotną motywacją dla użytkowników, to firmy muszą mieć zapewnioną widoczność i kontrolę w celu zarządzania ryzykiem związanym z danymi uwierzytelniającymi dla aplikacji w chmurze. Heartbleed Przy pomocy usterki w rozszerzeniu heartbeat biblioteki OpenSSL atakujący mogą uzyskać dostęp do losowych części stosu pamięci w systemie, w którym działa OpenSSL. Badacze bezpieczeństwa pokazali, że wielokrotne wykorzystanie tej luki pozwala na uzyskanie danych uwierzytelniających do kont, identyfikatorów sesji oraz kluczy prywatnych w mniej niż godzinę. Usterka ta jest szczególnie niepokojąca, ponieważ nie pozostawia żadnego śladu po użyciu, w związku z czym nie można ustalić czy była wykorzystana w przeszłości. Ocenia się, że miliony stron WWW wykorzystują podatne wersje biblioteki oprogramowania kryptograficznego OpenSSL, a wielu sprzedawców osadza OpenSSL w urządzeniach sieciowych i innych urządzeniach. Przy pomocy Heartbleed, atakujący mogą uzyskać dostęp do danych uwierzytelniających użytkowników aplikacji w chmurze a następnie wykorzystać je do przejęć kont, kradzieży istotnych danych i oszustw, nawet po naprawieniu luki w OpenSSL. Wielu dostawców aplikacji w chmurze pracuje nad załataniem OpenSSL, ale z uwagi na skalę problemu, atakujący mają otwarte okno do wykorzystania tej usterki. Te luki i ataki powodują, że jasnym jest iż brak widoczności chmury rozszerza się na przypisywanie zakresu odpowiedzialności dla ryzyka związanego z aplikacjami w chmurze co powinny zrobić firmy z tyloma wykorzystywanymi w chmurze aplikacjami? Priorytetem dla firm powinno być profilowanie normalnego zachowania uprawnionych użytkowników zarówno dla sankcjonowanych jak i niesankcjonowanych aplikacji działających w chmurze, tak aby umożliwić natychmiastowe wykrycie podejrzanych działań i reakcję na nie.? Zatem jakie inne kryteria powinny zostać rozważone przez firmy przy zaadresowaniu martwych pól widzialności i kontroli pomiędzy ich firmą a dostawcą usług w chmurze? 7

Kluczowe kryteria zabezpieczenia środowiska aplikacji w chmurze Biorąc pod uwagę wyzwania i zagrożenia dla aplikacji chmurowych, na jakie działania należy położyć nacisk w celu uzyskania widoczności i zmniejszenia ryzyka związanego z ich przyjęciem? Prosta metoda rozwiązania problemu składa się z trzech krytycznych dla firmy priorytetów. Najpierw należy ustalić, jakie aplikacje chmurowe są wykorzystywane. Etap ten wymaga od firmy pozyskania globalnego widoku wszystkich aplikacji chmurowych, do których pracownicy uzyskują dostęp poprzez aktywne monitorowanie danych dochodzeniowych. Obejmuje to dogłębne zrozumienie ustawień zabezpieczeń samej aplikacji działającej w chmurze (np. w jaki sposób firma wypada w porównaniu do najlepszych w branży praktyk pod względem złożoności haseł, zasad blokowania haseł, okresów limitu czasowego, przywilejów administracyjnych oraz wielu innych), jak również dokładne zbadanie kont użytkowników. Które są nieaktywne (np. konto, które nie było wykorzystywane przez 30 dni)? Które są porzucone (np. były pracownik, który nadal ma dostęp do określonej aplikacji w chmurze)? Kim są użytkownicy zewnętrzni (np. partner) mający dostęp do aplikacji działającej w chmurze, ale nie będący w katalogu usług firmy? To wszystko istotne pytania, odzwierciedlające potencjalne luki zabezpieczeń. Po drugie, należy oszacować dane i analitykę dla działań użytkowników z uwzględnieniem kontekstu, tak aby możliwe było utworzenie skuteczniejszych zasad zmniejszających ryzyko związane z aplikacjami. Po trzecie, należy wymuszać elementy kontroli, które mogą zapewnić bezpieczne i produktywne wykorzystanie aplikacji działających w chmurze. Etap ten obejmuje zaawansowane wykrywanie zachowań w celu wykrycia zagrożeń przejęciem konta oraz zautomatyzowane zasady, które mogą zapewnić ochronę w czasie rzeczywistym przed tymi zagrożeniami. Następna strona pokazuje szczegółową listę kryteriów niezbędnych do zarządzania ryzykiem oraz kontroli aplikacji pracujących w chmurze. 1 Odkrycie Widoczność na to, jakie aplikacje są stosowane przez pracowników 2 Ocena ryzyka Ocenić kontekstowe ryzyko wynikające z aplikacji, użytkowników oraz konfiguracji bezpieczeństwa Cloud Apps Pierwszym priorytetem oświetlenia braku widoczności i kontroli aplikacji w chmurze jest stworzenie zautomatyzowanych procesów odkrywania aplikacji w chmurze oraz oszacowania ryzyka, a następnie monitorowanie i kontrola zabezpieczeń w czasie rzeczywistym. 3 Zabezpieczenie i kontrola Zautomatyzowane zapobieganie zagrożeniom w chmurze oraz uwzględniające kontekst wdrażanie zasad 8

