Κινέζοι και Ιρανοί hacker ανανεώνουν τις επιθέσεις τους στις Αμερικάνικες εταιρείες
infosec

Κινέζοι και Ιρανοί hacker ανανεώνουν τις επιθέσεις τους στις Αμερικάνικες εταιρείες

Επιχειρήσεις και κυβερνητικές υπηρεσίες στις Ηνωμένες Πολιτείες έχουν γίνει στόχος επιθέσεων από Ιρανούς και Κινέζους hacker που οι ειδικοί της...
Read More
infosec

Το Microsoft Teams εκτός λειτουργίας. Επιτυχής αποκατάσταση

Ο μεγάλος ανταγωνιστής του Slack της Microsoft, το Microsoft Teams, βρέθηκε εκτός λειτουργίας χτες. Οι χρήστες αντιμετώπισαν προβλήματα σύνδεσης με...
Read More
infosec

Hacked από Ινδούς το website του Υπουργείου Εξωτερικών του Πακιστάν

Εν μέσω έντονων εντάσεων μεταξύ Ινδίας και Πακιστάν μετά από τη θανατηφόρα επίθεση Pulwama στις 14 Φεβρουαρίου, το Σάββατο, ο...
Read More
infosec

Η Google προσπαθεί να προστατεύσει το password σας από hackers

Οι μαζικές παραβιάσεις των password είναι πάρα πολύ συνηθισμένες αυτές τις μέρες. Γι’ αυτό η Google προσπαθεί να επιδιορθώσει το...
Read More
infosec

Instagram: Bug επηρεάζει τους λογαριασμούς των Kylie Jenner, Ariana Grande και Selena Gomez

Bug στο Instagram κατέστησε τους λογαριασμούς της Kylie Jenner και των τραγουδιστριών Ariana Grande και Selena Gomez κατά 3 εκατομμύρια...
Read More
Latest Posts

Πρόγνωση καιρού:Σύννεφα. Προβλέπεται επέκταση της ασφάλειας στα Clouds

clouds

Clouds: Καθώς όλο και περισσότερες εταιρείες εξερευνούν και υιοθετούν SaaS (Software as Service) λύσεις για τις τεχνολογικές τους ανάγκες, τα IT Security groups αγωνίζονται να κρατήσουν τα clouds ασφαλή από ενδεχόμενες διαρροές στο ήδη υπάρχον σύστημα ασφαλείας. Για να δούμε και την καλή πλευρά, αυτοί οι οργανισμοί έχουν πολύ ισχυρά θεμέλια ασφάλειας για εσωτερικές εφαρμογές. Η πρόκληση βρίσκεται όμως στο να καταφέρουν να επεκτείνουν την «ομπρέλλα» της ασφάλειας πέρα από τα εσωτερικά περιβάλλοντα, και στα clouds. Πρακτικά αυτό θα εφαρμοστεί δημιουργώντας μια «υβριδική λύση» εν μέρει SaaS και εν μέρει hosted.

Ως βοηθητικό εργαλείο στους ΙΤ οργανισμούς για την καλύτερη κατανόηση ενός περιβάλλοντος cloud, έχει φροντίσει η Identropy με το «Practical SaaS Security Stack». Αποτελείται από έξι βασικά στοιχεία-κλειδιά καθώς και συσχετιζόμενες τεχνολογίες που αποτελούν τη βάση για να επεκτείνεις το παραδοσιακό εσωτερικό μοντέλο ασφαλείας σ’ ένα περιβάλλον βασισμένο σε cloud, όχι μια αντικατάσταση για τις ήδη υπάρχουσες λύσεις, όχι μια παράλληλη λύση, αντ’ αυτού μια πραγματική επέκταση ή ενσωμάτωση της τρέχουσας λύσης ασφαλείας που η εταιρεία σου έχει ήδη εφαρμόσει.

Σ’ αυτό το άρθρο θα εξερευνήσουμε τις δυνάμεις πίσω από το SaaS Security Stack.

  1. Ανακάλυψη SaaS

Τί υπάρχει στα clouds; Απαραίτητα η πρώτη ερώτηση που πρέπει να τεθεί. Ποιο είναι το επίπεδο κινδύνου που συσχετίζεται με κάθε διαφορετική λύση στο σύννεφο. Ένα αρχείο στο box.com π.χ. μπορεί να έχει διαφορετικό ρίσκο από ότι ένα αρχείο στο rent-a-share.com.

