Cyber Security

Come il cloud sta cambiando le priorità dei CISO

Data e ora: 3 febbraio 2023 10: 00 AM
Nodo sorgente: 2387253

Ripubblicato da Platone

Le sfide che devono affrontare i Chief Information Security Officer (CISO) si sono evolute notevolmente nell'ultimo decennio. Oggi, devono allineare i loro sforzi di sicurezza (e i loro budget) con gli obiettivi di business della loro organizzazione, che possono variare dal mantenere la fiducia dei clienti che i loro dati sono sicuri alla protezione della proprietà intellettuale dal furto.

In qualità di membro chiave del team di gestione esecutiva, i CISO hanno spesso responsabilità di reporting a livello di consiglio di amministrazione. Devono gestire un nuovo e scoraggiante livello di complessità tecnica introdotto dal cloud, dove le identità sono praticamente la prima e l'ultima linea di difesa. E il lavoro non finisce qui. Per avere successo, devono anche impegnarsi in modo sostanziale nella costruzione di una squadra con competenze in una varietà di discipline e nella scelta delle giuste tecnologie difensive.

La sfida tecnica

La transizione a modelli di lavoro remoti o ibridi combinata con l'adozione accelerata del cloud ha notevolmente ampliato la superficie di attacco I CISO devono proteggere. Inoltre, spesso hanno a che fare con più di un cloud. I principali provider (Amazon Web Services, Azure e Google Cloud Platform) hanno tutti strutture, procedure, requisiti e così via leggermente diversi, il che aumenta ulteriormente la complessità della gestione di questi architetture tentacolari.

Le aziende orientate al data center che sono passate al cloud devono ovviamente affrontare una nuova serie di problemi di sicurezza che i firewall convenzionali non sono mai stati progettati per gestire. Quindi, thIl ritornello ora comunemente sentito "L'identità è il nuovo perimetro". Questo è certamente vero. Mentre i firewall e altri controlli basati sulla rete non dovrebbero essere abbandonati, i CISO devono concentrarsi sui problemi di identità. Il seguente processo in tre fasi può fornire risultati in quest'area in modo rapido ed efficiente.

Frena i privilegi in eccesso. Durante migrazione al cloud, i privilegi globali vengono spesso concessi a tutti i membri del team di transizione. È meglio evitarlo, ma se accade, i privilegi dovrebbero essere rivisti e limitati dopo la transizione. Un buon modo per farlo è monitorare a quali risorse accedono gli individui. Se un individuo non accede a una particolare risorsa, il diritto di farlo dovrebbe essere revocato.
Correlare i privilegi in eccesso e le configurazioni errate. Le configurazioni errate del cloud sono un altro grave rischio. Ma quando un'identità privilegiata ha accesso a una risorsa cloud configurata in modo errato, i risultati possono essere disastrosi. Fortunatamente, ora sono disponibili strumenti automatizzati per aiutare a rilevare configurazioni errate, nonché privilegi eccessivi, e risolverli per eliminare le minacce.
Dare priorità. Non c'è mai abbastanza tempo o abbastanza personale per correggere ogni configurazione errata, quindi è importante concentrarsi su quelli che rappresentano la maggiore fonte di rischio per la sicurezza. Ad esempio, la correzione delle minacce di accesso basate sull'identità ai bucket di archiviazione cloud è fondamentale per prevenire le violazioni dei dati. Il monitoraggio degli errori di configurazione che espongono i dati tramite autorizzazioni eccessive, predefinite e così via dovrebbe essere una priorità assoluta.

La sfida umana

La protezione dell'infrastruttura cloud richiede competenze uniche e trovare persone qualificate per svolgere il lavoro è una delle maggiori sfide per i CISO. Ci sono tre aree chiave di competenza che ogni team di sicurezza cloud dovrebbe possedere:

Competenza architettonica. Per valutare la posizione di sicurezza di un'organizzazione e creare una road map per farla maturare nel tempo, i team di sicurezza richiedono un modello di riferimento. IL Quadro CSA è una risorsa eccellente e ce ne sono molte altre disponibili. Senza una chiara comprensione dei concetti architetturali presentati nei framework di sicurezza standard del settore come CSA, è difficile ridurre la superficie di attacco del cloud ed è facile trascurare i punti ciechi.
Ingegneria del cloud. Il team di sicurezza deve anche gestire i requisiti quotidiani della sicurezza del cloud, che possono includere gestione, manutenzione e altro. Un'ingegneria cloud competente è essenziale per "mantenere le luci accese" nella sfera della sicurezza.
Capacità reattive. A livello globale, gli attacchi informatici si verificano al ritmo di 30,000 al giorno. Ogni azienda può aspettarsi che gli incidenti si verifichino regolarmente e i team di sicurezza hanno bisogno di specialisti in grado di reagire rapidamente per limitare, se non prevenire, le gravi conseguenze.

La composizione ideale di un team di sicurezza cloud comprende specialisti di rete, cloud e sviluppo che possono lavorare in modo collaborativo. Il compito di costruire una squadra con queste capacità è complicato dal fatto che c'è una carenza di 3.4 milioni lavoratori della sicurezza informatica al momento.

Un approccio che funziona bene come supplemento all'assunzione è lo sviluppo dall'interno attraverso la formazione. Ciò può avvenire internamente o tramite programmi di certificazione di terze parti. Inoltre, nella scelta dei fornitori, le organizzazioni dovrebbero privilegiare quelli le cui offerte includono una forte componente formativa. Se possibile, i CISO possono trovare modi per convincere i dipendenti non addetti alla sicurezza a lavorare su alcune attività di sicurezza.

Una volta assemblati, uno dei problemi che qualsiasi team di sicurezza incontrerà è gestire le architetture multi-cloud, che lo sono diventando la norma. Pochissime persone hanno familiarità con gli strumenti, la nomenclatura e il modello di sicurezza di tutte e tre le principali piattaforme cloud. Per questo motivo, molte aziende si stanno rivolgendo a tecnologie cloud native che comprendono le sfumature associate alla protezione di diverse piattaforme cloud e semplificano le attività di sicurezza per gli utenti che potrebbero non disporre di una formazione specializzata in AWS, Azure, GCP, ecc.

Per riassumere, le sfide che devono affrontare i CISO di oggi sono in gran parte guidate dal cloud, che crea una superficie di attacco notevolmente ampliata che deve essere protetta. Nel frattempo, la padronanza del modello di gestione e degli strumenti utilizzati da ciascuna piattaforma cloud richiede competenze di sicurezza estremamente limitate. Sono disponibili soluzioni che forniscono la visibilità e la conoscenza della piattaforma necessarie per aiutare i team di sicurezza a implementare le best practice per proteggere la loro infrastruttura cloud, aiutandoli nel contempo a migliorare le competenze degli analisti nel processo.

Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
Platoblockchain. Web3 Metaverse Intelligence. Conoscenza amplificata. Accedi qui.
Fonte: https://www.darkreading.com/cloud/how-the-cloud-is-shifting-ciso-priorities

Tag: 000, 1, 9, a, Abbandonato, accelerata, accesso, accessibile, Accedendo, Adozione, dopo, allineare, Tutti, anche, Amazon, Amazon Web Services, an, Gli analisti, ed, un altro, approccio, architettonico, Architetture, SONO, RISERVATA, aree, AS, assemblato, valutare, associato, At, attacco, Automatizzata, disponibile, evitare, AWS, azzurro, base, BE, essendo, MIGLIORE, best practice, Maggiore, violazioni, budget, Costruzione, affari, obiettivi di business, Ma, by, Materiale, funzionalità, certamente, Certificazione, sfide, capo, la scelta, CISO, pulire campo, Cloud, adozione del cloud, infrastruttura cloud, Nativo nube, cloud Platform, Cloud Security, Cloud Storage, combinato, comunemente, Aziende, competenza, competenza, competente, complessità, complicato, componente, concetti, preoccupazioni, fiducia, Configurazione, conseguenze, pila di contenuti, controlli, convenzionale, correggere, creare, crea, critico, CSA, cliente, attacchi informatici, Cybersecurity, dati, Violazioni dei dati, scoraggiante, Giorno per giorno, affare, trattare, decennio, difetto, Difesa, difensiva, consegnare, fornire risultati, richieste, progettato, individuare, Mercato, diverso, difficile, disastroso, discipline, drammaticamente, spinto, Durante, ogni, facile, in modo efficiente, sforzo, sforzi, Eliminare, dipendenti, incontrare, Ingegneria, abbastanza, Impresa, errori, essential, ETC, Ogni, tutti, Evolved, esempio, eccellente, eccesso, eccessivo, esecutivo, Consiglio di amministrazione, ampliato, attenderti, competenza, Esporre, estremamente, Faccia, di fronte, fatto, familiare, favorire, pochi, Find, ricerca, firewall, Nome, Focus, i seguenti, Nel , per esempio, per fortuna, quadri, da, ulteriormente, Inoltre, Ottieni, globali, a livello globale, Obiettivi, buono, buon modo, Google, Google Cloud, Google Cloud Platform, concesso, maggiore, molto, maniglia, accade, Avere, sentito, Aiuto, aiutare, Quindi, Affitto, Come, HTTPS, umano, IBRIDO, lavoro ibrido, ideale, identità, Identità, realizzare, importante, in, Interno, incidenti, includere, Aumento, individuale, individui, industria, informazioni, informazioni di sicurezza, Infrastruttura, intellettuale, proprietà intellettuale, ai miglioramenti, introdotto, Is, sicurezza, IT, Lavoro, jpg, conservazione, Le, conoscenze, mancanza, maggiormente, Cognome, Livello, luci, piace, limitare, Limitato, linea, mantenimento, manutenzione, maggiore, trucco, gestire, gestione, Team , gestione, molti, carta geografica, La padronanza della, Maggio, Nel frattempo, Member, configurazione errata, modello, modelli, momento, Monitorare, monitoraggio, Scopri di più, multi-nube, devono obbligatoriamente:, nativo, Bisogno, di applicazione, esigenze, Rete, mai, nuovi, nomenclatura, Adesso, ombreggiatura, ovviamente, Si verificano, of, offerte, ufficiali, di frequente, on, ONE, organizzazione., organizzazioni, Altro, Altri , Al di sopra, nel tempo, trascurare, particolare, passato, perimetro, permessi, piattaforma, Piattaforme, Platone, Platone Data Intelligence, PlatoneDati, possedere, possibile, posizione, pratiche, presentata, prevenire, prevenzione, priorità, priorità, privilegiato, privilegi, problemi, procedure, Processo, Programmi, proprietà, protegge, protetta, Protezione, fornire, provider, metti , qualificato, rapidamente, gamma, tasso, Reagire, ragione, ridurre, riferimento, Basic, a distanza, Reportistica, richiedere, Requisiti, richiede, risorsa, Risorse, responsabilità, Risultati, rivisto, La giusta, Rischio, strada, Carta stradale, s, sicura, fissaggio, problemi di, grave, Servizi, set, alcuni, mutevole, Corti, carenza, dovrebbero, non dovrebbe, semplificare, abilità, leggermente, leggermente diversa, So, Soluzioni, alcuni, source, campate, specialisti, specializzata, sfera, spot, personale, Standard, conservazione, forte, strutture, sostanziale, di successo, SUM, integrare, fornire, superficie, compito, task, Team, Teams, Consulenza, Tecnologie, Di, che, I, furto, loro, I loro dati, Li, Ci, Strumenti Bowman per analizzare le seguenti finiture:, di parti terze standard, minacce, tre, tre fasi, Attraverso, tempo, a, Oggi, strumenti, top, Training, transizione, vero, svolta, capire, Comprensione, unico, up, Usato, utenti, varietà, fornitori, potenzialmente, visibilità, modo, modi, sito web, servizi web, WELL, Quando, where, Quale?, while, OMS, volere, con, entro, senza, Lavora, lavoratori, lavori, funziona bene, zefiro

I 10 maggiori round di finanziamento della settimana: Xaira e altre startup di intelligenza artificiale hanno avuto una settimana enorme

26 aprile 2024 12:42

Xler8

Come il cloud sta cambiando le priorità dei CISO

Ripubblicato da Platone

La sfida tecnica

La sfida umana

Litecoin si muove in un intervallo a causa dell'ambivalenza dei trader

Alien: Rogue Incursion in arrivo su Quest 3, PSVR 2 e PC VR

Alien: Rogue Incursion, finalmente annunciato da Veteran VR Studio, previsto per la fine del 2024

Stripe rientra nel mercato dei pagamenti in criptovaluta con la stablecoin USDC – Tech Startups

Come i computer quantistici potrebbero illuminare l'intera gamma della diversità genetica umana

Parla con noi