1. Odkrywanie aplikacji uzyskanie globalnego podglądu na wszystkie aplikacje w chmurze Odkrycie wszystkich aplikacje w chmurze, do których uzyskują dostęp pracownicy Zliczenie aplikacji w chmurze i ocena ryzyka dla każdej aplikacji oraz na poziomie firmy Połączenie logów z zapór oraz serwerów proxy dla całej firmy Wytworzenie globalnego podglądu na wszystkie aplikacje chmurowe, w tymi pomiary wielkości ruchu, godzin użytkowania oraz liczby kont Utworzenie podstawowego podglądu umożliwiającego zobaczenie, ile aplikacji dodano w danym okresie Szybka eksploracja do poziomu każdej aplikacji w chmurze w celu przeprowadzenia szczegółowych analiz ryzyka 2. Zarządzanie ryzykiem kontekstowa ocena ryzyka i wdrażanie zmniejszających je zasad Identyfikacja zagrożeń wysokiego ryzyka dla firmy Ustalenie, kto ma standardowy i uprzywilejowany dostęp do aplikacji Identyfikacja kont uśpionych (tzn. niewykorzystywanych przez kilka dni), porzuconych (np. byłych pracowników) oraz zewnętrznych (np. partnerów) w celu utworzenia odpowiednich zasad dostępu Ustalenie wskaźników dla aktualnych konfiguracji zabezpieczenia aplikacji, porównując je z przepisami lub wytycznymi najlepszych praktyk w celu ustalenia luk w zabezpieczeniach i problemów ze spełnianiem wymagań prawnych Ocena i zdefiniowanie zasad dostępu w oparciu o lokalizację użytkowników i/lub centrów danych dostawcy usług w chmurze (tzn. kontrola dostępu oparta o lokalizację) Przydzielenie zadań rozwiązujących problemy z użytkownikami i aplikacjami Wykorzystanie wewnętrznych procedur firmy w celu przypisania i zakończenia zadań minimalizacji ryzyka przez Skyfence lub przez integrację z systemami zgłoszeń ticketowych stron trzecich 3. Audyt i zabezpieczenia Automatyczne wymuszanie zasad i ochrona przed nieodpowiednim wykorzystaniem danych uwierzytelniających oraz zagrożeniami wewnętrznymi Monitorowanie i katalogowanie tego, kto uzyskuje dostęp do aplikacji chmurowych z zarządzanych i niezarządzanych punktów końcowych Śledzenie i monitorowanie dostępu i zmian konfiguracji przez uprzywilejowanych użytkowników Monitorowanie wykorzystania aplikacji chmurowych w wielu kategoriach uwzględniających kontekst, takich jak użytkownik, lokalizacja, urządzenie, działanie, obiekt danych oraz wykorzystanie przez działy Zapewnienie wykrywania w czasie rzeczywistym nietypowego i podejrzanego zachowania Zaimplementowanie ochrony przed atakami, w tym silnej weryfikacji użytkownika, blokowania działań aplikacji (np., blokowanie pobierania dzielonych dokumentów) oraz uzyskiwania dostępu do konta Wymuszenie zasady kontroli dostępu opartej o lokalizację (znanej jako geofencing ) Wymuszenie elementów kontrolowania dostępu do punktów końcowych dla zarządzanych i niezarządzanych urządzeń, niezależnie od tego, czy pochodzą z przeglądarki czy z aplikacji mobilnej Monitorowanie i kontrolowanie wysyłania, ściągania i dzielenia się danymi wrażliwymi dla ponad 100 typów plików Inspekcja plików i treści w czasie rzeczywistym, w celu upewnienia się, że chronione będą dane osobowe, dane medyczne i inne dane wrażliwe 9

Rozwiązanie Skyfence Skyfence to lider na polu widoczności i kontroli aplikacji w chmurze. Dzięki Skyfence, organizacje mogą uzyskać widoczność wykorzystania aplikacji w chmurze, zidentyfikować działania o wysokim zagrożeniu oraz wymuszanie zasad i elementów kontroli dla aplikacji w chmurze w celu zapobiegnięcia zagrożeniom skoncentrowanym na kontach, spełnienia wymagań prawnych oraz zabezpieczenia danych. Skyfence oferuje te krytyczne dla firmy możliwości za pośrednictwem czterech pakietów produktów: Cloud Discovery Free Cloud Discovery & Governance Cloud Audit & Protecton Cloud Security Site Zapoznanie się ze Skyfence Zapoznaj się dziś ze Skyfence prosząc o demonstrację lub darmowy okres próbny naszych rozwiązań Cloud Gateway. O Imperva Skyfence Cloud Gateway Imperva Skyfence Cloud Gateway to oparta o chmurę usługa zapewniająca widoczność oraz kontrolę nad sankcjonowanymi i niesankcjonowanymi aplikacjami w chmurze. Dzięki Skyfence, organizacje mogą odkryć aplikacje SaaS i ocenić powiązane z nimi ryzyka, wymusić elementy kontroli chroniące konta i dane w chmurze oraz zapewnić, że działania w chmurze spełniają przepisy i najlepsze praktyki. 2015, Imperva, Inc. Wszystkie prawa zastrzeżone. Imperva, logo firmy Imperva, SecureSphere, Incapsula oraz Skyfence to znaki handlowe zastrzeżone firmy Imperva, Inc. i jej spółek zależnych. Wszystkie inne nazwy marek lub produktów są znakami handlowymi lub zastrzeżonymi znakami handlowymi ich posiadaczy. WP-CLOUD-APP- VISIBILITY-BLINDSPOT-0915-rev1 imperva.com 10

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres