Зачем вам нужно управление состоянием облачной безопасности (CSPM)
Для некоторых может быть вариантом придерживаться одного облачного провайдера, но другие обнаруживают, что может потребоваться мультиоблачная инфраструктура. С этим возникают сложности, как с пробелами в знаниях, так и с интеграцией.
У вас может не быть администраторов, обладающих межоблачными знаниями, и/или ваши инструменты мониторинга могут не охватывать определенные аспекты. Эти проблемы создают угрозу безопасности. Здесь на помощь приходят CSPM.
Что такое CSPM
Это хорошее и быстрое видео, которое полностью объясняет, что такое CSPM:
Пока ваша организация развивается, CSPM может помочь расставить приоритеты для определенных «дыр», которые могут потребовать внимания. CSPM также предлагают уровень защиты от вредоносных программ, однако это ничто по сравнению с реальным решением для защиты от угроз, таким как EDR или NextGen AV.
Вместо этого его следует рассматривать как способ выявления общих закономерностей и областей внимания. Например, если у вас есть большое количество предупреждений, связанных с открытым хранилищем, это свидетельствует о том, что у вас нет политик принудительного применения. Если вы это сделаете, они могут быть не такими эффективными, как вам хотелось бы.
Если вы начинаете замечать, что диски не зашифрованы или аудит не включен, это снова может быть то, что вы хотите посмотреть на высоком уровне, а не исправлять по одному.
Долгосрочная…
Хотя CSPM могут быть дорогими, это не должно быть длинным планом игры. Если у вас есть средства или время для пробной версии, идите туда. Если у вас есть деньги в банке на один год; сделай это.
Вывод из внедрения решения заключается в том, чтобы начать создавать и применять политики с помощью собственных или сторонних инструментов. Если ваша стратегия заключается в том, чтобы не продлевать CSPM, очевидно, лучше создать политики принудительного применения вне платформы. Во всех облаках есть встроенные инструменты для обеспечения соблюдения стандартов, просто это требует времени и усилий.
Что касается документации и процессов, которые вы определяете с помощью результатов, старайтесь, чтобы они были общими или более ориентированными на собственное облако, а не через CSPM.
Короткий срок…
Краткосрочный план должен заключаться в том, чтобы зафиксировать и задокументировать все ВЫСОКИЕ и критические результаты. Они должны сопровождаться извлеченными уроками. Компании получают бреши через открытые дыры из-за неправильной конфигурации, поэтому важно обнаружить, а затем принять к сведению. Задокументировав и внедрив «стандарты» в свои письменные процессы и принудительные политики, вы можете укрепить свою защиту в долгосрочной перспективе.
Всегда старайтесь разрабатывать политику как жесткую блокировку, в то же время создавая простой процесс исключений. Это уменьшит трения и возложит больше ответственности на запрашивающую сторону.
Стоит ли оно того?
Да, но есть план. Вам нужно освободить ресурсы, чтобы иметь возможность выполнять действия. Если вы собираетесь заниматься этим во время напряженного периода, в этом мало смысла. Это только сокрушит вашу команду и будет иметь противоположный эффект. Хотя вы можете заметить дыры, это станет проблемой для тех, кто сидит наверху, так как организация не потратила время на то, чтобы понять продукт. Они просто увидят красный свет и начнут видеть электронные письма.
Эта статистика напугает любого, особенно когда ваш инструмент показывает критические или высокие показатели. Как и все в сфере безопасности, эти критические замечания не полностью отражают правду, поэтому вам понадобится кто-то, кто сможет воплотить их в реальность.
У всех нас есть среды DEV или «исключения» для контроля безопасности (надеюсь, они записаны в вашей системе тикетов). Будьте готовы, что какой бы CSPM вы ни внедрили, он о них не узнает. ЭТО ПОМЕТИТ ИХ.
Опять же, сохраняйте спокойствие и полностью понимайте, о чем вам говорят предупреждения.
У службы безопасности есть это…
Неа. Я бы остановился на этом. Хотя CSPM подпадает под управление и безопасность, это должен быть «облачный» процесс, в который должны быть вовлечены все облачные администраторы, включая разработчиков. Почему?
Потому что он выявит то, чего не могла знать команда SecOps. Много неправильной конфигурации связано с данными и решениями, поэтому важно понять, как они на самом деле работают, чтобы найти решение.
Будет ли это у сотрудников SecOps? Скорее всего, нет. У них будет слишком много забот, чтобы знать все и вся. Хотя они, скорее всего, могли бы понять это, им не нужно было бы. Просмотр конфигурации и журналов — напрасная трата усилий, если у вас есть кто-то, кто может просто сказать вам, что к чему.
Вам нужно будет привлечь владельцев приложений. Если у вас есть лиды AppSec или даже просто лиды приложений, вы получите лучший результат. Это будет командная работа, и заблокировать облако будет сложно. Лучше, если все стороны будут в одном поезде.
С этими отношениями приходит общий доступ. Хотя обычно вы стремитесь ограничить доступ к порталам безопасности только сотрудниками службы безопасности/управления, привлечение других команд принесет вам больше пользы. Затем они могут управлять технологиями, которые они используют, и знать, в каком направлении им следует двигаться, и управлять ими.
Почему так сложно заблокировать облако?
На мой взгляд, это потому, что облако обещает игровую площадку безграничных возможностей. Это как пойти с ребенком в парк и рассказать ему, что он может, а что нет. Они могут знать, что делают, и, скорее всего, останутся в безопасности, однако, как родитель, вы не можете не кричать «Неееет» время от времени.
Локально было проще, так как большинство из них были построены в то время, когда безопасность периметра была на пике популярности. Все понимали, что они не могут делать то, что им хочется, поэтому средства управления были поняты и приняты лучше.
Сладкое место…
Лучшее место — это развитие культуры, а не инструмента. Конечно, вы должны как можно больше инвестировать в автоматизацию и переложить ручные усилия на закодированные политики, однако основной вывод — попытаться сформировать вашу команду для внедрения безопасных ресурсов. Инструмент может помечать что-то весь день, однако, если у вас есть команда, обладающая знаниями о реализации безопасных моделей и ресурсов, вы с меньшей вероятностью обнаружите неправильную конфигурацию.
Если вы потратили свое время с умом, у вас также будут определенные процессы для исправления этих шаблонов, как я упоминал ранее. Удерживая эти критические и высокие значения на низком уровне, вы отфильтруете средние и низкие значения. Например, если вы защитите сетевой уровень, аспект безопасности данных будет менее подвержен риску (даже если он будет раскрыт). незашифрованные данные с ограниченным сетевым доступом лучше, чем незашифрованные данные с большим сетевым доступом. Конечно, вы захотите зашифровать эти данные, но у вас могут быть другие приоритеты.
Если вы прочитали это и сказали "Вы должны просто зашифровать данные", возможно, вы упустили суть. Если вы уже работали с этими инструментами или SecOps/управлением, вы знаете, что у вас есть 1 миллион вещей на вашей тарелке. В то время как вы хотели бы делать простые вещи, у вас, скорее всего, есть что-то более важное, заставляющее вас пить шестой кофе в день.
Я упоминал об экономии?
Это не всегда касается только аспекта безопасности. Некоторые из них могут свидетельствовать об отклонении от ваших стандартов. Их идентификация может привести их в соответствие и, следовательно, сэкономить ваши затраты. Вы также можете обнаружить «тесты», которые можно удалить, или устаревшие системы, от которых вам будет предложено отказаться.
У большинства CSPM есть управление запасами, поэтому хорошо бы распространить это. Знание того, что у вас есть против затрат, может помочь бизнесу сократить объем. При этом меньше нужно защищать и меньше платить = беспроигрышный вариант!
Если вам понравилось читать мой контент и вы хотите поддержать его, почему бы не зарегистрироваться и не стать участником. Это 5 долларов в месяц за неограниченный доступ ко всем историям на Medium. "Присоединяйся сейчас! » :)
Вы также можете хлопать, если это поможет!
В любом случае, спасибо за чтение и берегите себя! :)
Если вы считаете это полезным, пожалуйста, несколько раз нажмите кнопку аплодисментов 👏, чтобы выразить свою поддержку автору 👇