  1. Διαχείριση ταυτοτήτων cloud

Τo ζητούμενο εδώ είναι να επεκτείνεις και να ενσωματώσεις τους σωστούς ανθρώπους, με την σωστή πρόσβαση, στο σωστό χρόνο, τη λειτουργία αυτή δηλαδή στις εφαρμογές σου που χρησιμοποιούν το σύννεφο. Αυτό το συστατικό διατηρεί τη βελτίωση της αποτελεσματικότητας και της συμμόρφωσης με κανονισμούς που αφορούν την παροχή νέων εργαζόμενων/εργολάβων, νέες μεταβιβάσεις και εκχωρήσεις, μειώσεις μεταθέσεων και λήξεως των καθηκόντων καθώς και διαχείριση πρόσβασης και ανανέωση των πιστοποιήσεων.

  1. Πρόληψη απώλειας δεδομένων (Data Loss Prevention DLP)

Η ίδια επιμέλεια λαμβάνεται και για το περιεχόμενο των δεδομένων που αποστέλλονται μέσω ηλεκτρονικού ταχυδρομείου εκτός της εταιρείας, το DLP μπορεί να παρακολουθεί τα δεδομένα που φεύγουν από το περιβάλλον σας τα οποία προορίζονται για εφαρμογές clouds που δεν έχουν ακόμα ανακαλυφθεί.

  1. Clouds SSO/Authentication

Πόσες φορές θα πρέπει να λύσουμε/επεκτείνουμε το sign on; Μεγάλοι υπολογιστές την δεκαετία του ’80, δίκτυα το ’90, εσωτερικές εφαρμογές το 2000 και τώρα εφαρμογές βασισμένες σε clouds. Όπως ακριβώς και στις προηγούμενες εκφάνσεις του θέματος, απλώς ασχολούμαστε με αριθμούς των passwords και ως εκ τούτου με τους αριθμούς των πεδίων όπου θα πρέπει να εκχωρηθούν αυτά τα passwords. Η μονομερής ταυτοποίηση με ένα password, μια δεύτερη μέθοδος ταυτοποίησης η λεγόμενη two factor authentication και εν τέλει η πολλαπλή μέθοδος ταυτοποίησης ή multi factor authentication, που είναι και ο τελικός στόχος.

  1. Κρυπτογράφηση/Tokenization

Αυτή είναι λοιπόν η τελευταία δικλείδα ασφαλείας για τα δεδομένα σας. Οι περισσότερες εταιρείες χρησιμοποιούν κρυπτογράφηση μόνο για τα ανενεργά δεδομένα. Ενδεχομένως κάποιες μορφές ενεργών δεδομένων μέσα στο φιλοξενούμενο IT περιβάλλον μπορεί να έχουν ήδη εξεταστεί ως επίσης. Με τις SaaS εφαρμογές στο παιχνίδι, τα δεδομένα σας θα είναι πάντοτε ανενεργά, ύστερα ενεργά και μετά ανενεργά ξανά.

  1. SaaS Identity Activity Monitoring

Η διαδικασία διαχείρισης SaaS θα καθορίσει πραγματικά πως και πότε θα σαρώνετε για νέες SaaS εφαρμογές όπως επίσης και πως θα τις εντοπίζετε και θα τις κατηγοριοποιείτε. Το SaaS Identity Activity Monitoring παίρνει την αναφορά για την δραστηριότητα των χρηστών ένα επίπεδο παραπέρα ορίζοντας ακριβώς ποιος είχε πρόσβαση σε ποιο συγκεκριμένο στοιχείο δεδομένων, τί έκανε μ’ αυτά τα δεδομένα, με ποιόν τα μοιράστηκε, που, πότε κτλ. Οπότε ελέγχει και καταγράφει ότι ο τάδε υπάλληλος, μπήκε στην τάδε διεύθυνση με το τάδε URL και μοιράστηκε το τάδε αρχείο σε συγκεκριμένη ημερομηνία, από συγκεκριμένη τοποθεσία και IP address. Εξαιρετικό;

Έχετε άποψη; Αφήστε το σχόλιό σας.

Ο συντάκτης σας επιτρέπει να αντιγράψετε το κείμενό του, μόνο εφόσον αναφέρετε την πηγή (SecNews.gr), σαν ηλεκτρονική διεύθυνση (Live URL) του άρθρου.
Updated on by

Reader Interactions

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *